세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
전 세계적으로 보안 인력 300만 명 모자란다
  |  입력 : 2018-10-18 13:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
(ISC)²의 연구 결과...채용 과정의 모호함과 기술의 가파른 발전이 원인
사람이 모자라 시간 많이 소요되는 일들에 많은 노력 집중될 수밖에 없어


[보안뉴스 문가용 기자] 사람이 모자란다 모자란다 하더니 결국 ‘공석’이 3백만에 이르게 되었다. 보안 인력을 찾고, 고용하는 것이 더욱 어려워질 전망이다. 그러므로 앞으로 방어에도 더 심각한 균열이 갈 것으로 보인다.

[이미지 = iclickart]


보안 인력 교육 전문 기관인 (ISC)²가 발표한 보고서, ‘2018 사이버 보안 인력 연구(2018 Cybersecurity Workforce Study)’에 의하면 보안 인력이 가장 모자란 곳은 아태지역이다. 214만 명의 보안 인력이 더 필요하다고 한다. 그 다음은 북미 지역으로 약 49만 8천 개의 보안 전문가 자리가 비어있다. 유럽과 중동, 아프리카가 14만 2천 명으로 그 뒤를 이었고 라틴 아메리카가 13만 6천 명인 것으로 나타났다.

이번 연구를 위해 (ISC)²는 인터뷰도 진행했는데, 응답자의 63%가 “보안만 전문으로 하는 인력이 없다”고 답했다. 60%는 “인력이 모자라기 때문에 조직이 꽤나 혹은 매우 위험한 상태에 놓여 있게 되었다”고 했으며, 37%는 “가장 시급하게 해결해야 할 부분”이라고 답했다. 이는 자원(29%), 투자액(28%), 시간(27%)이 모자란 것보다 더 큰일인 것으로 집계됐다.

현재 근무 중인 보안 전문가들에게 있어 가장 어려운 점은 ‘과중한 업무의 분산 배치’라고 한다. 보안 관리, 사건 대응, 엔드포인트 보안 관리 등 시간을 지나치게 소비하게 되는 업무가 있어 다른 일들을 효율적으로 할 수 없다는 것이다. 첩보 분석, 침투 실험, 포렌식 등 좀 더 가치가 높은 일에도 시간을 투자하고 싶은 게 그들의 소망이라고 응답자들 대부분은 밝혔다.

하고 싶은 일을 못하게 되는 이유는 무엇일까? 24%는 “보안 기술력을 갖춘 직원이 없기 때문에 내가 해야 한다”고 답했다. 역시 사람이 모자라기 때문에 나타나는 현상 중 하나라고 볼 수 있는 것이다. 그러나 (ISC)² 보고서에 의하면 이는 단번에 향상시키기 어려운 부분이다. 조직들은 어떤 식으로 이 상황을 타파해갈 수 있을까?

정보보안의 고용 문제
(ISC)²의 사이버 보안 지원 책임자인 존 맥컴버(John McCumber)는 “고용 방법부터가 문제”라고 설명한다. “기업들도 사람이 더 필요하다는 걸 알고 있어요. 48%가 1년 안에 보안 전문 담당자를 채용해야 한다고 인지하고 있기도 하죠. 하지만 어떻게 해야 그런 사람들을 찾아서 회사에 다니게 할지는 모릅니다. 사람이 절대적으로 부족하다는 것도 틀린 말은 아니지만, 그것 때문에 보안 인력을 채용할 수 없는 것만은 아니라는 겁니다. 고용에도 더 나은 방법이 있습니다.”

그가 지적하는 문제는, “인사 담당자가 보안이라는 커다란 틀 안에서 정확히 어떤 기술을 가진 사람을 회사가 필요로 하는지 이해하지 못하고, 지원자들에게 정확하게 전달하지도 못한다”는 것이다. “같은 보안 전문가라 하더라도 기술과 지식적인 측면에서 천차만별일 수 있거든요. 보안은 정말로 광범위한 분야입니다. 필요한 내용을 콕 짚어줄 수 있는 고용 절차가 필요합니다.”

(ISC)²의 CEO인 데이비드 쉬어러(David Shearer)는 다른 문제점을 지적한다. “새로운 기술의 발전과 공격의 진화를 따라잡는다는 게 쉽지 않습니다. 개인적으로도 이런 것을 전부 공부하는 게 어렵고, 조직적으로도 새로운 기술에 대한 전문 지식과 방어 체계를 쌓아가는 게 까다로운 일이죠. 그러한 틈 사이로 보안 위협이 발생하고, 인력난이 생기는 것입니다.” 위협이 빠르게 진화하는 가운데, 그때그때 필요한 사람을 찾는다는 게 그리 간단하겠냐는 것이다.

그러나 사이버 보안과 관련된 기술이라고 해서 전부 신기술과 관련된 건 아니다. 맥컴버는 소위 ‘메이저급’이라고 분류되는 기술 기업들은 현재 ‘윤리적인 차원’에서의 보안 문제와 씨름하고 있다고 설명한다. “데이터를 수집하고, 사용하고, 공유하고, 보호하는 데 있어 기술만이 아니라 윤리적인 측면의 고민도 필요하다는 걸 깨닫고 생각을 시작한 것입니다. 그러므로 보안 담당자 중에서는 이런 윤리문화적인 면을 지도할 사람도 필요합니다. 그리고 그것이 곧 회사의 얼굴이 됩니다.”

쉬어러는 “그래서 결국은 교육으로 이야기가 귀결된다”고 설명한다. “현재 교육 시스템은 기술 산업이 요구하는 인재를 양성하기 위해 노력하고 있습니다. 하지만 전통의 교육 시스템으로는 이 요구를 다 충족시킬 수가 없다는 것만 드러나고 있습니다. 전통의 교육 시스템을 가진 대학에서 4년짜리 학위를 받아야만 조직 내에서 기술적인 역할을 담당할 수 있는 건 아닙니다. 더 짧은 시간에도 인턴십이나 각종 훈련 코스를 통해 필요한 지식을 습득하는 게 가능하죠.”

실제로 이번 연구에 참여한 응답자들 중 35%는 강사와 학생이 대면해서 하는 교육이 가장 가치가 높다고 답했고, 27%는 회사가 그러한 교육의 기회를 제공하고 있다고 답했다. 인터넷 기반의 장거리 교육이 가장 가치가 높다고 답한 사람은 31%였다. 그 외에 컨퍼런스(28%), 개인적인 학습(26%), 가상 교실(25%)에 대한 선호도가 나타나기도 했다.

또한 보안이라는 분야 내에서 가장 중요한 전문 기술로는 다음이 꼽혔다.
1) 보안 인식(58%)
2) 리스크 분석과 관리(58%)
3) 보안 관리(53%)
4) 네트워크 모니터(52%)
5) 사건 수사 및 대응(52%)
6) 침투 탐지(51%)
7) 클라우드 컴퓨팅과 보안(51%)
8) 보안 엔지니어링(51%)

현재 사람이 특히 모자란 분야는 클라우드, 침투 테스트, 위협 첩보 분석, 포렌식 등인 것으로 밝혀졌다.

3줄 요약
1. 보안 인력, 전 세계적으로 300만명 더 필요한 실정.
2. 보안 분야 넓어서 ‘정확히 요구되는 기술’을 콕 짚어주는 채용 과정 필요함.
3. 교육 통해 문제 해결하는 게 근본적. 교육이 반드시 길 필요는 없음.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술