정보보호 평가인증 인력 품귀현상 심화

 정보보호 기업들이 정보보호 시스템 평가·인증 인력 모시기에 혈안이다.

 과거 방화벽과 가상사설망(VPN) 등 5개 정보보호 제품에 한정됐던 평가·인증제도가 전 정보보호 제품으로 확산되면서 평가·인증 전문가 품귀 현상을 빚고 있다.

 그동안 정보보호 제품의 평가·인증 대상 품목이 없어 전혀 신경을 쓰지 않았던 안티바이러스·네트워크접근제어(NAC)·웹 방화벽·스마트카드 기업 등이 최근 평가·인증 인력 확충에 나서면서 인력 확보전이 펼쳐지고 있다. 수요가 공급을 초과하면서 평가·인증 전문가 몸값이 급등한데다 기업 간 스카우트 경쟁도 치열하다.

 ◇평가·인증 전문가 부족 심화=현재 국내 정보보호 제품 평가·인증 전문가는 20명 정도. 이들은 지난 1998년 이후 시큐어소프트와 어울림정보기술 등 방화벽 평가·인증을 담당하며 전문성을 키워 왔다.

 과거 5개 제품으로 한정됐던 정보보호 시스템 평가 인증이 지난해 전 분야로 확대되면서 평가 인증 품목이 대폭 늘어났다. 인증 없이 제품을 팔 수 있었던 회사들도 인증을 획득해야 하는 상황이 됐다.

 특히 평가·인증 인력의 숙련도에 따라 정보보호 제품의 평가·인증 기간이 달라져 전문가 한 명을 뽑는 데 그치지 않고 3∼4명으로 된 평가팀을 구성하는 기업이 늘고 있다. 보안 시장은 누가 먼저 인증을 획득하느냐에 따라 시장 판도가 크게 달라지기 때문이다.

 평가·인증 담당자 모임 회장인 임수진 유니포인트 차장은 “올해 들어 주요 기업의 평가·인증 전문가들이 새로 평가·인증 품목에 포함된 제품 개발 회사로 옮기는 등 자리 이동이 어느 때보다 많았다”며 “전문가는 한정돼 있고 인력 양성 기간이 길어 당분간 인력 부족 현상은 지속될 것”이라고 말했다.

 ◇평가·인증 전문가, 무슨 일을 하나=정보보호 시스템 평가·인증 인력은 국가정보원·한국정보보호진흥원(KISA) 등 평가 인증기관과의 원활한 의사 소통은 물론이고 5000장이 넘는 평가 제출물을 작성해야 하는 등 전문성을 갖춰야 한다.

 또 정보보호 시스템 개발 초기부터 참여해 평가 기준에 맞는 제품 개발을 유도하는 역할을 한다. 여기에 평가·인증제도가 과거 K제도에서 국제공통평가기준(CC)으로 바뀌면서 국정원과 KISA가 개발했던 보호 프로파일(PP)과 보안목표명세서(ST)를 제품 평가를 받은 기업이 작성해야 하는 등 평가·인증 인력의 높은 전문성이 요구되고 있다.

 ◇인력 양성 절실=평가 인증 담당자들은 기업들이 관련 인력을 체계적으로 양성하는 데 투자해야 한다고 입을 모은다. 한 정보보호 기업 사례를 보면 담당자 3명이 모두 경쟁사로 스카우트됐다.

 기업 대부분은 CC제도에 대한 이해와 정보가 부족한 상황이고 관련 업무 교육 없이 특정 전문가에 의존해 처리한다.

 노병규 KISA 보안성평가단장은 “최근 대다수 기업이 빠르게 평가·인증을 받기 위해 경력직을 채용하는 데 급급하고 있다”며 “KISA의 보안성 평가를 위한 전문 교육 과정 등을 이용해 체계적인 전문가 양성이 절실하다”고 지적했다.

 김인순기자@전자신문, insoon@