[컴퓨터월드] 사이버 위협은 급증하는데 보안 투자는 여전히 ‘아껴야 할 비용’ 취급이다.

과기정통부 발표에 따르면 2025년 상반기 사이버 침해사고 신고 건수는 1,034건으로 전년동기대비 15% 증가했다. 특히 최근에는 SK텔레콤 유심 정보 2,700여만 건 유출, 예스24 및 SGI서울보증의 랜섬웨어 감염 등 대형 사고가 연이어 터지면서 보안의 중요성이 부각됐지만, 정작 보안 업계는 여전히 찬밥 신세라며 한탄이다.

7월 랜섬웨어 공격으로 시스템이 마비된 SGI서울보증은 후속 대책으로 신규 보안 시스템 구축을 추진한다고 발표했지만, 정작 사업을 최저입찰 방식으로 진행해 보안 업계로부터 빈축을 사고 있다. 대형 사고를 겪고도 ‘보안은 최대한 싸게’라는 관성에서 벗어나지 못한 것이다.

민간 업체 대상의 보안 시스템 구축은 그나마 사정이 낫다. 정부·공공쪽은 더 짜기 때문이다. 특히 정부·공공 분야 보안관제 사업을 하는 업체들은 충분한 사업 대가를 보장받지 못하고 있다고 토로한다. 한두 해 지적된 문제는 아니다. 발주된 상당수 보안관제 사업이 단독입찰로 진행되거나, 유찰되는 경우도 빈번하다. 한 업계 관계자는 “예산을 줄이면서도 인력 파견은 늘어나기를 바란다”면서 “대가 산정 가이드라인 최소금액에도 못 미치는 사업들을 적지 않게 봤다”고 했다.

문제는 이런 저가 발주가 현장에서 근무하는 관제 인력의 근무환경에 직접적인 영향을 미친다는 데 있다. 한 보안관제 전문업체 임원은 “인건비가 부족하면 충분한 교대 인력을 확보할 수 없다. 예를 들어 야간 관제에 1인이 투입되는 식이다. 이 경우 18시부터 다음날 9시까지 15시간 근무하는데, 자리를 비울 수 없어 법정 휴게시간 1시간도 보장받지 못한다. 야간 15시간 근무도 힘든데, 휴식은커녕 화장실도 마음 놓고 가기 어려운 상황이 되는 것”이라고 토로했다.

IT 업종 중에서도 보안관제는 교대근무와 파견근무로 인해 ‘3D 직종’으로 불리곤 한다. 그래서 인력 구하기도 쉽지 않다. 그런데 이 모자란 인력을 비효율적으로 쓸 수밖에 없는 정책적 문제까지 가중된다. 보안관제 전문기업 지정 공고는 ‘4년제 학사 이상’을 초급 인력 자격 조건으로 명시하고 있는데, 전문대 졸업자는 현장에서 2년의 경력을 쌓은 후에야 초급으로 인정받는다. 4년제 대학 졸업생은 경력 없이도 초급으로 인정받는 반면, 전문대생은 최근 늘어나고 있는 3년제를 나와도, 심지어 인턴 경력이 있어도 근무 경력 2년을 채우지 못하면 파견사업에 인건비가 산정되는 초급 인력으로 포함될 수 없는 것이다.

이는 결국 경력 있는 전문대 졸업 관제 인력이 갓 졸업한 4년제 졸업생보다 낮은 임금을 제시받을 수밖에 없는 문제를 만든다. 자연히 전문대 졸업생들로서는 관제 업무를 회피하게 되고, 보안관제 업계는 인력 확보에서 악순환의 고리에 빠지게 된다. 그나마 남은 관제 인력도 교대근무와 파견근무라는 업무 특성상 장기간 같은 일을 지속해야 할지를 고민한다.

이런 현실들 때문에 “보안 강화는 비용이 아닌 생존을 위한 투자”라는 보안 업계 목소리가 무색해진다. 일선에서 여전히 중요성을 인정받지 못하고 있다는 자조의 목소리가 이어지는 데는 이유가 있다. 우리는 보안에 대한 가치를 제대로 평가하고, 또 충분한 대가를 지불하고 있는가. 정부 공공에서부터 사업 대가 현실화에 앞장서야 보안이 강화되고, 해외처럼 국내 보안 기업들도 저평가받지 않고 성장할 수 있다는 점을 명심해야 할 시점이다.