극도의 사이버보안 피로를 풀 수 있는 5가지 방법

CISO의 91%는 '보통 수준, 또는 높은 수준의 스트레스'를 겪고 있다. 극도의 사이버보안 피로를 풀 수 있는 방법에 대해 알아보자. 
 
ⓒ Getty Images Bank 

CISO를 지낸 카렌 워스텔은 동종 업계의 지인들에게 자신이 경험한 사이버보안으로 인한 정신적 피로에 대해 거리낌없이 털어 놓는다. 지인들에게 이를 경계하라고 충고하는 것이다. 약 10년 전, 워스텔은 힘든 합병 프로젝트가 끝난 직후 AT&T 와어어리스의 위험 관리 담당 부사장직을 그만뒀다. 

그리고 2주 간 휴가를 보낸 후, 마이크로소프트의 CISO라는 새로운 직무를 시작했다. 워스텔의 상사는 한 해 동안 달성해야 할 성과 지표를 제시했는데, 해킹과 유출이 있어서는 안 된다는 것이다. 그녀는 새로운 문화에 적응하는 데 애를 먹었고, 고통스러울 정도로 스트레스를 받았다.

워스텔은 자기 회의에 빠졌고, 이에 정신건강학과 의사에게 도움을 요청했다. 의사는 "아무 문제가 없다"며, "수면 부족이 문제일 수 있다"고 말했다. 의사는 3가지 처방전을 줬다. 그리고 그녀에게 "환자분 같은 일을 하는 이들의 상담을 정말 많이 하고 있다"는 말을 건넸다. 워스텔은 5개월 뒤 회사를 그만뒀다.

현재 더블유리스크 그룹(W Risk Group)의 CEO로 일하고 있으며, 기술 분야 여성들을 위한 모조 메이커(MOJO Maker)를 설립한 워스텔은 "과거 IT 프로젝트를 맡아 일했었다. 사이버보안의 도전 과제는 시작과 끝이 있는 IT 프로젝트와 달리 억제할 방법이 없다는 것이다. 아주 스트레스가 많고 억제가 불가능한 것을 맡게 되면 통제 범위를 벗어나게 된다. 절대 깨어나지 못할 최악의 악몽을 꾸는 것 같다"고 말했다.

오늘 날 CISO와 산하 팀원의 정신 건강이 악화되고, 직무 피로 현상을 느끼게 되는 이유 가운데 하나가 스트레스다. 노미넷(Nominet)의 의뢰로 미국과 영국의 대규모 조직에서 보안을 책임지고 있는 CISO 408명을 대상으로 실시된 조사 결과에 따르면, 적지 않게(Moderate), 또는 많이(High) 스트레스를 받고 있다고 대답한 비율이 91%, 업무에서 거의 손을 떼지 못한다고 대답한 비율이 60%에 달한다. 더 충격적인 결과는 스트레스를 해결하기 위해 약물이나 술에 의지하고 있다고 대답한 비율이 17%나 된다는 것이다.

더 나쁜 것은 보안 담당자 스마트폰에는 침해나 공격 사고와 관련된 뉴스 알림이 끊이지 않는 것이다. 워스텔은 “이런 뉴스를 보면 전장에서 주변의 전우들이 계속 쓰러지고 있다는 생각이 든다"고 말했다. 시라큐스 대학 정보학과 교수인 제프리 M 스탠튼 교수에 따르면, 이런 지속적인 방어 상태가 피로, 기진맥진, 소진으로 이어질 수 있다. 스탠튼은 조직 행동과 기술 사이의 상관 관계, 업무 관련 스트레스에 대한 연구에 초점을 맞추고 있다. 스탠튼은 "사이버보안 직종은 기본적으로 방어에 초점이 맞춰진 직종이다. 담당자들은 계속 경계심을 가질 수밖에 없다. 상시 위협에 대한 경보를 주시해야 한다. 이런 경계심과 위협에 대한 집중적인 주시가 장기간 지속될 경우 스트레스를 발생할 수밖에 없다"고 설명했다.


극도의 사이버보안 피로의 원인 제공자

CISO가 스트레스를 받는 부분적인 이유는 의사결정권자과 이사회의 인게이지먼트(참여 및 몰입)가 미흡하기 때문이다. 조사 결과에 따르면, 약 1/3(32%)의 미국 CISO는 경영진이 보안 침해가 불가피하다는 사실을 이해하지 못하고, 이를 받아들이지 않는다고 대답했다. 경영진은 자사에 관심을 갖는 사람이 없어 보안 사고가 일어나지 않는다고 생각하거나, CISO가 모든 데이터 침해 및 유출 사고를 막을 수 있고, 그렇게 해야 한다고 생각한다. 또한 미국 CISO의 29%는 침해 사고가 발생할 경우, 공식적으로 경고를 받거나 일자리를 잃을 것으로 판단하고 있다.

노스다코타 대학의 사이버보안 담당 교수인 빌 수자 박사에 따르면, 사이버보안 분야는 인재 부족 현상이 심하고, 이것이 극단적인 피로를 초래하는 경우도 많다. 수자 박사는 "인재 및 인력 부족으로 업무 부담이 크게 가중될 수 있다"고 설명했다.

스트레스는 분명히 심각한 문제이지만, 이런 극단적인 사이버보안 피로 문제를 억제할 방법이 있다. CISO와 매니저가 가장 먼저 할 일은 자신과 직원들에게 극단적인 피로의 신호가 있는지 파악하고 인식한 후, 스트레스가 덜한 환경을 조성하는 것이다.


극단적인 피로를 알려주는 신호를 파악하라 

많은 상황과 직종에 적용되는 이야기로, 유의미한 행동 변화가 있는지 파악해야 한다. 갑자기 화를 내는 것을 예로 들 수 있다. 스탠튼은 "누군가 성격이 바뀐 것 같은 행동을 한다면, 업무와 관련해 스트레스를 받아 이렇게 된 것일 가능성이 있다"고 말했다. 수면 부족과 관련된 것 등, 신체적인 신호나 증상도 신호가 된다.

가장 쉽게 포착할 수 있는 행동 변화는 냉소주의적 태도다. 워스텔은 "관리 임무나 개인 삶에 대해 냉소적으로 말을 하는 것이 '적색 신호'가 될 수 있다. 스트레스를 받고 있고, 피로한 상태라는 것을 알려준다. 자신이 책임지는 결과에 대해 영향을 줄만한 요소가 없다고 생각해 이런 태도를 보이는 것이다"고 말했다.

프레젠티즘(Presenteeism, 근무능력 저하)도 스트레스를 알려주는 신호다. 이는 직원이 일을 마무리하지 않거나 세부사항에 주의를 기울이지 않은 상태에서 대충 일을 하는 상태를 가리킨다. 워스텔은 "자신의 업무 품질이 크게 중요하지 않다고 생각하는 것이다"고 말했다.

스트레스와 극단적인 피로는 ‘진짜’이고, 중대한 문제가 될 수 있다. '원 사이즈 핏 올(one-size-fits-all, 만병통치)' 형태의 해결 방법은 존재하지 않지만, 사이버보안의 '통제력 밖'이라는 특성을 균형있게 반영할 방법은 있다. 다음은 관리진과 CISO가 스트레스 및 극단적인 피로 억제에 도움을 줄 수 있는 5가지 방법이다.

1. 가능한 장소에서 통제력을 행사한다
워스텔에 따르면, 관리진이 큰 차이를 만들 수 있는 부분이다. 사이버보안 팀이 윗 단계에서 선택적으로 통제 지점과 체크포인트를 추가하는 등의 전문성을 제공해 아래 단계에서 일어나는 재앙을 피할 수 있다. 
워스텔은 앞서 언급한 M&A 프로젝트를 사례로 얘기했다. 그녀의 조직은 본질적으로 안전하지 않은 제품을 갖고 있는 회사를 인수했다. M&A 계약에 따르면, 이를 조직의 제품에 통합시켜야 했는데, 이는 그녀가 통제할 수 없는 상황이었다. 워스텔은 "윗 단계에서 체크포인트를 만들어야 한다. 프로세스 초기에 인풋을 제공하기 위해서다"고 설명했다. 이를 통해 결과를 통제할 수 있도록 영향력을 확대했다.

2. 순환 근무를 고려한다
위협 경계와 모니터링을 책임진 사람에게 의무적으로 이런 업무로부터 해방되는 시간을 줄 필요가 있다. 라이프가드(수영장 감시 구조원)를 생각하면 된다. 워스텔은 "잘 관리되는 시설에 근무하는 라이프가드는 15~20분 간격으로 순환 근무를 한다. 이렇게 하는 이유는 능력보다 많이 집중을 하고 경계를 해야 하기 때문이다. 이로 인해 스트레스와 극단적인 피로가 초래되기 때문이다. 직종은 다르지만 원칙은 같다"고 설명했다. 
사이버보안 책임자는 순환 근무제 도입을 고려해야 한다. 사이버 위협 모니터링을 맡은 사람을 다른 역할로 순환 근무시켜, 항상 경계하는 상태에서 벗어나도록 만드는 것이다. 그녀는 "위협 탐지 및 완화 분야의 풍부한 경험이 트레이너 같은 '지원형' 사이버 직무에서 일을 할 때 큰 도움이 될 수 있다"고 강조했다.

3. 인정을 하고, 트레이닝을 제공한다
사이버보안 팀의 업무 부담을 덜어줄 인적 자원이 부족하다면, 리더들이 직원들을 챙겨야 한다. 노스다코타 대학의 빌 수자는 "리더와 동료에게 비금전적 보상을 할 수 있다. 일을 잘 하고 있다고 인정하는 것이다. 그러면 자긍심이 높아진다"고 말했다. 
리더는 트레이닝 자격증을 제공할 수도 있다. 이는 2가지 방향에서 문제 해결에 도움을 준다. 수자는 "이런 자격증은 지식 부족 문제를 경감하도록 도움을 준다. 동시에 자긍심을 높인다. 이를 통해 냉소주의를 경감할 수 있다"고 덧붙였다. 더 중요한 사항은 리더는 자신의 리더십 스타일을 돌아봐야 한다는 것이다. 수자는 "리더는 일손이 부족한 조직을 관리하는 방법을 터득해야 한다"고 강조했다.

4. 스트레스에 대해 말한다 
UCL(University College London)의 강사인 비즈니스 심리학자 디미트리오스 츄비리코스 박사에 따르면, 스트레스를 받고 있는 사람은 동료와 가족에게 자신이 어느 정도의 스트레스를 받고 있는지 말해야 한다. 츄비리코스는 "이를 통해 공식적, 비공식적 채널 모두를 통해 많은 지원과 도움을 얻는 경우가 많다"고 말했다.
스트레스를 받고 있는 사람이 속을 털어놓은 동료와 가족은 이 사람에게 공감을 해야 한다. 워스텔은 "고통에 대해 귀를 기울여야 한다. 발길을 돌리거나, 가볍게 받아들여서는 안 된다"고 말했다.

5. 완전한 '휴식'을 요구한다
워스텔은 "사이버보안 전문가는 우주의 무게를 모두 어깨에 짊어진 구세주 같은 존재는 아니다"고 말했다. CEO는 휴가를 떠난다. CISO와 사이버보안 담당 직원 또한 지속적으로 전화에 시달리는 일 없이 마음껏 휴가를 즐길 수 있어야 한다. 
워스텔은 "일부는 책임져야 하지만, 지금부터 완벽한 '휴식' 상태로 돌입한다고 선언해야 한다. 할 수 있는 일을 모두 다했고, 자신이 없는 동안 대신 업무를 맡아줄 사람이 있으니 휴식을 취하겠다. 돌아와서 점검 및 확인을 하겠다고 말해야 한다. 그러나 보안 일을 하는 사람은 이런 말을 하기가 아주 힘들다"고 말했다. editor@itworld.co.kr