Home > 전체기사

사람을 찾기만 해서는 안 되는 때, 키울 수 있어야 한다

  |  입력 : 2021-08-30 19:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
전 세계적으로 보안 인력이 300만 명 이상 모자란 상황이다. 이 숫자는 앞으로 더 커질 전망이다. 이런 상황에서 기업이 외부 전문가를 스카우트 할 줄 아는 능력만큼 중요해 지는 건 내부적으로 전문가를 키우는 것이다.

[보안뉴스 문가용 기자] 사이버 보안 팀을 구성하는 데에 있어 조직들이 겪고 있는 가장 큰 어려움은 도무지 사람을 찾을 수 없다는 것이다. 그렇다고 보안 문제들을 손 놓고 볼 수만도 없는 노릇이다. 그래서 점점 많은 기업들이 기존의 내부 직원들로 눈을 돌리고 있다. 사이버 보안 교육 전문 기관인 (ISC)²도 강력하게 권장하는 방법이다.

[이미지 = utoimage]


그러나 이것 역시 손쉽게 채택할 수 있는 방법은 아니다. 왜냐하면 내부적으로 사이버 보안 인력을 키운다는 게 말처럼 쉬운 일이 아니기 때문이다. (ISC)²가 조사한 바에 의하면 약 45%의 조직이 자체적으로 보안 인력을 키워낼 여건을 갖추지 못한 것으로 나타났다. 절반 가까이가 사용할 수 없는 방법이 ‘스스로 양육하기’라는 것이다.

이렇게 인력 확충이 어려운 상황을 더 악화시키는 현상이 하나 더 있다. 사내에 이미 존재하는 사이버 인력을 제대로 붙잡기도 힘든 상황이라는 것. IT 업체인 헤이즈(Hays)가 얼마 전 조사한 바에 따르면 “우리 회사 사이버 담당자를 계속 붙잡을 정도의 여력이 있는 회사”라고 답한 사람은 39%에 불과했다. 고용도 문제고, 고용 유지도 문제라는 뜻이다.

이런 가운데 (ISC)²는 내부 인력을 충분히 사이버 담당자로 키울 수 있다고 “사이버 보안 경력 현황 보고서”를 통해 주장하고 있다. 보안에 대한 전문 지식을 갖추지 않고 있더라도 보안 담당자에 적합한 적성을 갖추고 있을 때 이 전략은 더 빛을 발할 수 있다고 한다. 여기서 말하는 ‘적합한 적성’이란 구두 및 문서를 활용한 소통 능력, 창의력, 문제 해결 능력, 비판적 및 분석적 사고 능력을 말한다.

(ISC)²는 “이러한 특성을 보이는 사람들이라면 보안 전문가를 경쟁이 치열한 현대의 인력 시장에서 완벽한 사람을 찾아내려는 인사 담당자들의 짐을 어느 정도 가볍게 할 수 있다”고 설명한다. 현재 사이버 보안 시장은 전 세계적으로 312만 명이 더 필요한 상황인 것으로 집계되고 있다. 이 숫자는 해가 갈수록 늘어난다.

“300만 명 가까운 사람들이 모자라다는 현상이, 내부자들을 보안 인력으로 전환하는 움직임이 일어나는 이유를 설명해 주죠.” 보안 전문가인 알리사 밀러(Alyssa Miller)의 설명이다. “일단 조직 내에서도 지금 있는 위치에 만족하지 않고 새로운 기술을 익히려는 사람들이 있을 겁니다. 그런 사람들을 조직은 먼저 찾아야 합니다. 그런 다음 그 사람들의 현재 능력을 평가하여 어떤 훈련 코스를 거치게 할 것인지를 정하고, 일과 학습을 어떻게 병행시킬 것인지도 결정해야 합니다. 중요한 건 처음부터 새 사람을 만드는 게 아니라, 지금 가진 것들을 보안이라는 분야에서 활발히 살리는 겁니다.”

물론 헤이즈의 연구 결과처럼 이를 제대로 실행할 수 있는 회사는 많아 봐야 절반 정도인 상황이다. 밀러는 그러한 조사 결과에 대해 “해 보기 전엔 사람을 키울 수 있는 회사인지 아닌지 모른다”고 말한다. 덧붙여 “통계 자료를 가지고 지레 포기하는 것만큼 어리석은 것도 없다”고 강조하다. “지금 당장 갖추지 못하고 있더라도 시행착오를 겪으면서 조직적으로 발전시켜야 하는 능력(새 보안 전문가를 육성하는 것)일지도 모릅니다.”

동시에 있는 인력도 잘 지켜야 한다는 문제가 있다. 어렵게 인재를 구했는데 금방 잃어버리는 것만큼 허무한 게 없다. 내부의 인재를 영입해 훌륭하게 키워놓고 잃는 것도 마찬가지다. 물론 떠나겠다는 사람을 100% 막을 방법은 없다. 그럼에도 영입하느라 혹은 육성하느라 투자한 것을 물거품처럼 꺼지지 않게 하려면 직원들이 최대한 오래 남아 있을만한 환경을 만들어야 한다.

보안 업체 트립와이어(Tripwire)는 이를 위해 다음과 같은 것을 제안한 바 있다.
1) 장기적으로 (ISC)²와 같은 훈련 및 교육 전문 단체와 파트너십을 맺음으로써 조직의 인재 육성이 단순 자리 메우기가 아니라 장기적인 사업 방향임을 직원들에게 알려야 한다.
2) 사이버 보안 담당자라는 직책에 필요한 요건들의 수준을 조금 낮춰 내부 직원들이 조금 더 쉽게 접근(도전)할 수 있도록 한다.
3) 사이버 보안 전문가 혼자 결과 없이 고군분투 하는 일이 없도록 조직 전체적으로 보안의 기본적 실천 사항을 지키는 문화를 형성한다.
4) 경쟁력 있는 급여를 제공한다.

(ISC)²는 “장기적인 관점에서 내부 인재를 육성하는 능력은 모든 기업이 갖춰야 할 소양”이라고 강조한다. “하나하나 어려운 점을 해결해 가면 모든 조직들이 사람을 키워내는 일이 불가능하지 않다는 걸 알게 될 겁니다. 명확한 규율과 훈련 방법, 그리고 꼼꼼한 계획이 필요할 뿐입니다. 교육 단체들과의 파트너십 혹은 교육 사업에의 투자가 앞으로 많은 변화를 이끌어 낼 것입니다.”

3줄 요약
1. 사이버 보안 인력난, 전 세계적으로 300만 명 이상이 모자람.
2. 이 때문에 내부 인력 중 적절한 인재를 뽑아 새로 육성하는 기업 늘어남.
3. 교육을 통해 내부 인력을 육성시키는 것, 미래 기업들에 모두 필요한 소양.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)