이혜지(27)씨는 성신여대 융합보안공학과를 졸업하고 ‘우먼앳(@)시큐리티’를 거쳐 올해 초 대형 회계법인인 삼정KPMG 정보보호팀에 입사했다. 우먼앳시큐리티는 한국여성과학기술인육성재단(WISET)과 한국 마이크로소프트(MS)가 지난 2019년 만든 여성 사이버 보안 전문가 육성 프로그램으로, 매년 약 100명의 수료생을 배출한다. 이씨는 “사이버 보안에 대한 사내 인식이 높아지면서 업무의 전문성과 중요성을 인정받는 만큼 일하는 보람도 크다”고 말했다.

기업의 보안 데이터를 관리하고 해킹을 탐지·분석하는 사이버 보안 업종은 전체 인력의 80~90%가 남성일 정도로 IT 업계에서도 유독 금녀(禁女)의 영역이었다. 하지만 사이버 보안에서 다양성의 중요성이 부각되면서 보안 업계로 진출하는 여성이 빠르게 늘고 있다. 사이버 보안 연구 기업 사이버시큐리티 벤처스에 따르면, 팬데믹 직전인 2019년 20%였던 사이버 보안 전문가 중 여성 비율은 지난해 25%로 2년 만에 5%포인트 늘었다. 여성 보안 전문가의 필요성을 절감한 대학과 기업들도 관련 학과를 신설하거나 교육 프로그램을 마련해 인력 양성에 나서고 있다.

일러스트= 김영석

◇늘어나는 여성 사이버 보안 전문가

그간 사이버 보안 업계에서 여성들이 드물었던 가장 큰 배경으로는 우선 직업 이미지가 꼽힌다. 이씨는 “인식이 많이 바뀌긴 했지만 주변을 보면 여전히 사이버 보안 전문가에 대해 체크무늬 남방을 입은 너드(nerd·괴짜)를 떠올리는 사람이 많다”며 “마치 간호사 이미지가 여성으로 자리 잡혀 남성 지원자가 적은 것과 같다”고 했다. 이씨는 “막상 입사해보니 현재 있는 팀에서도 여성 비율이 절반 이상을 차지하는 등 생각보다 여성 인력이 많다”고 했다.

워라밸(일과 삶의 균형)이 나쁠 것이라는 편견도 여성의 진출을 막은 요인이다. MS 본사 소속으로 한국 지역 보안 취약점을 총괄 관리하는 김귀련 글로벌 보안 프로그램 매니저는 “IT 개발자는 통상 야근이 잦다는 인식이 있는 데다 사이버 공격은 때를 가리지 않는 만큼 일하면서 아이를 키우는 워킹맘에게는 맞지 않는다는 인식이 있었다”면서 “실제 일해보면 순환 근무 체계가 잘 잡혀 있어서 워라밸 측면에서 크게 문제되지 않는다”고 했다.

여성 인력 수요가 늘면서 국내 여자대학에도 관련 전공이 신설되고 선발 정원이 늘어나는 추세다. 이화여대는 지난 2017년 엘텍공과대학 소프트웨어학부 내 사이버 보안 전공을 신설했다. 성신여대는 이보다 앞선 지난 2013년 융합보안학과(현 융합보안공학과)를 만든 데 이어 2018년 대학원(일반대학원 미래융합기술공학과) 과정도 신설했다. 학부 정원도 초기 20~30명 수준에서 현재는 100명 이상으로 크게 늘었다.

기업들도 여성 보안 전문가 육성에 투자를 늘리고 있다. 구글과 메타는 2020년부터 사이버 보안 분야 취업을 원하는 여성들을 위한 장학금을 만들어 지원 중이다. MS는 무료 특강과 멘토링, 협력사 취업 연계 등을 해주는 다양한 경력 개발 프로그램을 운영 중이다. 출산·육아 등으로 경력이 단절된 여성들 사이에 특히 인기가 높다. 김 매니저는 “경영진이나 고객사에 개선된 보안 체계를 제안하고 설득하는 것도 사이버 보안 전문가로서 중요한 능력”이라며 “세심한 소통법을 가진 여성들이 이런 부분에서 좀 더 유연한 측면이 있다”고 했다.

사이버 보안 핵심은 다양성

사이버 보안 업계에서 여성 인력이 중요해진 이유는 다양성 때문이다. 김 매니저는 “RaaS(서비스 형태로 판매되는 랜섬웨어)의 등장으로 몇 년 전부터 사이버 범죄가 산업화하고 있고, 심리적 허점을 노리는 지능형 표적 공격(APT)이 많아지면서 사이버 보안에도 다양한 시각을 반영해야 한다는 목소리가 높아졌다”고 했다.

요즘엔 누구나 랜섬웨어 소프트웨어 키트를 사서 공격할 수 있다. 사이버 범죄 조직은 소셜미디어 등으로 표적 기업 임직원에 접근해 내부 정보를 빼내는 식의 사회공학적 공격 빈도를 늘리는 추세다. 이에 대처하려면 성별뿐 아니라 국적과 문화권, 전공 등 사이버 보안 분야 인적 구성 역시 다양해질 필요가 있다. 김 매니저는 몇 년 전 북한 해커 집단이 특정 보안 전문가 그룹에 페이스북으로 접근해 장기간 친분을 쌓고 나서 정보를 빼간 사례를 언급하며 “인간과 사회에 대한 고려는 사이버 보안의 필수 요소가 됐다”며 “MS의 라틴아메리카 지역 사이버 보안 담당자가 철학 박사 학위자인 것도 이런 이유”라고 설명했다.

지난 8일 서울 종로구 중학동 한국마이크로소프트(MS) 본사 건물에서 만난 김귀련 MS 글로벌 보안 프로그램 매니저(오른쪽)와 이혜지 삼정KPMG 정보보호팀 사원. 두 사람은 우먼앳시큐리티에서 멘토와 멘티로 만났다. /박상훈 기자

점점 교묘해지는 사이버 공격에 맞서 기업들의 협력 필요성도 높아졌다. 가령 지난 2020년 12월 발생해 ‘IT 역사상 최악의 공급망 공격’으로 꼽히는 솔라윈즈 사건의 경우 공격당한 건 네트워크 통합 모니터링 소프트웨어를 만드는 기업(솔라윈즈) 한 곳이었지만, 이곳 제품을 이용하는 1만8000여 기관과 기업이 피해를 봤다. 피해 본 곳 중에는 MS와 인텔 같은 대기업뿐 아니라 핵무기 담당 기관인 미국 에너지국과 국방부, 국토안보부, 재무부, 상무부 등 주요 정부기관들도 포함돼 있었다.

작년 7월에는 원격 모니터링과 네트워크 관리 소프트웨어를 만드는 미국 IT 기업 카세야가 랜섬웨어 공격을 받으면서 이 회사 제품을 사용하는 기업 1500곳으로 피해가 번졌다. 위협을 조금이라도 빨리 탐지하려면 기업별 보안 전문가들의 인적 네트워크 구축이 중요해진 것이다. 김 매니저는 “사이버 공격을 기업 혼자 방어하기 어려워지면서 기업 간 ‘에코 파트너십’이 굉장히 중요해졌다”며 “해커가 집단화되듯 보안 기업들 역시 손을 잡고 공동 대응해야 하는 상황”이라고 했다.

디지털 전환과 원격 근무 활성화로 사이버 보안 업계의 인력난은 계속될 전망이다. 미국의 데이터 및 보안 플랫폼 기업 스플렁크가 최근 미국·영국·프랑스·독일·일본 등 11국 15개 업종의 보안 및 IT 책임자 1227명을 대상으로 실시한 설문 조사에 따르면, 응답자 87%가 ‘인력 채용에 문제를 겪고 있다’고 답했다. 국내도 사정이 비슷하다. 한국인터넷진흥원(KISA)에 따르면, 올해 정보 보호 전문 인력 공급은 4229명으로 신규 수요(5953명)보다 크게 부족하다. 만성적인 인력난 때문에 오는 2025년에는 부족 인력이 2000명이 넘을 것으로 KISA는 전망했다.

WEEKLY BIZ Newsletter 구독하기https://page.stibee.com/subscriptions/146096