가트너 보고서(Predicts 2023: Cybersecurity Industry Focuses on the Human Deal)에 따르면 CISO의 거의 절반이 업무 스트레스로 인해 2025년까지 이직할 것으로 예상된다. 25%는 직업을 완전히 바꿀 생각인 것으로 조사됐다. 직원 유지, 침해 위험 등에 따른 스트레스가 가중되고 있기 때문이다. 
 

가트너의 애널리스트 디프티 고팔은 “사이버 보안 전문가가 지속 불가능한 수준의 스트레스에 직면해 있다”라면서, “CISO에게는 ‘해킹 당하거나 당하지 않는’ 단 2가지 결과만 주어진다. 이는 사이버 보안 리더와 팀의 의사결정 품질과 성과에 직접적인 영향을 미친다”라고 말했다. 

번아웃이 새로운 건 아니지만 코로나19 팬데믹 기간과 그 이후 더 눈에 띄고 흔해졌다. CISO의 상황은 더 심각하다. 50% 이상의 CISO가 적어도 한 달에 한 번은 일과 삶의 균형이 맞지 않는 업무로 어려움을 겪고 있기 때문이다. 2020년 가트너 보고서에 의하면 데이터 침해를 겪은 사이버 보안 리더의 평균 재임 기간은 5년 미만일 수 있다. 

업무 스트레스는 다른 기회를 찾는 것을 두려워하지 않는 모든 사이버 보안 전문가에게 영향을 미친다. 인재 이탈은 인재 유지에 필요한 투자보다 최대 30% 더 큰 비용이 든다. 전문 인력 부족에 따른 방대한 시장 기회는 상황을 더 어렵게 만든다. 사이버 보안 분야의 실업률은 0% 미만이다. “이를 완화하기 위해 사이버 보안 리더는 자신부터 시작하여 팀의 건강과 복지에 집중해야 한다”라고 보고서는 언급했다. 

더 많은 스트레스와 이탈은 더 많은 위험을 의미한다
가트너에 의하면 사이버 보안 전문가의 삶에는 일과 삶의 균형이 없다. 이는 하이브리드 근무로 더 악화됐는데, 이는 무슨 일이 일어나고 있는지 계속 확인해야 하는 동시에 주의력이 분산된다는 의미다. 이에 사회공학 취약점이 증가하거나 사이버 공격, 데이터 유출, 랜섬웨어 공격 관리가 제대로 이뤄지지 않을 수 있다. 

한편 [사이버 보안] 전문가 수요로 연봉이 상승하고 있긴 하지만 최근 빅테크 기업들의 정리해고는 더 많은 ‘엘리트 사이버 전문가’를 확보할 수 있다는 의미이기도 하다. 즉, 이는 연봉 인플레이션을 완화하고 일반적으로 이런 전문가를 채용할 수 없는 회사에 기회를 줄 수 있다. 

가트너는 “연봉과 복지를 개선하면 직원 유지에 도움이 될 순 있다. 하지만 문화 때문에 그만두는 유능한 인재도 많다”라고 언급했다. 이어 CISO의 인게이지먼트 변화가 장기적으로 도움이 될 수 있다고 권고했다. 여기에는 비즈니스 부문 이해관계자와의 공동 설계 참여, 책임 위임, 무엇이 가능하고 불가능한지 매우 명확하게 설명하는 것 등이 포함된다. 

데이터 유출로 발생할 수 있는 비용을 감안한다면 이는 기업의 사고방식을 바꾸기에 설득력 있는 주장이다. 안전은 수익성에 반하는 게 아니라 함께 가는 것이다. CISO는 기업의 사고방식을 바꾸고 사이버 보안이 비즈니스의 중요한 부분으로 인식되도록 해야 한다. 

“사이버 보안 업무의 핵심 스트레스 요인은 사이버 보안팀이 항상 수비를 하기 때문에 이길 수 없는 게임을 한다는 것이다. 사이버 보안팀이 단순히 상대를 막는 게 아니라 인정받을 기회를 찾아야 한다”라고 가트너는 전했다. ciokr@idg.co.kr