오늘날 보안 팀에 필요한 8가지 새로운 역할

현재 미국에 채워지지 않은 사이버보안 일자리는 50만 개로 추정된다. 이 가운데 업계에서 가장 수가 많은 직종 가운데 하나인 정보 보안 분석가(Information Security Analysts) 일자리는 16만 6,000개이다. 이 수치는 앞으로 더 증가할 것이다.
 

PwC의 ‘글로벌 디지털 트러스트 인사이트(Global Digital Trust Insights) 2021’에 따르면, 응답자의 51%는 향후 정규직 보안 인력을 추가할 계획이라고 답했으며, 22%는 인력 규모를 5% 이상 늘릴 예정이라고 밝혔다.

기업 보안 팀에는 보안 분석가(security analysts)와 보안 엔지니어(security engineers), 침입 테스트(penetration testers)과 같은 전문가가 계속 필요하다. 많은 보안 부서에서 중요한 역할을 맡고 있는 직책들이다. 하지만 지금 기관과 기업들은 다른 직책으로 보안 직급을 확대하고, 새 역할을 만들고, 새 직책을 추가하려 시도하고 있다.
 
전문가들은 2021년 IT 보안에서 아주 중요한 8가지 역할에 대한 의견을 제시했다.

- ID 및 접근 관리 엔지니어(Identity and access management engineer)
기업의 보안 책임자들은 강력한 IAM(Identity and Access Management) 프랙티스 개발과 발전에 주력하고 있다. 원격 접근이 많아지고, 언제 어디서나 일을 할 수 있어야 하고, 멀티클라우드 환경이 확대되고 있기 때문이다.

CSA(Cloud Security Alliance)의 ‘2020년 클라우드 ID 보안 현황(State of Identity Security in the Cloud) 보고서’에 따르면, 조사에 참여한 기업 리더 가운데 93%가 사람들의 신원에 대한 권한과 승인 권한 관리에 아주 높은 우선 순위를 부여했다. 그리고 머신에 대한 관리에 높거나 아주 높은 우선 순위를 부여한 비율 또한 77%에 달했다. 이에 보안 분야 리더들은 틈새 역할을 만들고, 이런 역할에 IAM 엔지니어나 IAM 분석가 같은 직책을 부여하고 있다.

인재 파견 업체 로버트 하프 테크놀로지(Robert Half Technology) 상무이사 제프 웨버는 이런 전문가에 대한 수요가 지속적으로 증가할 것으로 내다봤다. 웨버는 “향후 몇달 내에 애플리케이션 수명주기에 보안 요건이 통합되면서 수요를 견인할 전망이다”라면서, "CISO들이 필요한 기술적 경험과 함께 문제 해결 및 분석 능력을 갖춘 직원들을 업스킬링해 이 역할을 맡길 것으로 보인다"라고 예상했다.

- 서드파티 위험 관리자(Manager of third-party risk)
CISO들은 협력업체와 공급업체를 통해 운영에 위협이 초래된 것을 확인했고, 이에 서드파티와 관련된 위험에 더 각별히 주의를 기울이고 있다. 보안 분야 리더, 채용담당자, 경영 자문에 따르면, 서드파티 위험에 초점을 맞추는 역할이 중시되고 있다.

피닉스 대학교의 사이버보안 프로그램 책임 교수이자 스테이션 카지노(Station Casinos)에서 사이버보안 책임자로 일하고 있는 스테파니 베누아-커츠는 자신의 팀에는 내부 위험(internal risks)과 서드파티 위험(third-party risks) 관리에 초점을 맞추는 분석가가 있다고 말했다. 두 역할에 필요한 스킬이 거의 같기 때문이다. 그러나 하는 일이 더 복잡해지고, 요구가 많아지면서, 풀타임으로 써드파티 위험을 관리할 사람이 필요해질 것으로 예상했다.

이런 역할에 대한 직책은 다양할 것이다. 풀타임 직책이 될 수도 있고, 보안 팀 내 기존 직책에 새로운 책임이 부여될 수도 있다. 어느 쪽이든 이 역할의 초점은 동일하다. 서드파티의 보안 정책과 절차를 평가하고, 계약에 따라 정한 기준을 시행하는 것이다.

IT 서비스 관리 업체인 인볼타(Involta) CISO 안날레아 일그는 “위험을 관리해야 하고, 보안 팀으로 제공업체의 책임을 파악하고 이해해야 한다”라고 말했다.

- 데브섹옵스 보안 엔지니어(DevSecOps security engineer)
영국 런던 소재 기술 및 보안 전문 인재 파견 업체인 베스트맨 솔루션스(Bestman Solutions) 책임자 오와나테 베스트맨은 “침해 사고 방지에 있어 여전히 가장 취약한 연결 고리는 애플리케이션이다. 데브섹옵스(DevSecOps)는 현재 이를 다루는 데 사용되는 가장 평판 높은 방법론이다. 데브섹옵스 경험이 있는 구직자에 대한 수요가 존재한다”라고 말했다.

베스트맨은 보안 리더들은 데브옵스(DevOps) 방법론을 제대로 이해하고, 데브옵스 관련 도구에 대한 지식이 있고, 개발 팀과 협력해 일할 능력이나 실제 경험이 있으며, 웹 애플리케이션에 대한 지식이 있으며, 보안 자격증이 있는 애플리케이션 보안 엔지니어를 원한다고 강조했다.

NTT데이터(NTT DATA) 서비스의 보안 부문 리더이자 ISACA 워싱턴 DC 지역 이사인 수실라 나이르는 이런 점을 감안했을 때 수요가 공급을 능가할 것이라고 말했다. 나이르는 “데브섹옵스는 새로운 개념은 아니다. 다만 스크럼(Scrum) 팀에 합류할 수 있는 애플리케이션 보안 엔지니어를 확보하기란 쉽지 않다. 보안 지식과 함께 애플리케이션 개발 경험을 적절히 갖춘 인재를 찾는 것이 어렵다”라고 지적했다.

- 위협 사냥꾼(Threat hunter)
현재 조직에 초래되는 위협의 복잡성과 정교함이 CISO들로 하여금 이런 위협을 파악해 대응할 역할을 추구하도록 만들고 있다.

미국 일리노이 버논힐스의 신용조합인 BCU의 CISO 스테프니 사우사드는 "보안 분석가이면서 위협 관리자인 사람이 필요하다. 모든 위협 분석 도구, 방화벽의 로그, 다른 모니터링 도구를 살펴보는 사람, 위협을 파악하고, 이에 대해 커뮤니케이션할 수 있는 사람이 필요하다. 로그와 경보를 파악할 수 있어야 한다. 의심스러운 행동과 동작, 행동 패턴을 탐지할 수 있어야 한다. 긍정 오류인지 우려할 사건인지 알아야 하고, 긴급한 위험인지 사소한 위험인지 판단할 수 있어야 한다”라고 설명했다.

나이르도 위협 사냥을 아주 중요한 역할로 꼽았다. 나이르는 “우리는 실무 분석 스킬이 필요하다. 솔라윈드(SolarWinds) 같은 첨단 공격들이 우리에게 공격자를 '사냥'할 필요가 있다는 점을 인식시켰다. 은밀하면서 지속적인 공격의 경우, 도구가 우리에게 이를 경고하지 못하는 경우가 많다. 따라서 네트워크 침입자를 사냥하는 방법을 알 필요가 있다”라고 말했다.

- 취약점 위험 분석가(Vulnerability risk analyst)
사우사드는 기업 내 취약점을 추적해 관리할 수 있는 사람이 필요하다고 언급했다. 사우사드는 “이는 어떤 취약점이든 해결할 토대를 마련하는 것이다”라고 설명했다.

사우사드는 다양한 기기에서 기업 시스템에 대해 지속적으로 원격 접근이 이뤄지고, 다뤄야 할 취약점이 계속해 발생하고, 조직이 직면하는 위협의 수가 증가한 2020년대 중반에 이런 역할이 필요하다는 것을 알게 됐다.

사우사드는 자신의 팀을 포함한 대부분의 보안 팀에 취약점을 다루는 직원들이 있다고 말했다. 그러나 때론 다른 우선순위가 더 중시된다고 덧붙였다. 이에 2021년 초에 취약점 관리에 더 신경을 쓰도록 새로운 직책을 만들었다. 누군가에게 이 일을 우선순위로 삼을 시간과 권한을 주고, 더 나아가 공급업체와 협력해 조직이 정한 기준에 맞춰 문제를 해결하는 것이 최고라고 판단했다.

그녀는 “이는 취약점 해결이 우선순위가 되도록 보장한다. 또한 규제기관 등 다른 이들에게 우리가 취약점 해결에 전념하고 있다는 것을 보여준다”라고 덧붙였다.

- 클라우드 보안 아키텍트(Cloud security architect)
보안 리더, 채용담당자, 컨설턴트에 따르면, 클라우드 보안 아키텍트는 가장 수요가 많은 역할 가운데 하나다. 베스트맨은 “규제 측면에서 발생한 수요가 많다. 규제와 컴플라이언스 위험을 경감하면서 클라우드 플랫폼의 혜택을 실현시키기 위해서이다”고 설명했다.

베스트맨은 채용 담당 매니저는 클라우드 플랫폼을 다룬 경험이 있는 사람들을 원한다고 말했다. 플랫폼에 특정적인 교육을 이수했거나, 자격증을 가진 사람들이 이상적이다. 또한 보안 프로토콜에 대한 이해가 깊은 사람들을 원한다. 

나이르는 “클라우드 자산을 안전하게 만드는 필요한 보안 도구를 파악하고, 클라우드 아키텍처를 위한 보안 청사진을 개발할 수 있는 능력을 가져야 한다”고 말했다. 그러면서 이 역할을 맡을 최고의 인재들은 자신의 선택이 재무와 보안 측면에 미칠 영향을 고려해 도구를 평가할 수 있어야 한다고 덧붙였다.

요구되는 것이 많다. 그러나 베스트맨은 클라우드 경험을 가진 보안 아키텍트의 수가 증가하고 있다고 말했다. 또한 시장 가치를 높이기 위해 클라우드 자격증을 취득한 사람들이 늘어나고 있는 추세다.

- 사고 대응 관리자(Incident response manager)
2020년, 사우사드는 부처에 사고 대응 관리자 역할을 추가했다. 사우사드는 자신의 팀을 포함해 보안 팀에는 온갖 종류의 사고를 다루는 방법을 계속 파악하고, 무언가 일어났을 때 이에 대비를 하는 책임을 지는 직원이 한 명 이상 있어야 한다고 말했다.

그녀 팀의 새로운 사고 대응 관리자(때때로 사고 대응 분석가로 지칭)는 유사한 직책에서 17년을 일한 경력을 갖고 있다. 사우사드에게 그 경험이 중요했다. 그녀는 “사고를 다룬 경험이 있는 사람을 원했다”라고 말했다.

사우사드는 보안 부서가 가능한 빨리 대응을 하고, 모든 관련 업무를 조율할 수 있도록 보장하기 위해 직책을 신설했다. 사우사드는 “이는 사고를 분류하고, 모든 사람을 모으고, 사고 종류를 파악할 단일 ‘연락 지점’을 제공했다”라고 말했다. 그녀는 이런 관리자는 전화 시스템 중단부터 개인 식별 정보 노출 사고까지 다양한 사고, 이런 사고에 요구되는 다양한 수준의 우려사항들을 다루는 방법을 알아야 한다고 덧붙였다.

- CISO(Chief Information Security Officer)
CISO는 새로운 직책은 아니지만, 보편화된 역할도 아니다. 

IDG의 ‘2020년 보안 우선순위(Security Priorities)’ 조사에 따르면, 중견 기업 가운데 CISO나 CSO, 기타 최고 보안 임원이 있는 기업의 비율은 80%인 대기업에 미치지 못한다. 대기업에도 임원급 사이버보안 직책이 없는 기업들이 있다. 

보안 공급업체인 비트글래스(Bitglass)가 조사한 결과에 따르면, 2019년 포춘 500대 기업 중 CISO가 없는 기업의 비율은 38%였다. CISO 외에 보안 담당 부사장 등 사이버보안 전략을 책임진 다른 임원이 있는 비율은 16%에 불과했다.

전문가들에 따르면, 이는 실수다. 보안에 최선을 다하는 조직의 경우에도 CISO 역할은 상부에서, 그리고 전사적으로 ‘분위기’를 조성해 관리하는 데 아주 중요하다. 사우사드는 “이는 조직이 깊이 있는 방어 전략을 획득할 수 있도록 만드는 데 중요한 역할을 한다”라고 설명했다.

CISO는 임원급 경영진과 협력해 전략을 수립한다. 따라서 조직 위험에 부합하는 보안 태세를 규정해 실천하는 데 성공할 가능성이 높아진다. 임원 직위를 가진 CISO는 다른 사람들이 보안 요구사항을 준수하도록 만드는 더 나은 위치에 있다.

스테파니 베누아-커츠는 “기관과 기업에는 CISO가 있어야 한다. 최소한 파트타임으로 일하는 가상 CISO라도 있어야 한다. 그렇지 않으면 잘못된 분위기가 형성된다”라고 덧붙였다. editor@itworld.co.kr