CIO / 보안

피할 수 없는 보안 인력 부족에 대응하는 3가지 전략과 전술

Drew Osborne | CSO 2019.10.31
사이버보안 전문가의 수요와 공급 간 균형은 이미 무너졌고, 앞으로 그 간격은 더 벌어질 것으로 전망된다. 다음 수치를 보자.

- 페닌슐라 프레스(Peninsula Press)의 미국 노동통계국 수치 분석에 따르면, 2015년 미국 사이버보안의 구인 공고 수는 20만 9,000개였는데, 2017년에는 이보다 더 늘었다. 2015년 당시에도 이미 구인 공고 수는 이전 5년에 비해 74% 증가한 상황이었다.
- 미 상무성 산하 미국 국립표준기술원(NIST)의 프로그램인 사이버보안 교육을 위한 국가 이니셔티브(National Initiative for Cybersecurity Education)가 지원하는 프로젝트, 사이버시크(CyberSeek)에 따르면 2019년 10월 현재 미국에서 고용된 상태의 사이버보안 근로자 수는 71만 5,715명이며, 구직 중인 사이버보안 일자리 수는 31만 3,735개다.
- 업계 보고서는 전 세계적으로 수요와 공급의 격차가 훨씬 더 넓은 것으로 추정한다. 2017년 (ISC)² 전 세계 정보 보안 인력 연구에서는 2022년에는 180만 명이 부족할 것으로 예상했다.

당분간 보안 전문가 분야에서 공급이 수요를 따라잡지 못할 것이 확실하므로 조직도 업무 공백과 이직률 증가에 대비해야 한다. 향후 몇 년 동안 수요와 공급 간의 격차가 커지면서 모든 조직은 경험이나 기술, 또는 두 가지 모두 부족한 지원자들로 남은 인재 풀을 채워야 하는 상황을 예상해야 한다.

이런 미래에서 평균보다 더 나은 결과를 달성하기 위해서는 차별화된 인재 채용과 인력 보존 인센티브가 필요하다. 그러나 공격적인 채용이 더 일반화되면서 그것으로도 충분하지 않게 될 가능성이 높다. 그 자체가 새로운 표준, 즉 뉴 노멀(New Normal)이 되기 때문이다.
 
ⓒ Getty Images Bank 

이와 같은 추세를 감안하면 리소스 추가를 미래의 보안 과제에 대한 장기적인 해결책으로 생각해서는 안 된다. 핵심적인 프로세스가 갈수록 구하기 어려워지는 리소스에 의존해서는 안 된다. 탄력성 계획은 높은 업무 공백과 이직 수준, 부족한 인력, 불완전한 조직 모델을 감안해야 한다. 리더뿐만 아니라 핵심 직책의 업무 연속성을 위한 인수인계 계획은 필수적이다.


3가지 전략적 대응 고려사항

한 마디로 ‘적응’하라.
1. 미래의 제한된 리소스에 대비하기    
미래의 인력 모델은 전통적인 선임 인력부터 그보다 경험이 적은 인력, 그리고 경험이 별로 없거나 전무한 인력까지 다양한 스킬셋을 포용하게 될 것이 거의 확실하다. 이를 감안하면 향후 조직은 교육 투자 비용을 늘리고 인력 보존 문화를 조성하기 위해 노력해야 한다.

인력 보존 수단은 이직률에 직접적인 영향을 미치는 것 외에 채용 전략의 매력적인 측면이 될 수 있으며, 핵심 리소스가 사전에 퇴사 의사를 밝히는 경우 주저하지 말고 활용해야 한다. 보존 문화 조성의 출발점은 직원과 이들의 야망을 파악하는 것이다. 

각 직원이 개발 계획과 경력 진로를 갖도록 해야 한다. 내부 승진을 공격적으로 추진하고(정책의 문제), 강화하고자 하는 중대한 이정표(예를 들어 승진, 새로운 직책, 교육, 자격증 등)를 기념함으로써 감사하고 인정하는 분위기를 고취해야 한다.

제한된 리소스에 대비해 계획한다는 것은 모든 시간 또는 노력의 낭비를 철저히 경계해야 한다는 의미이기도 하다. 명확한 우선순위는 모든 보안 조직의 좌우명이 되어야 한다. 미래에는 매우 어려운 의사 결정이 기다리고 있다. 조직의 과업을 신중하게 고려하라. 정말 중요한 작업에 리소스를 투입하고 중요도가 낮은 일은 연기하고 중요하지 않은 일은 값비싼 사치로 분류해 과감히 버려야 한다. 또한 가능한 모든 곳에서 시간 절약 수단과 효율성, 특히 자동화를 포용해야 한다.

2. 자동화를 지원하는 스킬 개발
인적 자원의 부족 외에 보안 부서는 데이터의 폭증과 보호 대상 환경의 복잡성 증가에도 대처해야 한다. 이런 과제에 대처하려면 기술에 대한 의존도를 더욱 높여야 할 수 있다. 조직은 전통적인 위험 관리 스킬 외에 데이터 과학, 네트워크 설계, 프로그래밍을 포함한 미래의 요구에 대응하는 스킬셋, 즉 더 폭넓은 자동화를 실현하고 지원하는 스킬을 채용하고 보존하고 개발해야 한다.

단기적으로는 모든 반복적인 작업을 자동화 대상으로 고려해야 하며 장기적으로는 자동화할 수 있다면 무조건 자동화하는 미래를 상정하고 대비해야 한다.

3. 파트너 계획
조직은 스스로의 역량, 무엇을 할 수 있고 무엇을 할 수 없는지에 비해 정직하고 비판적일 필요가 있다. 명확한 우선순위화는 어느 정도까지는 도움이 되지만 실질적인 결핍을 보상하는 데는 한계가 있다. 조직은 도움을 줄 수 있는 외부 조직과의 파트너 관계를 계획해야 한다.

기회는 많다. 진취성와 창의성이 효과를 발휘할 수 있는 영역이다. 지방 대학, 전문가 조직, 정보 공유 그룹, 모두 탐색할 만한 대상이다. 경쟁이 저해되지 않는다는 전제 하에, 위기의 시대에는 경쟁업체도 협력 대상이다(예를 들어 사고 대응과 같은 분야).

조직은 특정 작업을 아웃소싱해서 매니지드 보안 서비스 제공업체나 기타 외부 업체에 의존하는 방법을 선택할 수 있다. 이 경우 외부 업체를 잘 관리해야 하고, 초기 도입 단계에서 각 파트너의 균일하지 않은 결과물에도 대비해야 한다.


3가지 전술적 대응 

1. 지원자 풀에 더 가깝게, 더 빠르게 접근
HR 부서는 정보 보증(보안), 데이터 과학, 컴퓨터 과학 또는 STEM 프로그램 등을 보유한 대학을 공략해야 한다. HR 부서가 움직이지 않는다면 직접 대학에 접촉해 서비스를 제공하라. 이 영역에서도 창의성과 상상력이 도움이 된다. 일부 교과 과정에서는 종종 외부 강연자, 특히 현업에 종사하는 주제별 전문가를 초빙한다. 가장 똑똑하고 우수한 학생들이 졸업 후 취업하도록 길을 열어주는 일에 자부심을 느끼는 교수도 있다. 

대학 취업 센터는 항상 학생들을 위한 인턴 기회를 찾는다. 여름 방학 동안 인턴을 채용할 수 있는가? 다음 학기 졸업생들을 미리 살펴보고 이들의 관심사를 발굴하고 구인 시장에 나오기도 전에 채용할 수 있도록 모든 노력을 기울여야 한다.

전문가 조직 역시 마찬가지다. 정보 보안 분야에는 여러 조직이 있고, 자사의 보안 직원들도 이미 이런 조직의 구성원일 가능성이 높다. 조직의 지역 지부 활동을 장려하고 지부 모임을 주최하라. 할 수 있다면 봉사 활동, 교육, 초청 강연자를 위한 모임을 주최하라(특별 추첨이 있거나 참석률이 높은 모임).

2. 교육을 적극적으로 추진
스킬, 분야별 전문 지식, 제도화된 지식에 대한 교육에 집중하라. 직원이 성공하기 위해서는 이 세 가지의 조합이 필요하다.

- 스킬. 조직에 지금 필요한 스킬(예를 들어 위험 관리, 엔지니어링, 운영, 커뮤니케이션, 인프라, 소프트웨어 보안)과 리소스가 제한되는 미래에 필요한 스킬(예를 들어 데이터 과학, 분석, 네트워크 설계, 코딩), 두 가지 모두에 대한 교육을 실시하라.

- 분야별 전문 지식. 자격증은 정보 보안에 대한 폭넓은 공부를 장려하고 그 자체로 일종의 검증을 제공한다. 신규 채용 인력을 조기부터 전문 자격증을 위한 길로 유도하고, 필요한 경력 햇수를 채운 직원은 시험을 치르도록 독려하라. 강습을 위한 시간을 따로 마련하고 공식적인 스터디 그룹을 후원하라. 자격증이 조직 DNA의 일부가 되도록 해야 한다. 허용되는 범위까지 전문 자격증을 위한 보조금을 지급하는 방안도 고려할 수 있다.

- 제도화된 지식. 조직의 ‘팩트 북’을 만든다(https://www.cia.gov/library/publications/the-world-factbook을 참고하라). 내용의 범위는 조직의 개별적인 요구사항에 따라 다르지만 최소한 보안 및 IT에 의해 지원되는 모든 애플리케이션의 최신 목록, 기밀 데이터를 공유하는 모든 외부 업체 목록을 포함해야 한다. 팩트 북을 만들고 나면 적절한 리소스에 소유권을 할당하되(위협 인텔리전스 또는 사고 대응), 팀 전체, 특히 실무를 통해 가장 많은 것을 얻게 되는 신규 채용 인력도 내용을 유지관리하는 책임을 공유하도록 해야 한다.

보안 내에서의 교차 교육을 모색하고, 특히 중요한 스킬이나 핵심 업무 직책과 관련한 잠재적인 단일 실패 지점이 발생하지 않도록 해야 한다. 다른 외부 그룹과의 교차 교육을 진행할 수 있다면 IT, 위험, 프로젝트 관리, 감사 등 잠재적인 채용 대상 그룹과의 교차 교육부터 시작하라.

3. 스킬이 부족한 인력으로 더 많은 일 하기
미래의 보안 팀은 연령대가 더 낮아지고 경력과 경험도 지금보다 조금 더 적은 인력으로 구성될 가능성이 높다. 전문가이자 관리자로서 우리의 과제는 이 인력으로 필요한 일을 할 방법을 찾는 것이다.

일부 조직에서는 하위 인력이 프로세스를 실행하고, 중간 인력이 분석하고, 상위 인력은 엔지니어링과 설계, 아키텍처를 담당한다는 사고방식이 고착돼 있다. 더 이상은 초급 인력도 이런 방식으로 낭비할 수 없다.

미래에는 하위 인력이 수행하는 이러한 프로세스는 자동화 대상이 되어야 하며, 초급 및 하위 인력이 선임 역할로 올라서도록 준비시키기 위한 새로운 접근 방식이 필요하다. 하위 인력을 분석가, 디자이너, 엔지니어, 설계자 무리에 당장 끼워 넣는 방안을 고려하라. 자체 조직 및 교차 직무 팀은 소프트웨어 개발 분야에서 큰 효과를 내고 있으며, 보안 분야에서도 하위 구성원이 더 높은 팀원과 함께, 이런 팀원의 지도를 받아 업무에 기여하는 방식을 활용할 수 있다.


리더십이 필요

분명히 짚고 넘어갈 점은 보안의 미래에 적응하기 위해서는 단순히 더 스마트하게 일하는 것으로는 부족하다는 것이다. 진정한 변화가 필요하다. 비전을 제시하고 목표를 설정하고 목적 의식을 고취하기 위해 그 어느 때보다 리더십이 필요하다. 미래에 대비해 인력을 준비시키려면 이들의 스킬 외에 리더십도 개발해야 한다.

내부에서 조금이라도 진취성을 보이고 다른 직원에게 조언하거나 영감을 주는 직원을 찾아야 한다. 유연함과 조직적 지원이 확보된다면 가능성이 큰 인력을 관리, 커뮤니케이션, 리더십 개발 프로그램에 조기에 편입하는 방안을 고려하라. 조직의 내부 개발 리소스를 최대한 활용하라.

CISO라면 혼자서 짐을 짊어지고 간다는 생각을 해서는 안 된다. 관리자들에게 더 많은 일을 위임하고 미래의 CISO를 교육시켜야 한다. 관리자라면 다음 세대의 관리자를 지금부터 찾아야 한다. 리더십이나 더 큰 책임에 대한 야심이 있다면 적극적으로 목소리를 내라! editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.