사이버 보안 전문가 부족 문제를 해결하려는 노력은 언젠가 결실을 맺을 수 있다. 그때까지 CISO는 실용적인 솔루션을 최대한 활용해야 한다.
경험적 증거에 따르면 지난 몇 년 동안 전 세계 사이버 위협은 크게 증가했다. IMF의 연구인 ‘사이버 위협의 증가로 인한 금융 안정성 우려’에 따르면 지난 20년간 금융 부문에서만 2만 건의 악성 사이버 사고로 인해 120억 달러의 손실이 발생한 것으로 나타났다.
안타깝게도 이런 사이버 위협 환경은 잘 알려진 사이버 인재 격차 문제와도 맞물려 있다. 예를 들어 세계경제포럼은 전 세계적으로 필요하지만 부족한 사이버 보안 전문가 수를 약 400만 명으로 추정했다. ISC2도 2023년 사이버 보안 인력 연구에서 이 400만 명이라는 수치를 인용해 전년 대비 12.6% 증가했다고 밝히며, 전망이 밝지 않다고 언급했다.
더 심각한 문제는 모든 보안팀이 증가하는 위협과 인재 격차 심화로 인해 어려움을 겪고 있다는 점이다. 향후 인재 파이프라인을 확장하기 위한 벤더와 교육 기관의 노력은 환영할 만한 일이지만, CISO에게는 지금 당장 해결해야 할 실질적인 문제가 있다.
다행히도 몇 가지 조치를 고려할 수 있다.
인재 격차가 사이버 보안팀에 미치는 영향
인재 격차로 인한 압박은 매우 우려스러운 문제다. 세계경제포럼에서 지적된 바와 같이 약 71%의 조직에서 사이버 보안 역할의 공석이 발생하고 있다. 더 심각한 문제는 이러한 공백으로 인해 기존 사이버 보안 직원 한 명이 더 많은 업무를 수행해야 한다는 점이다.
이로 인해 발생하는 스트레스와 압박은 직원의 상황을 악화시키고 사이버 보안 경력의 매력을 떨어뜨릴 수 있다. 급여는 다른 IT 분야보다 높지만, 업무 요구 사항도 더 높기 때문이다.
설상가상으로 수요와 공급의 경제학에 따라 부족 현상이 특정 국가와 산업에 편중돼 있으며, 조직 내에서도 클라우드, AI/ML, 제로 트러스트 같은 핵심 기술에 대한 격차가 존재한다.
하지만 이런 기술은 어디까지나 주로 언급되는 항목일 뿐이다. 경험에 비춰 볼 때, 불가능하지는 않더라도 검색하기 어려운 핵심 보안 기술을 몇 가지 덧붙일 수 있다.
• 사이버 아키텍처
• ID 및 권한 액세스
• 데브옵스
• 침입 탐지
• 네트워크 보안
• 위협 인텔리전스
• 사이버 규제 거버넌스
이를 종합하면 사이버 보안 운영의 거의 모든 부분을 다루게 된다.
보안 전략의 위험 영역
사이버 보안 성숙도의 개선은 격차와 기존 리소스에 대한 부담으로 인해 지연되는 경우가 많다. 그 결과 사이버 위협에 대비하는 조직의 역량이 즉각적으로 영향을 받고, 사이버 보안팀의 사기는 또 한 번 타격을 입는다.
주로 영향을 받는 보안 활동은 이렇다.
• 취약점 패치 시간
• 시스템 구성에 대한 제어
• 위험 평가 및 관리에 대한 집중
• 사고 대응 속도
보안팀의 인력이 부족하면 서드파티에 지나치게 의존하게 되는 경우도 있다. 이는 위험 영역에 더 오래 머무르게 하기 때문에 CISO 입장에서는 달갑지 않은 일이다. CISO의 평균 재임 기간은 2년이며, 현재 상황에서는 그 역할이 더욱 중요할 수밖에 없다는 점을 기억해야 한다.
파이프라인 문제
그렇다면 이 문제를 어떻게 해소할 수 있을까?
세계경제포럼이 언급한 400만 명의 사람에게 사이버 보안 교육을 실시하는 데는 엄청난 노력이 필요하다. 구글, 마이크로소프트 등의 벤더는 사이버 보안 자격증과 교육 프로그램을 통해 이런 노력을 기울이고 있다. 전 세계 정부 기관에서도 격차를 해소하기 위한 프로그램을 진행하고 있다.
그러나 직장에서는 학력보다 경험이 우선시되며, 자격증이 유용하긴 하지만 실전 경험을 대신할 수는 없다. 따라서 대부분의 기업은 실무 경험이 없는 직원을 채용하기를 꺼린다.
시간이 지나면 교육 프로그램 중심의 접근 방식이 도움이 될 수 있지만 이를 위해서는 정부와 기업이 진입 장벽을 줄이기 위해 노력해야 하며, 신입 직원이 사이버 보안 역할에서 경력을 쌓을 수 있도록 인턴십을 지원해야 한다.
그때까지 CISO는 문제와 계속 씨름해야 하기 때문에 이를 정면으로 해결하기 위한 기술 전략을 재고할 필요가 있다.
인접성과 채용에 대한 재고가 또 다른 해답
인접 분야에서 일하면서 사이버 보안을 배울 기회가 있는 기존 직원의 역량을 강화하려면 어떻게 해야 할까? 예를 들어 엔터프라이즈 클라우드 아키텍트는 클라우드 보안 또는 애플리케이션 보안에 대한 기본적인 이해도를 갖췄기 때문에 더 깊이 있는 학습을 통해 보안 전문가로 성장할 수 있다.
마찬가지로 일부 데브옵스 엔지니어는 데브섹옵스에 대한 감각을 갖고 있기 때문에 해당 역할을 풀타임으로 맡을 수 있다. 이들은 이미 엔지니어의 언어를 구사하기 때문에 따로 배울 필요가 없다는 장점도 있다.
특정 교육과 사이버 자격증을 취득하면 지식 격차를 해소하는 데 도움이 될 수 있다. 하지만 CISO에게 있어 관건은 다른 팀에서 자신의 팀으로 전환할 수 있는 직원을 파악하는 데 있다. 사이버 보안 역할에 적합한 후보자의 경험과 행동을 정확히 파악하려면 어느 정도의 통찰력이 필요하다.
또한 순환 프로그램 개발도 유용할 수 있다. 사이버 보안은 흔히 훌륭한 경력 전환으로 인식되기 때문에 참여율이 높을 것으로 예상된다.
또 한 가지 주목할 내용은 사이버 보안에 오랫동안 다양성 문제가 있었다는 점이다. CISO는 새로운 인재 풀을 찾을 때 더 폭넓게 생각해야 한다. 여성을 팀원으로 채용하는 것도 중요하다. 이는 여전히 흔한 일이 아니며, 많은 기업의 보안 조직에서 여성의 자리는 아직 충분치 않다.
전반적으로 CISO와 사이버 보안 리더십팀은 다양한 전략을 시도하고 각자의 역할에 강력한 역량을 갖춘 인재를 채용해야 한다.
가능한 한 자동화하기
인력이 부족한 팀의 스트레스를 완화하는 또 다른 방법은 가능한 한 자동화하는 것이다. 사이버 보안 프로세스에는 많은 수작업이 필요하다. 자동화의 우선순위를 정함으로써 CISO는 팀이 보다 전략적인 업무에 집중할 시간을 확보할 수 있다.
이런 자동화 노력에는 데이터와 AI도 포함될 수 있다. 하지만 일반적인 CISO는 데이터나 AI에 대한 배경 지식이 많지 않다. 따라서 자동화를 위해 이런 요소를 활용하려면 다른 팀과의 협력이 필요할 수 있다. 이는 항상 쉬운 해결책은 아니다.
성공에 대한 마음가짐
마지막으로 팀의 사기를 높이려면 태도가 중요하다. 직원들은 자신이 변화를 만들고 있으며 가치 있는 존재라고 느껴야 한다.
몇 년 전, 외부 미팅을 위해 사이버팀과 함께 티셔츠를 준비한 적이 있다. 검은색이 아닌 밝은 분홍색에 ‘사이버 록스타’라고 적힌 티셔츠였다. 사이버팀 모두가 자랑스럽게 이 티셔츠를 입었고, 결과적으로 단체로나 개인으로나 매우 성공적이었다.
사이버 보안 인재 격차로 인한 문제를 해소하려면 CISO가 앞장서서 도전해야 한다. 저절로 해결되는 일은 없으며, 기존 인재 확보를 위한 경쟁만으로는 보안 강화에 도움이 되지 않는다. 급여만 높을 뿐이다.
기업, 산업, 그리고 적절한 경우 정부 기관의 강력한 개입이 격차에 대한 해답을 앞당기는 데 도움이 될 것이다. 그때까지 CISO는 팀을 관리하고, 내부에서 인재를 찾고, 의미 있는 역량 강화 및 경력 개발 프로그램을 수립하고, 채용 시 간과되는 인재 풀로 시각을 넓혀야 한다.
* David Gee는 금융 서비스 및 제약 업계에서 20년 이상 기술, 사이버 및 데이터 위험 담당 임원으로 근무한 경력을 가지고 있으며, ‘The Aspiring CIO and CISO’라는 책을 저술한 바 있다. dl-ciokorea@foundryco.com
