사이버 보안 인력난 해소를 위한 12가지 전략

사이버 공격자들이 사나워지면 사나워질수록 보안 담당자들은 지쳐간다. 그러면서 보안 인력난은 악화되고 있기도 하다. 하지만 보안 전문성을 갖춘 인재가 하루아침에 등장하지는 않는다. 충분한 교육이 이뤄지기 전까지 기업들은 나름의 생존 전략을 사용해야 한다.

[보안뉴스 문정후 기자] 사이버 보안 교육 및 훈련 전문 단체인 (ISC)²가 2022년 조사한 바에 의하면 현재 전 세계적으로 모자란 사이버 보안 인력은 340만 명이라고 한다. 이 숫자는 가까운 미래에 채워질 것으로 보이지 않으며, 오히려 더 증가할 가능성이 더 높아 보인다. 그렇다는 건 현재 보안 인력이 앞으로 감당해야 할 일이 어마어마하게 많을 것이라는 뜻이 된다.

[이미지 = gettyimagesbank]

IT 업체 마하37(MACH37)의 COO 제니퍼 애디(Jennifer Addie)는 “기술이 발전하고 기능이 추가되는 속도를 보안이 따라잡지 못하고 있다”고 설명한다. “변화가 너무 빨라 보안 분야가 어떤 기술을 필요로 하는지조차 확실하지 않습니다. 뭐라도 정해지면 그 때부터 교육이라든가 훈련 프로그램을 정할 텐데, 그것부터 되지 않습니다. 그러니 간극은 계속해서 벌어질 겁니다.” 그러므로 현장의 전문가들은 인재 확보를 위해 여러 가지 전략을 마련하고 있는데, 그 중 대표적인 것을 정리해 보았다.

1. 사이버 보안에 다가가기 더 쉽게
사이버 보안이 테크놀로지의 한 분야라는 것은 분명한 사실이다. 하지만 보안 전문가들이 테크라는 분야에만 머물고자 한다면(그러므로 외부인들에게 다가가는 노력을 하지 않는다면) 우리는 영원히 340만의 간극을 메울 수 없게 된다. IT 분야의 비전문가들이라면 사이버 보안을 어떻게 이야기 할까? 어떻게 해야 기술적 지식이 많지 않더라도 보안을 더 잘 이해할 수 있을까? 어떤 단어와 표현을 동원해야 할까? 우리는 이제 우리 분야를 외부인들의 시각에서 더 표현할 수 있어야 한다.

“의도했던 의도하지 않았든, IT 분야의 전문 용어만으로 보안을 설명하려 하는 건 일종의 엘리트주의입니다. 우리끼리만 아는 단어와 개념으로 우리끼리만 이야기 하면 나머지 사람들이 자연스럽게 배척되지요. 당연히 기분 좋은 경험이 되지 않습니다. 괜히 어려워 보여서 알아보려는 시도조차 하지 않게 되고요. 좀 더 광범위한 분야에서, 보다 많은 사람들이 자연스럽게 보안에 대해 이야기 할 수 있도록 해야 합니다.” 애디의 설명이다.

2. 보안 담당자를 채용할 때, 검색의 범위를 넓히라
1번과 연계된 것으로 이번에는 채용 절차에 있어서도 보안을 보다 ‘다가가기 편한 것’으로 만들어야 할 필요가 있다. IT 업체 델테크놀로지스(Dell Technologies)의 CISO인 케빈 크로스(Kevin Cross)는 “보안 전문가라고 해서 모두가 같은 능력과 기술을 보유하고 있는 건 아니”라는 걸 강조한다. “마찬가지로 모든 보안 관련 공석이 똑같은 인재들로 채워져야 하는 것도 아닙니다.” 그러면서 크로스는 한 가지 경우를 예로 든다.

“제가 아는 사람 중 하나는 전형적인 과학 및 테크놀로지 분야가 아니라 ‘신체 역학’을 전공하기도 했습니다. 하지만 지금은 대단히 유능한 보안 전문가로 활동하고 있지요. 물론 그 사람이 보안의 모든 분야에서 똑같이 활약할 수 있는 건 아닐 겁니다. 하지만 모든 분야가 똑같이 컴퓨터 과학이나 보안을 전공한 사람만을 찾았다면 그 사람이 활약할 기회가 아예 없었겠죠. 보안 담당자 채용 시 전공자만 찾는 건 점점 유효하지 않는 채용 전략이 되어가고 있습니다.”

3. 사회적 소수자들에게 다가갈 방법들을 찾는다
현재 보안 업계를 구성하고 있는 여성 인력은 24% 정도 되는 것으로 집계되고 있다. 흑인은 9%, 아시아인은 8%, 히스패닉 계열은 4%를 밑돈다. 어쩌면 우리는 아직까지도 너무 한정된 그룹 안에서 후보들을 찾고 있는 건 아닌지 되돌아볼 수밖에 없게 만드는 통계 자료들이다. 좀 더 그물을 넓게 펼쳐야 많은 인재들을 확보할 수 있는 건 당연한 사실이다.

IT 인력 충원 전문 업체 넥서스IT그룹(Nexus IT Group)의 트라비스 린더모엔(Travis Lindemoen)은 “다양한 배경을 가진 사람들에게 손을 뻗치는 건 단순히 사회 윤리적으로만 좋은 게 아니고 실질적으로 인재를 충원하는 데 도움이 되는 일”이라고 강조한다. “실력을 객관적으로 평가하고, 그러한 결과를 바탕으로 사람을 채용할 수 있는 체계를 기업 내적으로 강화할 필요가 있습니다.”

크로스는 “채용 공고에서부터 포용적인 언어를 사용해야 한다”고 권고한다. “보안 직무나 IT 직무를 소개할 때 우리는 은근히 사람들을 배척하는 언어를 쓰곤 합니다. 물론 아무나 고용할 수 없으니 자격에 맞는 사람만 들어오라고 권하기 위해 그럴 수밖에 없는데요, 그 과정에서 뜻하지 않게 엉뚱한 사람들이 배척되기도 합니다. 채용을 하고자 하는 사람에게서 최소한의 자격을 요구하는 것과, 특정 부류의 사람들을 의도치 않게 배척하게 되는 것은 완전히 다른 문제입니다.”

다양한 사람들을 채용하고, 소수자들에게 기회를 주는 게 어렵게 느껴진다면, 그 방면에 전문성을 가지고 있는 외부 파트너의 도움을 받는 것도 좋은 생각이다. 예를 들어 델테크놀로지스의 경우 2017년부터 흑인들이 전통적으로 많은 비율을 차지하고 있는 대학 기관들과 파트너십을 체결하여 인재들을 육성하고 고용하고 있다. 미국의 사이버 보안 전담 기관인 CISA는 ‘여성 사이버보안 인력(WiCyS)’이라는 비영리 단체와 파트너십을 맺고 성별 격차를 줄이고자 노력하는 중이다.

4. 조직에 맞는 전략을 개발하라
사이버 보안 인재를 확충하기 위해 산업 전체적으로 전략을 구상하고 조치를 취한다는 건 대단히 중요한 일이다. 다만 그런 ‘전체적인 움직임’ 때문에 기업과 조직 하나하나가 가지고 있는 고유하고 특수한 피해가 간과되어서는 안 된다. 산업 전체가 도모하면서 해결해가야 할 항목이 있고, 그 맥락 안에서 각 조직들이 개별적으로 충족시켜야 할 것들이 있다.

IT 업체 세일포인트(SailPoint)의 CPO 애비 페인(Abby Payne)은 “사이버와 관련된 정책이나 표준들을 맹목적으로 도입하는 경우가 많다”며 “그저 다른 조직에서 같은 방식을 보여주었기 때문에 우리도 한다는 방식은 현명하지도, 효과적이지도 않다”고 강조한다. “전체적이니 고용과 인재 현황에 대한 트렌드를 늘 조사해서 익힌다는 건 바람직한 일이 맞습니다. 하지만 지나치게 그쪽으로만 가서는 온전하지 않습니다. 크게도 보고 작게도 볼 수 있어야 합니다.”

5. 후보자들이 원하는 것을 구체적으로 파악하라
누군가를 고용하려 할 때, 채용 담당자들이 흔히 하는 실수가 있다. 완벽한 인재를 머릿속에 그려놓고 이력서를 열람하고 인터뷰를 진행한다는 것이다. 하지만 지금처럼 고용이라는 것 자체가 하나의 중요한 경쟁 항목이 되어가는 때에 ‘이상적인 인재’만을 고집해서는 아무도 확보할 수 없게 된다. 그러면서 크로스는 “우리 회사는 인재들이 일하고 싶어 하는 곳인가?”를 점검하는 게 요즘에는 더 효과적임을 강조한다.

사람들이 오고 싶어 하는 회사는 어떻게 만들어질까? 당연하지만 급여와 복지가 많은 것을 좌지우지한다. “무조건 늘릴 수도 없는 것이 급여와 복지입니다. 채용되는 순서대로 급여를 많이 약속할 수도 없고요. 그러다가 뒤늦게 핵심 인재가 영입됐을 때 급여를 감당할 수 없게 되거나, 영입을 취소해야 할 수도 있게 됩니다. 그러므로 후보자들이 혹할 만한 다른 조건들을 고민해 보는 게 중요합니다. 이를 테면 근무를 탄력있게 할 수 있도록 해 줘도 꽤나 관심을 갖는 사람들이 늘어날 겁니다.”

물론 재택 근무가 좋으냐 사무실 근무가 좋으냐가 어느 하나로 딱 정해지지는 않은 상황이다. 하지만 그렇기 때문에 임직원들은 이것도 되고 저것도 되는 탄력 근무제를 중시하고 있다. “가능한 상황에서 원격 근무 여건을 최대한 제공해준다는 것만으로도 요즘은 일하기 좋은 회사가 될 가능성이 높습니다. 게다가 재택 근무제를 통해 지리적인 제한을 없애면, 그것만으로도 회사로서는 인재 확보에 있어 꽤나 유리한 고지를 점할 수 있습니다.” 크로스의 설명이다.

6. 성장의 기회를 제공하라
사회에서 전문성을 가지고 일하는 사람들 중 거의 대부분은 자신이 속한 곳에서 성장하고 발전하기를 원한다. 특정 회사가 성장의 발판이 된다고 판단이 된다면 급여를 줄이고서도 그 회사로 가려는 사람들도 꽤나 자주 만날 수 있다. 개개인의 성장은 당연하게도 조직에 도움이 된다.

“회사가 특수한 사이버 보안 분야의 필요를 위해 직원들에게 공부와 훈련을 요구했을 때 직원들은 오히려 불만을 가질 수 있습니다. 새로운 기술이 잘 습득되지 않지요. 하지만 스스로가 원해서 새로운 기술을 익힌 직원은 회사에서 그것을 능동적으로 발휘하고자 하는 게 보통입니다. 회사가 이러한 방향성에서 길만 잘 터준다면 불만의 비율은 낮추고 많은 걸 얻어갈 수 있습니다.” 페인의 설명이다.

린더모엔은 “기업은 먼저 개개인의 발전과 성장을 가로막지 않는 것부터 시작해야 한다”고 짚는다. “기업이 나서서 직원들 스스로 공부하는 걸 훼방하지는 않지요. 하지만 개인의 시간을 좀처럼 인정해 주지 않는 문화가 기업 곳곳에 배어 있는 경우가 많습니다. 업무 속도를 높이기 위해 사무실 책상에서 자료를 찾아보거나 책을 읽는 걸 불편해 하지 않는 상급자들 찾는 게 은근 어렵지요. 심지어 회사가 요구하는 교육 프로그램을 퇴근 후로 계획하는 곳들도 많아요. 개인의 발전을 회사의 이득으로서 가져가고 싶다면, 개인의 발전 시간을 회사가 먼저 인정해주어야 합니다”

7. 보안을 문화적인 맥락에서 강조하라
보안은 더 이상 담당자들만의 분야가 아니다. 그런 부분도 있지만 일반 임직원들이 보안에 대한 기술적 지식 없이도 참여해 주고 실천해 주어야 하는 부분도 존재한다. 그리고 그런 일반인들의 참여가 보안 강화와 무사고에 결정적인 역할을 한다는 건 보안 전문가 모두가 인정하고 있다. 다만 아직까지는 ‘인정’에서 그치고 있지 실제적으로 모두가 보안 책임을 지고 있다는 걸 제대로 전파하고 있지는 못하고 있는 게 대부분 조직들이 가진 한계다.

IT 관리 소프트웨어 기업인 매니지엔진(ManageEngine)의 부회장 마니칸탄 탄가라이(Manikandan Thangaraj)는 “소셜엔지니어링과 표적형 피싱 공격을 방어하는 데 있어 일반 임직원들의 보안 인지 수준이 절대적으로 중요한 역할을 한다”고 짚는다. “일반 임직원 차원에서 이 두 가지 유형의 공격만 잘 방어해 줘도 보안 담당자들이 현장에서 감당해야 할 업무량은 크게 줄어듭니다. 번아웃이 늦게 오고, 이직률 또한 크게 줄어들죠.”

보안 업체 이뮤타(Immuta)의 CISO 마이클 스콧(Michael Scott)은 “보안 담당자들의 번아웃은 주로 ‘나 혼자만 애쓰고 있다’는 생각이 들 때 찾아온다”며 “보안의 모든 실천 요소들을 하찮고 귀찮은 것으로 여기는 임직원들의 태도가 가장 결정적인 역할을 한다”고 지적한다.

8. 번아웃을 무시하자 말라
해커들은 항상 공격 모드를 유지하기 때문에 보안 담당자들은 쉴 틈이 없다. 게다가 방어해야 할 자산은 기하급수적으로 늘고, 공격의 방식 역시 만만치 않은 속도로 증가하고 있다. 해커들보다 한 발만 앞서도 방어를 수월하게 할 수 있다고 하는데, 그 한 발은 사하라 사막보다 광활해 보인다. 그렇기 때문에 보안 담당자들은 잦은 번아웃을 호소하는 편이며, 그래서 이직률도 높다.

번아웃은 아직 여러 조직 내에서 ‘불평’과 동일하게 취급된다. ‘안 힘든 사람이 어디 있는가’가 대표적인 대응책이다. 근성이 부족해서 생기는 일이라는 이론도 널리 받아들여지고 있다. 그렇기 때문에 번아웃이 찾아왔을 때 대응은 개개인의 몫이 된다. 대부분은 조직을 떠나는 것으로 이 번아웃에서 살아남으려 한다.

하지만 번아웃이 실제로 무엇이든, 어떻게 나타나는 것이든, 결국 근무자들이 이탈해 새롭게 사람을 뽑아야 되는 건 회사다. 공고를 올리고 후보자들을 뽑고 인터뷰를 진행해 협상을 하고, 다시 처음부터 가르쳐야 하는 모든 부담이 오롯이 회사에게 지워진다. 컨퀘스트사이버(Conquest Cyber)의 인력 확보 책임자 조시 윅스(Josh Wiggs)는 “인력 확보가 어려운 때, 보안 담당자들의 번아웃을 조직 차원에서 해소시킬 방안을 마련하는 게 장기적으로 좋은 전략이 될 수 있다”고 강조한다.

9. 학생들과 교육 과정에 관심을 두라
학생들과 교육 과정에 기업이 투자한다는 것 역시 생각보다 괜찮은 전략이 될 수 있다. 린더모엔은 “학생들에 투자한다기 보다 교육 기관들과 장기적인 관계를 유지한다는 측면에서 접근해야 한다”고 권장한다. “특히 사이버 보안과 IT 여러 학과목에 강점을 가진 대학 기관들과는 반드시라도 해도 될 만큼 연을 맺어두는 게 좋습니다. 인재 외에도 젊은 세대와 학생들의 필요를 비교적 정확하게 파악하려면 이런 교육 기관들로부터 정보를 얻는 게 중요하거든요.”

중고등학교의 학생들에게 보안이라는 분야를 적극 설명하는 것도 큰 도움이 된다. “IT 분야라고 하면 대부분 프로그래밍이나 인공지능과 같은 신기술 개발을 생각하지 보안을 떠올리지는 않습니다. 거기서부터 보안 인재난은 시작되는 것이죠. 일찍부터 이런 분야가 있다는 걸 알려주고, 어떤 공부를 하면 흥미로울 수 있는지 귀띔을 해주는 식으로 학생들에게 접근한다면 수년 안에 결실을 거둘 수 있으리라고 생각합니다.”

물론 그 결실은 특정 기업이 아니라 산업 전체의 것이 될 가능성이 높다. “우리 회사가 한 고등학교에 투자해 여러 가지 직업 교육과 훈련을 진행했다고 하더라도, 그 학생들이 우리 회사로 온다는 보장이 없다면 아무 소용 없는 것 아니냐고 질문할 수 있습니다. 타당한 지적입니다. 그러므로 이것은 되도록 많은 기업들이 산업 전체를 촉진하는 차원에서 접근하는 게 좋습니다. 보안 업계가 주도적으로 기획해야 하는 일 중 하나라고 봅니다.” 애디의 설명이다.

10. 인턴십 프로그램을 적극 활용하라
인턴십은 여러 다양한 산업에서 흔히 가져가는 전략 중 하나다. 그리고 실제로 훌륭한 인재를 이 인턴십을 통해 만나기도 한다. 보안에서도 충분히 활용할 만한 제도 및 전략이라고 윅스는 강조한다. “물론 인턴십 프로그램을 기업 입장에서 간단히 결심할 수 있는 것은 아닙니다. 여러 모로 부담이 되지요. 적긴 하지만 급여가 들어가고, 회사 업무로 바빠야 할 선배 인재들을 교육 담당자나 멘토로서 붙이기도 해야 하니까요. 그리고 인재를 좀처럼 찾지 못하는 상황에 빠질 수도 있습니다. 하지만 이런 실패 사례 하나하나에 일희일비하지 말고 꾸준히 진행한다면 언젠가 투자한 것 이상의 결실을 거둘 수 있을 겁니다.”

11. 아웃소싱도 큰 도움이 될 수 있다
보안 인력에 대한 경쟁이 치열하다는 건 어떤 조직은 결국 보안 담당자를 충분히 채용하지 못한 채 사업을 이끌어가야 한다는 뜻이 된다. 실제로 필요한 만큼 보안 전문가를 내부에서 확보한다는 것은 아무 조직에 허락되는 건 아니다. 그렇기 때문에 IT 분야의 다른 담당자가 보안을 떠맡기도 하는데, 이 역시 생존 전략이라고 볼 수 있다. 하지만 좋은 전략은 되지 못한다. 차라리 외부 보안 전문가에게 일을 맡기는 아웃소싱에 투자하는 게 더 나을 수 있다.

탄가라이는 “외부 인력을 적재적소에 활용할 수 있다면 내부에 인력을 두는 것보다 훨씬 효과적인 예산 운영과 비용 절감이 가능할 수 있다”고 강조한다. “보안 회사 전체를 렌탈하라는 게 아닙니다. 내부 보안 인력은 아주 필요 없다는 뜻도 아닙니다. 내부의 보안 인력과 외주 인력을 가장 효율적으로 운영할 수 있을 만한 지점을 찾아내라는 뜻입니다. 이를 통해 내부 보안 인력의 이탈 및 번아웃 확률을 유의미하게 줄이는 게 가능해집니다.”

12. 자동화를 활용하라
크로스는 “데이터나 기술이나 인프라 모두 빠르게 확장하고 있다”며 “물리적 한계를 가진 인간은 이제 이 확장의 속도를 도무지 쫓아가지 못하게 됐다”고 강조한다. “전문성을 가진 인간을 육성하는 것도 중요합니다. 다만 그 전문성 중 단순 반복적인 임무를 빠르게 처리하는 능력은 이제 기술에게 넘겨주어도 됩니다. 정말 인간이 해야 할 일을 정확하게 해낼 수 있도록 사람을 키우고, 나머지 자잘한 일들은 자동화 기술로 대체하는 방안을 마련해야 한다는 것입니다.”

보안 전문가들을 단순 업무에서 벗어나게 하는 것만으로도 보안은 강화된다고 탄가라이는 강조한다. “단순하고 반복적인 일은 기계가 훨씬 잘합니다. 정확하기도 하죠. 대신 인간이 뇌를 써서 해야 하는 일은 인간이 훨씬 잘합니다. 그렇다면 서로 잘 하는 걸 더 많이 하게 해 주는 게 좋은 효과를 낸다는 게 자명한 사실 아닐까요? 전문가들이 전문성을 최고치로 발휘하게 해 주어야 하는 몫을 기업이 가지고 있다는 게, 현재의 인력 확보 전쟁의 이면입니다.”

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
	공급망 공격
	다크웹 기반 랜섬웨어 조직
	북한/중국/러시아 등 국가 지원 해킹그룹 활동
	스마트폰을 노린 보안 위협
	OT 타깃 공격
	피싱 공격
	기타(댓글로)