속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

정보보호 신입채용에 '경력 우대' 명시하는 이유…AI와 이직률이 바꾼 채용 트렌드

정보보호 직무 신입 채용 시 6개월~1년 경력자에게 가산점을 부여하는 기업이 증가하고 있다. 교육 비용 부담과 높은 이직률, AI 도입 등이 복합적으로 작용한 결과다.

백남정 기자
입력 2026년 7월 7일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/2f931b

핵심 요약

- 정보보호 직무 신입 채용 시 6개월~1년 경력 보유자에게 가산점을 부여하는 기업 증가 - 교육 비용 부담, 높은 이직률, AI 기술 도입이 '경력 우대' 채용의 주요 원인 - 정부의 일경험 지원 프로그램과 기업의 실무 경력 선호 현상이 맞물리는 추세

주요 내용

2026년 현재 정보보호 분야에서 '신입 구함, 경력 필수'라는 역설적 상황이 고착화되고 있다. 실제로 다수의 기업들이 신입 채용 공고에 '경력 우대' 조건을 기본으로 명시하며, 6개월에서 1년의 실무 경험이 있는 지원자에게 가산점을 부여하고 있다.

이러한 현상의 배경에는 크게 세 가지 요인이 작용하고 있다. 첫째, 정보보호 직무의 특성상 신입 교육에 소요되는 비용과 시간이 상당하다는 점이다. ISMS-P 인증 대응, 개인정보 영향평가, 보안관제 등 실무 역량을 갖추기까지 최소 6개월 이상의 집중 교육이 필요하며, 이 기간 동안 기업은 직접적인 생산성을 기대하기 어렵다.

둘째, 정보보호 직무의 높은 이직률이 기업의 신입 채용 기피 현상을 부추기고 있다. 특히 신입 교육을 마친 후 1~2년 차에 더 나은 조건을 찾아 이직하는 사례가 빈번하며, 기업 입장에서는 교육 투자 대비 회수율이 낮다는 인식이 확산되고 있다.

셋째, AI 기술의 발전으로 일부 기초 업무가 자동화되면서, 기업들이 채용 인원을 줄이는 대신 즉시 투입 가능한 경력자를 선호하는 경향이 강화되고 있다. 이에 따라 정부는 청년 취업 준비생을 대상으로 일경험 지원 프로그램을 확대하고 있으나, 기업과 구직자 간 기대치 격차는 여전히 존재한다.

전문가 시각

ISMS-P 심사 현장에서 관찰되는 중요한 문제는 '경력 우대' 채용 관행이 조직의 정보보호 역량 공백으로 이어질 수 있다는 점이다. 특히 중소기업의 경우 경력 인력 확보가 어려워 정보보호 담당자 없이 인증을 준비하거나, 외부 컨설팅에 전적으로 의존하는 사례가 증가하고 있다. 이는 인증 취득 후 사후관리 단계에서 심각한 취약점으로 작용하며, 실질적인 정보보호 수준 향상으로 이어지지 못하는 원인이 된다.

기업 입장에서는 단기적 효율성을 넘어 장기적 관점의 인력 육성 전략이 필요하다. 신입 교육 과정에 멘토링 제도를 체계화하고, ISMS-P 인증 준비 과정을 실무 교육 기회로 활용하는 것이 효과적이다. 또한 정보보호 직무의 커리어 패스를 명확히 제시하여 이직률을 낮추고, 정부 지원 프로그램(K-Digital Training, 청년디지털일자리사업 등)을 적극 활용하여 교육 비용 부담을 경감할 필요가 있다.

ISMS-P 심사원 체크포인트

1. 인적 보안 관리 (2.7.1 정보보호 조직 및 인력 운영) - 정보보호 최고책임자 및 실무 담당자의 적정 배치 여부를 심사 시 중점 확인 - 담당자의 직무 경험과 교육 이수 이력이 조직 규모 및 정보자산 중요도에 부합하는지 점검 - 신규 채용 시 역량 검증 절차(경력 증명, 자격증 보유 등) 및 입사 후 직무 교육 계획 수립 여부 확인 - 개인정보보호법 제31조(개인정보 보호책임자의 지정)에 따른 전문성 요건 충족 여부

2. 교육 및 훈련 (2.7.3 정보보호 및 개인정보보호 교육) - 신입 및 경력 직원에 대한 입사 시 보안 교육 실시 여부와 교육 내용의 적정성 평가 - 정보보호 담당자 대상 연간 교육 계획 수립 및 이행 실적 확인 (최소 연 1회 이상 전문 교육) - 교육 효과성 측정 방법(평가, 피드백 등) 및 교육 미이수자 관리 방안 점검 - 개인정보보호법 시행령 제32조(전문교육기관 지정)에 따른 전문 교육 이수 권장

3. 인력 운영의 연속성 (2.7.2 정보보호 업무 연속성 확보) - 정보보호 담당자 퇴직 또는 이직 시 업무 인수인계 절차 및 기록 관리 체계 확인 - 핵심 인력 공백에 대비한 백업 담당자 지정 여부와 역할 분담 명확성 점검 - 외부 위탁 또는 컨설팅 의존도가 과도할 경우, 내부 역량 확보 계획 수립 여부 확인

CPPG·ISMS-P 연계 포인트

정보보호 조직의 독립성 및 전문성 요건 CPPG 및 ISMS-P 시험에서 빈출되는 개념으로, 정보보호 조직은 업무 수행의 독립성을 보장받아야 하며, 담당자는 정보보호 관련 전문 지식과 실무 경험을 갖추어야 한다. 개인정보보호법 제31조는 개인정보 보호책임자(CPO)의 자격 요건으로 "개인정보보호 업무에 관한 전문성과 경력"을 명시하고 있으며, ISMS-P 인증기준 2.7.1은 조직 규모와 정보자산 중요도에 따른 적정 인력 배치를 요구한다.

정보보호 인력의 교육 및 역량 관리 정보보호 담당자는 변화하는 위협 환경에 대응하기 위해 지속적인 교육과 역량 개발이 필수적이다. ISMS-P 인증기준 2.7.3은 연간 교육 계획 수립, 정기적 교육 실시, 교육 효과성 평가를 요구하며, 개인정보보호법 제31조 제3항은 개인정보 보호책임자 및 취급자에 대한 정기 교육을 의무화하고 있다. 시험에서는 교육 주기(연 1회 이상), 교육 내용(기술적·관리적·물리적 보호조치), 교육 대상자 범위 등이 출제된다.

#ISMS-P#정보보호인력#신입채용#경력우대#정보보호직무
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사