보건업·사회복지 서비스업의 평균 정보보호 전담인력은 2.7명입니다. 이 숫자를 처음 봤을 때 헛웃음이 나왔습니다. 저희 기관 기준으로는 그 평균조차 사치입니다. 정보보호를 전담하는 인력이 한 명도 없는 곳에서 가장 민감한 개인정보를 매일 다루고 있는 현실, 지금부터 그 이야기를 해보겠습니다.
1. 보안은 장비가 아니라 운영 문제다
일반적으로 보안 사고는 방화벽이 없거나 백신 소프트웨어가 없어서 일어난다고 알려져 있습니다. 그런데 제 경험상 이건 좀 다릅니다. 솔루션 자체는 이미 웬만한 기관에 다 들어가 있습니다. 정작 문제는 그 시스템을 실제로 운영할 사람이 없다는 점입니다. 보안에서 '로그 분석'이라는 개념이 있습니다. 여기서 로그 분석이란 시스템 접속 기록, 파일 열람 이력, 외부 통신 내역 등을 주기적으로 검토하여 이상 징후를 조기에 포착하는 작업을 의미합니다. 이 작업을 꾸준히 할 수 있는 전담 인력이 없으면, 아무리 좋은 장비가 있어도 사고는 사후에야 발견됩니다. 한국인터넷진흥원(KISA)의 '2025 정보보호 공시현황 분석' 보고서에 따르면, 분석 대상 757개 기업의 정보기술 인력 대비 정보보호 전담인력 비중은 평균 6.7%에 그칩니다([출처: 한국인터넷진흥원](https://www.kisa.or.kr)). 기업들이 AI 전환과 디지털 전환을 외치는 동안, 그 기반을 지키는 사람은 생각보다 훨씬 얇게 깔려 있는 셈입니다.
2. 업종별 인력 격차, 숫자로 보면 더 심각하다
같은 개인정보를 다뤄도 업종에 따라 보안 인력 규모는 천차만별입니다. 같은 보고서 기준으로 정보통신업의 평균 정보보호 전담인력은 25.4명, 금융 및 보험업은 22.8명입니다. 반면 건설업은 3.4명, 보건업 및 사회복지 서비스업은 2.7명입니다. 어떤 조직은 팀 단위로 막고, 어떤 조직은 거의 맨몸으로 버티는 구조입니다. 여기서 CISO(Chief Information Security Officer)라는 직책이 중요해집니다. CISO란 조직 내 정보보호 전략을 총괄하는 최고정보보호책임자로, 보안 예산 편성과 인력 배치에 직접 영향을 미치는 자리입니다. 같은 보고서에서 CISO가 임원급인 기업의 평균 정보보호 투자액은 약 41억 원, 전담인력은 14.2명이었습니다. 반면 CISO가 임원이 아닌 기업은 투자액 평균 10억 원, 전담인력 3.9명에 불과했습니다. 보안을 중요하다고 말하는 것과 실제로 조직 안에서 중요한 자리로 대우하는 것은 전혀 다른 문제입니다. 저희 기관처럼 복지 현장에서는 CISO라는 직책 자체가 존재하지 않는 경우가 대부분입니다. 그러니 예산이 붙을 리도, 인력이 채워질 리도 없습니다. 업종별로 정보보호 인력 현황을 정리하면 다음과 같습니다.
- 정보통신업: 평균 25.4명
- 금융 및 보험업: 평균 22.8명
- 건설업: 평균 3.4명
- 보건업 및 사회복지 서비스업: 평균 2.7명
3. 피싱 한 번에 흔들리는 현장
2년 전, 저희 기관 인근의 복지관에서 스피어 피싱(Spear Phishing) 공격으로 클라이언트 명단이 유출된 사고가 있었습니다. 스피어 피싱이란 불특정 다수를 노리는 일반 피싱과 달리, 특정 조직이나 담당자를 겨냥해 발신자를 위장한 이메일로 악성 링크 클릭이나 파일 실행을 유도하는 공격 방식입니다. 기관 내부 직원을 사칭한 메일 하나에 정보가 통째로 새어나간 사례였습니다. 그때 저희 기관 직원들 사이에서 "우리도 똑같이 당할 수 있겠다"는 말이 잠깐 돌았습니다. 하지만 일주일도 채 안 돼서 그 얘기는 사라졌습니다. 사고는 잊혔고, 인력은 그대로였으며, 교육도 없었습니다. 솔직히 이건 예상 밖이었습니다. 피싱 사고를 바로 옆에서 목격했는데도 아무것도 바뀌지 않는다는 게. 저희 사례관리 시스템에는 클라이언트의 주민등록번호, 가족관계, 소득 정보, 정신과 진료 이력까지 모두 담겨 있습니다. 개인정보 민감도로 따지면 어느 금융기관 못지않습니다. 그런데 보안 교육이라고는 6개월마다 뜨는 비밀번호 변경 알림이 전부입니다. 보안에서는 '사회공학적 공격(Social Engineering Attack)'이라는 범주가 있습니다. 이는 기술적 취약점이 아니라 사람의 심리나 습관을 이용해 정보를 탈취하는 방식을 통칭합니다. 피싱이 대표적인 예이고, 복지 현장처럼 보안 교육이 전무한 환경은 이런 공격에 특히 취약합니다. 시스템이 아무리 견고해도 사람이 문을 열어주면 소용이 없습니다.
4. 현장 실무자가 마지막 방어선이 된다는 것
AI 시대가 되면서 데이터는 늘고 공격은 정교해지고 있습니다. 그런데 그 신호를 해석하고 대응할 인력은 여전히 부족합니다. 이 문제는 보안 전문 인력이 있는 대기업보다 없는 현장에서 훨씬 더 빠르게 현실이 됩니다. 제가 직접 몸담고 있는 복지 현장에서 느끼는 건 이렇습니다. 보안을 "전산 부서의 일"로 두는 한 격차는 절대 좁혀지지 않습니다. 예산도 없고 전담 인력도 없는 현장에서는 결국 일선 사회복지사 한 명 한 명이 자기도 모르게 마지막 방어선이 됩니다. 그런데 우리는 그 역할을 맡을 준비가 되어 있지 않습니다. 교육도, 도구도, 시간도 없습니다. 보안의 마지막 방어선은 장비가 아니라 사람이라는 말은 맞습니다. 다만 그 '사람'이 보안 전문가만을 뜻한다면 절반짜리 답입니다. 보안 전문 인력을 확보할 수 없는 현장에서는 현장 실무자가 기본 수준의 보안 감각을 갖춰야 합니다. 그러려면 조직 차원에서 실질적인 교육과 최소한의 프로세스를 만들어줘야 합니다. 보안은 모든 직무의 일이 되어야 합니다([출처: 한국인터넷진흥원 정보보호 공시 포털](https://isds.kisa.or.kr)). 정보보호 인력 문제는 통계로만 봐서는 체감이 어렵습니다. 민감한 개인정보를 매일 손에 쥐면서도 변변한 교육 한 번 받지 못한 현장 실무자가 전국에 얼마나 많은지를 생각하면, 숫자가 다르게 보일 겁니다. 같은 사고가 반복되지 않으려면 "사람에게 투자해야 한다"는 말의 범위가 더 넓어져야 합니다. 전문 인력 채용도 필요하지만, 지금 당장 현장에 있는 실무자를 위한 보안 교육 의무화부터 시작해야 한다고 생각합니다.
--- 참고: https://www.mt.co.kr/opinion/2026/04/13/2026041009165838763