보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

사이버 보안에 대한 투자, 사람이 언제나 먼저다

입력 : 2022-02-04 23:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
사이버 보안은 요 몇 년 동안 고질적인 인력난에 부딪혀 왔다. 그리고 이 ‘난’은 실질적인 악영향과 각종 사고로서 현재 존재감을 드러내는 중이다. 그럴 때 기업들이 더 집중해야 하는 것이 있으니, 바로 사람이다.

[보안뉴스 문가용 기자] 사이버 보안 전문가들에 대한 수요는 계속해서 높아지고 있고, 아직도 공급은 따라가지 못하고 있다. 2021년 전 세계에서 70만 명 이상이 새롭게 사이버 보안 분야로 유입됐지만, 더 채워져야 할 자리가 아직 272만 개나 남아 있는 상황이다.

[이미지 = utoimage]


사이버 보안 인력 부족 문제는 실제 삶 속에서까지 영향을 미치고 있다. 인력이 부족해 생기는 침해 사고들이 늘어나고 있으며, 인력이 부족해 도난당하는 데이터도 증가하고 있다. 더 크게 보면 인력이 부족해 기업과 공동체, 심지어 국가까지 해킹 공격에 더 많이 노출되는 게 지금의 현상이다. 보안 인력 부족 문제에 대한 좀 더 심도 깊은 이해가 필요한 시점이다.

사이버 보안 인력 부족이라는 현상의 세분화
세계적인 보안 교육 기관인 (ISC)2가 조사한 바에 의하면 사이버 보안 전문가들의 67%가 자신들의 조직에서 보안 인력 부족을 느끼고 있으며 이 때문에 생기는 사이버 위협이 실제적으로 증가하고 있다고 밝혔다고 한다. 이들 중 60%는 인력이 부족하기 때문에 공격에 당할 가능성이 크게 높아졌다고 답하기도 했다.

2020년에 비해 2021년에는 보안 인력이 조금은 더 채워지긴 했지만 그럼에도 인력 부족은 심각한 상황이다. 하지만 이 문제를 ‘전체적’으로만 보면 해결이 더 막연하게 느껴진다. 보안의 기능적 세부 분야로 나눠서 볼 필요가 있다. 그래야 어느 분야로 새 인재들이 몰리고, 어디서 특히 부족 문제가 심화되는지 알 수 있으니까 말이다. 그래서 우리 (ISC)2에서는 나이스 프레임워크(NICE Framework)를 사용해 사이버 보안 분야를 30개의 전문 분야와 50개의 직무로 구분해 조사를 진행했다.

뚜껑을 열어보니 사이버 보안이라는 분야 내 모든 곳에서 사람이 없다는 신음이 흘러나왔다. 그렇지만 그 가운데서도 순위라는 건 있었다. 공급망 보안(48%), 분석(47%), 보호와 방어(47%) 분야가 단연 선두를 다투고 있었던 것이다. 그 외에도 사이버 보안 인력이 부족하여 생기는 유형적인 악영향이 있다는 것도 조사됐다. ‘인력이 더 있었으면 막을 수 있었던 일’에 대하여 다음과 같은 응답들이 나왔다.

1) 설정 오류로 인한 사고(32%)
2) 리스크 평가와 관리를 위한 시간 부족(30%)
3) 중요 시스템들의 패치 연기(29%)
4) 업무 프로세스에 대한 불충분한 검토(28%)
5) 무리한 구축(27%)

이런 작은 문제들이 쌓이고 쌓이면 결국 데이터 침해 사고와 랜섬웨어 사건 같은 것들이 터진다. 반대로 이런 작은 지점들이 충실히 보완되어 있었다면 공격자로서는 다른 표적에 눈을 돌릴 수밖에 없게 된다. 사람이 조금만 더 있었어도, 시간이 조금만 더 허락됐어도 효율 높은 보안을 구사할 수 있었을 거라는 뜻이다.

그러므로 필자는 지금 폭주하고 있는 사이버 보안 사고들이 보안 전문가들의 잘못으로 발생하는 게 아니라는 걸 분명해 말해두고 싶다. 회사에서의 보안은 경영의 한 요소로 편입된다. 문제가 생기면 조직 전체에서 경영으로서 해결해야 한다. 물론 조직들도 보안 문제를 해결하려고 돈을 열심히 쓴다. 기술을 사고 솔루션을 사고 파트너십을 맺는다. 하지만 결국 사람이 모자라면 불충분할 뿐이다.

사람이 없다는 이 거대한 문제를 해결하기 위해 조직들은 ‘기술’로 눈을 자연스럽게 돌리는데, 그 결과가 바로 지금의 상황이다. 이럴 때 오히려 사람에 더 집중해야 한다. 솔루션에 투자할 돈을 채용으로 돌리고, 현 인력의 보완 및 교육에 쏟는 게 더 바람직하다. 그래서 새로 살 솔루션을 120% 사용할 줄 아는 사람들이 확보되었을 때 기술 도입을 고려해야 한다.

사실 이는 어지간한 조직의 지도자들 대부분이 인지하고 있는 것으로 보인다. (ISC)2의 조사에서 드러난 바, 조직들이 2022년 동안 투자할 계획인 분야가 훈련(36%), 유연한 근무 체제(33%), 자격증 및 인증서 획득(31%), 조직 내 다양성 및 포용성 분위기 조성(29%)이었으니까 말이다.

인력난을 해결하는 가장 좋은 접근법은 사람을 위주로 한 기술 투자라는 데에 보안 전문가들은 대체로 동의하는 편이다. 그래서 위 조사에서 응답자들 대부분은 기존 임직원들의 훈련(42%), 새로운 인재 고용(31%), 미래 인재에 대한 투자(23%)를 급선무로 꼽았다. 인공지능과 머신러닝, 자동화와 같은 ‘떠오르는 기술’에 지금부터 투자해야 한다고 답한 보안 전문가는 17%에 지나지 않았다. 결국 사람이 모자라는 때이니 사람이 가장 중요한 자원이어야 한다는 소리다.

한 가지 확실히 해 두고 싶은 건, 기술의 잠재력을 간과하고 있지는 않다는 것이다. 아니, 기술은 대단히 중요하며 반드시 있어야 하는 보안의 한 축이다. 자꾸만 ‘사람’이 강조되는 건, 그 기술을 효율적으로 활용하기 위해서 제일 필요한 게 사람이기 때문이다. 어떤 윤리적인 차원에서 기술보다 사람의 가치가 낫다고 주장하는 게 아니라, 어차피 진행될 기술 투자의 잠재력을 최대한 끌어내야 한다는 것이다. 기술 투자를 중단하라는 게 절대 아니다.

2021년 한 해 동안 사이버 보안과 관련된 사건들은 계속해서 신문의 헤드라인을 장식했다. (ISC)2에서 실시한 조사에 의하면 미국 내 임원진 67%와 영국의 임원진 72%가 사이버 보안 팀과 직접 소통하기 시작했다고 한다. 더 이상 사이버 보안 자체의 중요성을 설득할 필요가 없게 된 것이다. 어느 조직이나 보안에 투자할 준비가 되어 있고, 이제 그 방향성을 제대로 설정할 차례다.

글 : 클라 로소(Clar Rosso), CEO, (ISC)2
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)