챗GPT로 1분만에 악성코드 만든다는데…국내 보안인력 '태부족'

전방위로 늘어나는 사이버 공격
尹 대통령도 "대응 태세 철저히"
현장에선 인력 공급 부족 호소
"외국인 도입 확대" 목소리 나와

나날이 발전하는 인공지능(AI) 기술이 해킹에 악용되는 등 사이버 보안에 대한 불안감이 커지고 있다. 하지만 국내 정보 보안 산업계는 일할 사람조차 없어 아우성이다. 보안에 대한 중요성이 높아지면서 수요는 폭증했지만 공급이 이를 따라가지 못하고 있다. 외국인 전문 인력 도입을 확대해야 한다는 목소리까지 나오고 있다.

최근 미국 ABC뉴스는 AI가 범죄에 악용돼 국가 사이버 보안을 위협할 수 있다는 우려를 전했다. ABC뉴스는 챗봇을 이용해 컴퓨터 악성코드를 생성·강화할 수 있으며, 비공식 해킹 커뮤니티를 분석한 결과 실제로 그러한 시도가 이뤄진 문서가 발견되기도 했다고 보도했다. AI 기술 전문가 아리 제이코비(Ari Jacoby)는 "챗GPT와 같은 AI 도구가 보안 문제를 야기할 가능성이 있다"고 우려했다. 그는 "인간 해커라면 만드는 데 며칠 또는 몇주가 걸렸을 악성코드 제작 도구를 챗GPT는 단 1분 이내에 만들 수 있고, 이를 통해 수신자를 속여 다운로드하게끔 유도하거나 대량의 피싱 이메일을 작성할 수 있다"고 말했다. 미국 바이든 행정부는 민관 협력을 통해 신기술을 활용한 사이버 공격에 맞서고 국가 안보 전략을 강화한다는 계획이다.

우리나라에선 지난 1월 마이크로소프트(MS), LG유플러스 등 국내외 기업과 학술기관을 겨냥한 해킹과 전산장애가 잇달아 발생했다. 중국의 해킹그룹 '샤오니칭'은 대한건설정책연구원, 우리말학회, 한국고고학회를 비롯한 12개 국내 학술기관 홈페이지를 해킹했다. 샤오니칭의 해킹은 당시 중국인 입국 규제 강화에 따른 보복·과시용 공격으로 분석된다. 피해 기관에 금전적인 보상 요구를 하지 않고 명확한 해킹 이유를 밝히지 않았기 때문이다. 하지만 이러한 사이버 공격은 기관 구성원의 이메일 주소 등 개인정보를 탈취한 후 악성코드를 배포해 더 민감한 정보를 뺏는 랜섬웨어 공격으로 이어질 수 있다.

지난 1월25일에는 전 세계 1500만개 기업이 이용하는 MS의 클라우드 서비스 '애저'가 7시간 동안 먹통이 됐었고, 같은 달 29일 LG유플러스는 디도스(DDoS) 공격으로 두 차례에 걸쳐 접속 장애가 발생했다. 디도스 공격이란 대량의 데이터를 서버에 보내 과부하를 일으키는 사이버 테러를 말한다. LG유플러스 인터넷망을 사용하는 매장에서 신용카드 결제 일시 중단, 온라인 업무 중단 등 피해 사례가 속출했다. 윤석열 대통령은 지난 12일 '기관별 에너지분야 사이버공격 대응 태세 점검 회의'에서 "금융·에너지 등 기반 시설에 대한 사이버 위협이 안보 위기로 전개되지 않도록 대응 태세를 철저히 하라"고 강조하기도 했다.

그러나 정작 업계에선 "일할 사람이 없다"며 발을 동동 구르고 있다. 이동범 한국정보보호산업협회 회장(사진)은 아시아경제와의 통화에서 "사이버 보안의 중요성이 커지고 빅테크 기업들이 보안 조직을 늘리면서 인력 쏠림현상이 일어났다"고 진단했다. 보안업체를 운영 중인 A씨는 "보안 분야는 업무 강도가 세고 책임도 무거운데 처우는 열악하다"며 "그러다 보니 질적·양적으로 인원이 부족해진 상태"라고 밝혔다. A씨는 공공기관에 파견 나간 사이버 관제요원들이 원격으로 지원할 수 있도록 제도를 바꾸고 체계를 마련해야 한다고 주장했다. 그는 "공공기관 IT 시설을 방어하는 보안관제업체 직원은 24시간을 3교대로 근무한다"며 "업무 강도가 높아 처우가 개선돼야 하지만 정부의 서비스 단가가 정해져 있어 쉽지 않다"고 했다. 이어 "정부 기관이 지방으로 이전하면서 일할 사람을 구하기 더욱 어려워졌다”면서 “원격지원이 가능하도록 제도를 바꿔야 한다"고 주장했다.

이동범 한국정보보호산업협회 회장

토종 서버 개발업체인 KTNF의 이중연 대표는 "인력을 구하는 게 한계가 있다는 걸 느꼈다"면서 "회사 내부에 직접 미니 데이터센터를 만들고 교육의 장을 조성하려 한다"고 자구책을 소개하며 정부 지원을 요청했다. 이영 중소벤처기업부 장관은 지난달 보안업계와의 간담회에서 "소프트웨어 인력이 얼마나 부족한지 집계된 현황조차 없다"며 과학기술정보통신부·고용노동부와 협력해 소요 인력을 산출하겠다는 계획을 밝혔다.

지난해 7월 정부는 '사이버 보안 10만 인재 양성 방안'을 통해 2026년까지 신규 인력 4만명을 키우겠다고 발표했다. 그러나 과기부의 올해 신규 사이버 안보 인력 양성 사업을 보면 ▲최정예 전문가 교육 'S개발자' 과정 50명(예산 14억원) ▲입문 교육 화이트햇 스쿨 300명(28억원) ▲시큐리티 아카데미 100명(12억원) 수준이다. 이 때문에 정책이 산업의 방향이나 속도를 따라오지 못할 것이라는 우려가 나온다. 이 회장은 "당장 사이버 전선에 들어갈 용병이라도 써야 한다"며 "외국인 인력을 대규모 도입하는 방안에 대해 사회적으로 논의를 시작해야 할 때"라고 말했다. 성상엽 벤처기업협회 회장도 "외국인 전문 인재를 고용할 수 있는 비자(E-7) 발급 기준을 낮추고 외국인 취업을 유연하게 만들어야 한다"고 강조했다.

김보경 기자 bkly477@asiae.co.kr