CIO / 보안

사이버보안 분야의 인재 부족 문제를 해결하는 5가지 방법

Mary K. Pratt  | CSO 2020.10.15
대부분 CISO의 보안 팀이 인원이 부족하다. 능력과 자격을 갖춘 인재를 채용해 인적자원을 강화하는 데 수개월이 걸릴 때가 많다. 여기에 더해, 급증한 위협을 다루느라 애를 먹고 있다. 부분적으로는 팬데믹 위기 때문이지만, 사실 코로나19 사태가 발발하기 전부터 위협이 증가하는 추세였다. 이런 복합적인 문제가 다시 한번 사이버보안 인재 부족 문제의 심각성을 부각시키고 있다.
 
ⓒ Getty Images Bank


F5 네트워크의 실버라인(Silverline) 총 책임자이자 부사장, IT 거버넌스 전문가 단체인 ISACC의 회장인 게일 커리는 “과거 어느 때보다 기업 환경 보호가 중요해졌지만, 적절한 스킬을 갖춘 적합한 인재를 충분히 유치하는 데 어려움을 겪고 있다”라고 말했다. 과장이 아니다.

ISACA의 2020년 사이버보안 현황(State of Cybersecurity 2020)에 따르면, 사이버보안 팀의 인원이 부족하다고 대답한 비율이 62%, 사이버보안 일자리가 결원인 상태로 남아있다고 대답한 비율이 57%였다. 또한, 구직자 가운데 자격을 갖춘 비율이 절반 미만이라고 대답한 비율이 70%였다. 여기에 더해, 결원인 사이버보안 일자리에 적합한 자격을 갖춘 구직자를 찾는 데 6개월 이상이 소요되는 것으로 조사됐다.

ESG(Enterprise Strategy Group)와 ISSA(Information Systems Security Association)이 발표한 ‘2020년 사이버보안 전문가의 삶(The Life and Times of Cybersecurity Professionals 2020)’ 보고서에서 공개된 조사 결과도 유사하다. 사이버보안 분야 종사자와 ISSA 회원 327명을 대상으로 한 조사에서 70%에 달하는 기관과 기업이 전세계적인 사이버보안 스킬(인재) 부족 문제에 영향을 받았다고 밝혔다. 몇 년간 각별히 관심을 기울였지만, ‘스킬 갭(스킬 부족)’ 문제가 앞선 해보다 개선되지 않았다고 대답한 비율이 48%, 오히려 악화되었다고 개답한 비율이 45%였다.

한편, 사이버보안 전문가들이 회원인 비영리 단체 (ISC)²는 2019 (ISC)² 사이버보안 인적자원 연구(Cybersecurity Workforce Study) 보고서에서 주목할만한 전망을 제시했다. 이 보고서에 따르면, 현재 전세계의 사이버보안 전문가는 280만 명인데, 여기에 407만 명이 더 필요하다. 전세계적으로 사이버보안 인적자원이 145% 증가해야 한다는 의미다. 미국은 이보다는 사정이 조금 더 나은 편이다. 

(ISC)² 추정에 따르면, 미국 시장의 사이버보안 분야 인적자원은 80만 4,700명으로 49만 8,480명이 부족하다. 수요를 충족하기 위해 인적자원을 62% 증가시켜야 한다는 이야기이다.


오랜 도전과제

전혀 새로운 문제는 아니다. 그러나 보안 분야 리더들은 팬데믹 위기가 촉발한 재택근무로 인해 IT 환경을 쇄신해야 했고, 여기에 더해 공격까지 급증하면서 보안 팀이 더 많은 부담과 압박감을 감수해야 하는 실정이라고 지적했다. 이로 인해, 스킬 갭을 시급히 없애야 할 필요성에 다시금 초점이 맞춰졌다. CISO와 공급업체의 경영진, 기타 보안 리더들은 계속되는 스킬 갭의 원인을 다양하게 분석하고 있다.

인력 공급 문제도 자주 거론된다. 젊은 인력을 보안 분야로 끌어들일 만큼 인재에 대한 강한 수요와 좋은 보수를 촉진하지 못하고 있다. 또한, 여성과 소수계가 적다고 비판한다. 여성과 소수계는 자신과 같은 사람이 많이 없다 보니, 이 분야에 관심을 갖지 않고, 그러다 보니 여성과 소수계가 부족한 상태로 남아있다.

커리는 직접적인 지식, 경험이 동인이 된 사례에 대해 언급했다. 그녀는 고등학교 때 수학을 아주 잘하는 학생이었다. 그렇지만 컴퓨터 분야의 커리어를 고려하지 않았다. 그런데 한 교사가 컴퓨터 분야를 고려해보라고 조언을 했다. 커리는 “그런 조언을 듣지 않았다면, 이 분야에서 커리어를 쌓지 않았을 것이다”라고 말했다.

그러나 비영리 단체인 ISSA(Information Systems Security Association)의 글로벌 대표인 캔디 알렉산더는 다른 시각을 제시했다.
알렉산더는 직장인과 예비 직장인 모두 사이버보안 직종에 대해 계속 ‘오해’를 하고 있는 데, 이것이 이 분야에 충분히 많은 인재를 유치하지 못하는 문제의 원인이라고 지적했다.

그녀는 “우리는 인력 공급 문제라고 판단했고, 몇 년 동안 이 문제를 해결하려 시도했다. 그러나 인력 공급 문제만 있는 것이 아니다. 그런데 이 문제가 전부인 것처럼 매달렸다”라고 설명했다.

특정 산업들을 중심으로, 이 분야에 필요한 스킬의 종류가 계속 증가하고 있는 것이 문제라고 말하는 사람도 있다. 이는 공석을 채울 인적자원 풀을 더 좁히는 문제다. 신입직까지 포함한 일자리를 얻기 위한 ‘기준’이 계속 높아지고 있다.


각계의 ‘스킬 갭’ 극복하기 

다국적 컨설팅 업체 KPMG 컨설팅 서비스 부문 상무 리 그레고리오는 보안 분야의 유능한 인재를 채용하고 유지하기 위해 KPMG는 다각적으로 접근하고 있다고 말했다. KPMG 내부 보안 담당 직원들을 대상으로 매년 1주 동안의 사이버 아카데미 트레이닝 프로그램을 실시하고 있다. 또한 IT와 비즈니스 분야 직원들에게 사이버보안 스킬을 교차 훈련시키는 내부 이니셔티브를 추진하고 있으며, IT 분야 학위가 없는 졸업생을 포함한 대학 졸업생들을 보안 직종으로 유치하기 위해 공격적인 채용 프로그램을 도입했다. 이와 함께 여성들이 사이버보안 및 IT 분야에 더 많이 참여할 수 있도록 돕는 ‘우먼 인 사이버(Women in Cyber)’라는 그룹을 운영하고 있다. 

이렇게 모든 각도에서 문제를 해결하려는 노력에 보상이 주어질 수도 있다. 사이버보안 스킬 캡 문제를 해결하기 위한 많은 리크루팅 및 트레이닝 프로그램들이 등장했다. 이 가운데 상당수가 인재 및 스킬 부족 문제의 원인들과 관련된 특정 분야를 공략하고 있다. 이런 프로그램들은 다양한 기회들을 제공한다.

- 대학의 노력 
학계는 자격증과 학위, 전문 프로그램 수를 늘려, 사이버보안 분야에 더 많은 학생을 유치하는 이니셔티브들을 추진하고 있다. 예를 들어, 미국 조지아주립대는 2020년 7월 NSF(National Science Foundation)이 EBCS(Evidence-Based Cybersecurity Research Group, 증거 기반 사이버보안 연구 그룹)에 30만 달러를 투자한다고 발표했다. 

EBCS는 학생들에게 고급 사이버보안 연구 스킬을 가르치고, 이들을 CISO와 연결시켜 도구를 테스트하고, 기업 보안이 강화되는지 여부를 판단하는 파일럿 프로그램이다. 학생들을 위한 증거 기반 사이버보안 트레이닝 및 멘토십 프로그램은 2번의 여름 동안 미국 사우스이스트 지역에서 30개 그룹의 학생 60명과 연구를 할 계획이다.

미국 애틀랜타 소재 렉시스넥시스 리스크 솔루션스(LexisNexis Risk Solutions)의 CISO이자 기술 부사장 플라비오 빌라너스트레는 새 프로그램의 자문인 역할을 맡고 있다. 이 이니셔티브를 발표하는 보도자료에서 빌라너스트레는 “기관과 기업의 경우, 방어선을 지키는 인적자원의 공백을 없애려 노력하고 있는데, 인재와 스킬 갭은 갈수록 커지고 있는 실정이다. 반면 구직자는 사이버보안 분야에 진입하기가 아주 어렵다. 갈수록 더 복잡해지고, 빠른 속도로 변화하기 때문에 학습 곡선이 아주 가파르기 때문이다”라고 설명했다.

- 민간 기업의 노력 
기업들 또한 사이버보안 직종 분야의 가용한 스킬과 ‘양’을 모두 강화하기 위해 독자적인 이니셔티브를 수립해 추진하고 있다. 액센츄어의 ‘내셔널 어프렌티스십 프로그램(National Apprenticeship Program)’을 예로 들 수 있다.

액센츄어의 팀들은 사이버보안, 기타 디지털, 데이터 분석, 클라우드 마이그레이션, 재무, 마케팅, HR 등 수요가 높은 분야를 대상으로 실습생(apprentice)을 채용해 훈련시키기 위해 커뮤니티 칼리지(전문 대학), 비영리 단체, 기술 관련 교육기관과 협력하고 있다. 액센츄어는 2016~2020년 사이에 125명의 실습생을 채용했다. 이 가운데 85%가 자신이 훈련을 받은 분야에서 풀타임 일자리를 얻었다.

- 직종, 전문 단체의 노력 
보안 관련 전문 단체들은 개인이 수요가 있는 보안 스킬을 획득하고, 기업 보안 책임자는 팀을 위한 트레이닝을 정립하는 데 도움을 주는 이니셔티브를 추진하고 있다. 예를 들어, ICMCP(International Consortium of Minority Cybersecurity Professionals)는 목표 가운데 하나가 자신의 프로그램을 통해 여성과 소수계의 채용, 포함, 유지를 촉진하고 지원하는 것이다. 

ISACA 프로그램인 ‘원 인 테크(One in Tech)’는 인종적으로 문화적으로 다양한 인적자원 풀을 양성하고, 여성들이 이 분야에 진출하고 리더로 성장하는 것을 돕고, 소외 계층 아이들에게 지금 당장 필요한 디지털 스킬을 가르치고 미래에 사이버보안 분야의 경력을 쌓도록 장려하는 3가지 이니셔티브를 추진하고 있다. 

(ISC)²는 기업들이 자사의 특정 요구사항에 부합하는 계획을 수립할 수 있도록 돕는 ‘사이버보안 트레이닝’ 프로그램을 확립하기 위한 가이드라인(The Enterprise Guide to Establishing a Cybersecurity Training Program)을 제공하고 있다.

- 공공 부문의 노력
정부는 정부 공무원과 학생, 교육자, 산업계를 사이버보안 트레이닝 제공자와 연결시키는 사이버보안 트레이닝 온라인 리소스인 NICCS(National Initiative for Cybersecurity Careers and Studies) 등을 통해 스킬 갭을 줄이려 활발히 노력하고 있으며, 향후 더 많은 노력을 경주할 계획이다. 

이와 관련, 미 의회 산하 ‘사이버공간 솔라리움 위원회(Cyberspace Solarium Commission, CSC)는 2020년 9월 백서에서 시급히 행동해야 한다고 강조했다. 2019년 국방수권법(National Defense Authorization Act)에 기반으로 설립한 CSC는 숙련된 사이버 전문가가 계속 필요하지만, 이를 유치하는 데 어려움을 겪고 있다고 설명하고 있다. 

또한 공동 의장은 “다양한 첨단 기술을 다루는 사이버 인재 없이 사이버 공간에서 미국을 방어할 수 없다. 유능하고 경험 많은 인적자원 풀을 계속 성장시키기 위해 지금 당장 조치를 취해야 한다. 그렇지 않으면 향후 미국이 사이버 공격에 취약해진다”라고 말했다. ‘미국 연방정부의 강력한 사이버 인적자원 양성(Growing a Stronger Federal Cyber Workforce)’이라는 백서는 보안 전문가를 채용, 개발, 유지, 양성해야 한다고 주장했다. 

- 트레이닝 관련 기업 및 단체의 노력
많은 트레이닝 관련 기업, 단체들이 사이버보안 분야의 스킬 갭을 없애려 시도하고 있다. 예를 들어, SANS인스티튜트는 온라인 사이버보안 커리어 개발 플랫폼인 사이브러리(Cybrary)에 온라인 트레이닝 옵션을 도입했다. 

사이브러리는 2020년 가을 설문조사 결과, 트레이닝 옵션을 확대할 필요성이 입증되었다고 발표했다. 이 설문조사에 따르면, 800명의 보안 및 IT 분야 종사자 가운데 72%가 자신의 팀에 스킬 갭이 존재한다고 대답했다. 그리고 65%는 이런 스킬 갭이 팀의 성과에 부정적인 영향을 초래한다고 답했다. 스킬소프트(Skillsoft)와 스킬스톰(Skillstorm) 등도 개인과 팀을 대상으로 트레이닝을 제공하고 있다.

보안 분야 인재 유치, 트레이닝, 유지에 있어 한 가지가 분명하다. 이것이 아주 시급한 문제라는 것이다. ESG 수석 애널리스트인 존 올트식은 사이버보안 인재 부족은 아주 큰 영향을 초래한다. CISO들은 자격을 갖춘 보안 전문가가 부족해 장기간 결원이 유지되고 있다. 인력을 채용한 경우에도, 해당 역할을 다룰 만큼 충분히 준비되어 있지 않은 경우가 많다. 그 결과 업무 성과와 효율성이 떨어지고, 자신에게 주어진 도구를 십분 활용하지 못한다. 이렇게 조직의 보안이 약화된다”라고 경고했다. editor@itworld.co.kr 
 Tags

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.