“순환보직에 전문성↓”…KISA 사고대응 인력 과반이 경력 2년 미만

사이버 위협이 갈수록 커지는 가운데 민간 사이버 보안을 책임지는 한국인터넷진흥원(KISA)의 침해사고 대응 전문성이 도마 위에 올랐다. 순환보직 탓에 전문성을 키우기 어려운 구조 때문이다.

15일 KISA가 박충권 국민의힘 의원실에 제출한 자료에 따르면, KISA 디지털위협대응본부의 위협분석단 56명 가운데 부서 배치를 받은 지 2년이 채 안 되는 인원이 38명에 달한다. 이 가운데 올해 배치된 단원은 21명으로, 전체 3분의 1 이상이 신규 인원이다. 또 지난해 위협분석단에 들어온 인원은 14명이며, 나머지 3명은 2023년 12월 1일 위협분석단 소속이 됐다.

위협분석단은 KISA의 핵심 부서로 통한다. 민간기업에서 사이버 침해사고가 발생하면 원인을 분석하고 재발방지 대책 마련을 지원하는 업무를 담당한다. 하루가 멀다하고 크고 작은 사이버 보안 사고가 발생하는 상황에서 위협분석단 인원 절반 이상이 업무 경력이 짧아 전문성에 의구심이 드는 건 아쉬운 대목일 수밖에 없다.

침해사고가 발생한 기업의 현장을 찾아 기술지원을 하는 포렌식팀 인원의 경력을 살펴봐도 역량에 물음표가 생긴다. 팀 업무를 총괄하는 팀장을 제외한 '침해사고 원인분석 및 재발방지 지원' 업무를 맡은 팀원 23명 가운데 16명이 해당 업무 경력이 2년이 안 된다. 포렌식팀은 상황관제 등 KISA 내부에서 업무하는 다른 부서와 달리 침해사고 현장에 출동하는 팀으로, 침해사고 대응의 중요한 역할을 하고 있다.

이러한 상황에서 위협분석단에서만 11년 넘게 재직한 A직원이 올해 퇴사했으며, 지난해에도 9년 넘게 몸담은 B직원이 KISA를 떠났다.

KISA 내부 사정에 정통한 정보보호산업계 관계자는 “보안 사고대응 업무는 전문성을 요구하다 보니 KISA가 특정 인원은 순환보직에서 제외해 장기간 업무를 수행할 수 있는 제도를 운영했다”며 “하지만 최근 이 제도가 유명무실해졌고 큰 폭으로 인사가 이뤄져 민간으로 자리를 옮긴 침해 대응 인력이 상당수”라고 귀띔했다.

효과적 직제 운영을 통한 전문성 강화와 함께 외부 전문기업을 통한 전문성 보완도 강화해야 한다는 목소리가 높다.

KISA는 '중소기업 침해사고 피해지원 서비스' 사업 등을 통해 민간 기업에 침해사고 대응 업무 일부를 맡기고 있다. 지난해에만 KISA에 접수된 침해사고 신고건수가 1887건에 이를 정도로, KISA가 모든 사고를 일일이 대응하기엔 한계가 있기 때문이다.

현재는 2년 단위로 1개 기업이 사업에 참여하는데, 참여 기업 수를 늘려 KISA 침해사고 대응력과 함께 보안 기업 경쟁력도 높여야 한다는 게 업계 의견이다.

박충권 의원은 “사이버 위협이 커지는 상황에서 KISA의 인력·예산이 턱없이 부족해 해킹 대응에 한계가 있다”며 “보안 공백을 최소화해야 하기 위해 제도 개선과 예산 확충이 이뤄져야 한다”고 강조했다.

KISA 관계자는 “디지털위협대응본부 전체 인력(132명) 중 10년 이상 경력 직원이 76명으로 절반이 넘는다”며 “통상 본부 내에서 팀을 이동하기 때문에 업무 연속선상에 있다”고 말했다.

조재학 기자 2jh@etnews.com