과거에도 굵직한 보안사고가 터질 때마다 정부는 강력한 대책을 내놓았지만, 시간이 지나면 흐지부지되는 경우가 많았다. 이번 대책이 실효성을 거두기 위해서는 몇 가지 선결 과제가 있다.

첫째, 일관된 추진 의지와 지속적인 모니터링이 필요하다. 정부는 이번 대책을 즉시 실행 가능한 단기 과제 위주로 구성했다고 밝혔다. 하지만 단기 과제라 해도 제대로 실행되지 않으면 무용지물이다. 범부처 차원의 실행 점검 체계를 구축하고, 분기별로 이행 현황을 공개하며, 미이행 부처나 기관에 대해서는 명확한 책임을 물어야 한다. 국가안보실을 중심으로 한 컨트롤타워가 실질적인 권한을 가지고 각 부처의 이행을 강제할 수 있어야 한다.

둘째, 규제와 지원의 균형이 중요하다. 특히 중소기업들에게 과도한 규제 부담만 지우면 형식적 대응에 그칠 수 있다. 정보보호 등급제를 도입하되, 등급이 낮은 기업에 대해서는 실질적인 개선 지원이 함께 제공되어야 한다.

지역 정보보호 지원센터 확대는 좋은 출발점이지만, 단순히 센터 수를 늘리는 것이 아니라 실질적인 기술 지원, 인력 파견, 컨설팅 제공 등이 가능한 역량을 갖춰야 한다.

특히 중소 제조기업들은 보안 전문 인력을 고용할 여력이 없는 경우가 많으므로, 공공 전문가 풀을 구성해 순회 지원하는 방식도 고려할 필요가 있다.

이 과정에서 검증된 민간 보안 기업과 협력도 효과적인 방안이 될 수 있다. 모의해킹이나 취약점 진단 같은 전문 영역은 실전 경험을 갖춘 민간 전문가들이 더 효율적으로 수행할 수 있기 때문이다.

셋째, 보안 인력 양성은 단순한 숫자 채우기가 아니라 질적 수준을 보장해야 한다. 화이트해커를 연간 500명씩 양성한다는 계획은 좋지만, 형식적인 자격증 취득으로 끝나서는 안 된다.

실전 경험을 쌓을 수 있는 모의해킹 프로그램, 산업체 연계 인턴십, 해외 선진 기관과의 교류 등이 함께 이루어져야 한다.

이미 검증된 수준 높은 민간 보안 전문가와 화이트해커를 적극 활용하는 것도 중요하다. 정부 주도의 교육만으로는 빠르게 진화하는 공격 기법을 따라잡기 어렵다. 실전 경험이 풍부한 민간 오펜시브 보안 전문가들을 공공기관 모의해킹, 침해사고 대응, 전문가 교육 등에 참여시켜 실질적인 역량 강화를 도모해야 한다. 정보보호특성화대학과 융합보안대학원의 지역별 특화도 좋지만, 특정 지역에 국한되지 않고 전국적인 인력 유통이 가능하도록 네트워크를 구축하는 것이 중요하다.

넷째, 국제 협력과 글로벌 표준 정합성을 확보해야 한다. 사이버 위협은 국경을 넘나든다. SBOM 제도화나 클라우드 보안 요건 개선은 글로벌 트렌드에 부합한다. NIST, ISO 등 국제 표준을 적극 수용하고, 주요국과 정보 공유 체계를 강화하며, K-Security의 글로벌 경쟁력을 높이는 방향으로 나아가야 한다.

다섯째, 기업의 자발적 보안 문화 정착을 유도해야 한다. 규제와 처벌만으로는 한계가 있다. 보안 투자가 실제로 기업 가치를 높이고 고객 신뢰를 증진시킨다는 인식이 확산되어야 한다. 보안 등급이 높은 기업에 대해서는 공공 입찰 가점, 금융 우대, 세제 혜택 등 인센티브를 제공하고, 우수 사례를 적극 홍보하여 선순환 구조를 만들어야 한다. CEO와 이사회가 보안을 단순한 IT 문제가 아니라 경영 전략의 핵심으로 인식하도록 교육과 캠페인도 병행되어야 한다.