2020.08.24

글로벌 칼럼 | “4년째 제자리 걸음” 심각 단계의 사이버 보안 기술 인력 부족

Jon Oltsik | CSO
지난 4년 동안 ESG와 ISSA(Information Systems Security Association)는 사이버 보안 전문가의 경험과 의견, 경력에 중점을 둔 연구 프로젝트를 함께 진행했다. 

기우에 불과할지는 모르지만, 필자에게는 상당한 경고로 읽힌다. 보안 업계는 주요 보안 문제를 기술에 대한 신뢰와 입에 발린 말의 조합으로 해소해 왔다. 우리는 여전히 기술에 열중하고 있으며, 교육 훈련 프로그램으로 사람들을 유도하고 있지만, 큰 진척은 없는 상태이다. 
 
ⓒ Getty Images Bank

핵심은 바로 전 세계적으로 사이버 보안 기술 인력이 부족하다는 것이다. 조사 데이터는 이런 상황이 개선되지 않을 뿐만 아니라 실제로는 더 나빠질 수 있다는 사실을 명확하게 보여준다. 몇 가지 예를 들어보자.
 
  • 사이버 보안 전문가의 70%는 자신이 속한 조직이 사이버 보안 기술 인력의 부족으로 어려움을 겪고 있다고 답했다. 지난 4년 동안 이 비율은 가장 낮을 때 69%, 가장 높을 때 74%였다. 이 데이터는 전반적으로 상황이 나아지지 않았다는 것을 보여준다. 
 
  • 기술 인력이 부족한 주된 이유는 기존 사이버 보안 인력의 업무 부하 증가, 오래도록 채워지지 않는 빈자리, 초보 인력을 채용하고 교육하는 비용 증가, 역량을 제대로 발휘하기 위해 필요한 보안 기술을 학습 또는 활용할 역량 부재 등이다. 마지막 문제는 다소 아이러니한데, 발등에 떨어진 사이버 보안 불을 끄느라 바빠서 소방 호스를 적절하게 활용하는 방법을 배울 시간이 없다는 것이기 때문이다.
 
  • 가장 심각하게 부족한 기술 인력은 애플리케이션 보안 전문가, 클라우드 보안 전문가, 보안 애널리스트이다. 각각의 조직이 더 많은 소프트웨어를 개발하고 퍼블릭 클라우드로 워크로드를 이전하고 정교한 위협에 대응하면서 이들 기술인력의 공급이 좋게 말해도 불안한 상황이다.
 
  • 단 7%의 사이버 보안 전문가만이 지난 몇 년 동안 자신이 속한 조직의 사이버 보안 기술 인력 부족 상황이 나아졌다고 답했다. 반대로 45%는 상황이 더 나빠졌고, 48%는 똑같다고 답했다. 배가 간신히 물을 퍼내고 있거나 더 깊이 가라앉고 있는 것이다.
 
  • 이런 문제를 해소하기 위해 조직이 필요한 조치를 했는가를 묻는 질문에 58%의 응답자가 뭔가를 해야 하거나 더 많이 해야 한다고 답했다.

사이버 보안 기술 인력 부족은 두 가지 요소로 구성된다. 확실한 것 한 가지는 전체적인 인력 풀에서 사이버 보안 전문가가 충분하지 않다는 것이다. 따라서 모두가 같은 인재를 확보하기 위해 싸우고 있다. 더 심각한 것은 첨단 사이버 보안 기술 인력이다. 숙련된 위협 사냥꾼이나 사고 대응 전문가, 클라우드 보안 아키텍트를 찾는 것은 행운이 필요한 일이다. 

여기서 알 수 있는 것은 현재의 사이버 보안 인력은 과로하고 있으며, 첨단 보안 기술 요구사항에 대해서는 간신히 기술력을 갖춘 인력에 의존하고 있다는 사실이다. 간호 실습생에게 심장 수술을 맡기는 형국이다.

지난 4년 간의 보안 기술 인력 부족에 관한 데이터에서 얻을 수 있는 것은 이제는 현실을 직시해야 할 때라는 사실이다. 사이버 보안 인력에 대한 수요가 증가하고 있지만, 공급은 정체되어 있다.

디지털 트랜스포메이션과 IoT, 각종 스마트 인프라 혁신이 진행되면서 사이버 보인 기술 인력의 부족은 사소한 불편사항이 아니라 존재 자체에 대한 위협으로 봐야 한다. 기업 책임자와 선출된 공무원, 교육 기관은 이 문제를 조직의 존폐를 결정하는 사안으로 다루어야만 한다.
*Jon Oltsik은 ESG의 대표 애널리스트이다. 
editor@itworld.co.kr


2020.08.24

글로벌 칼럼 | “4년째 제자리 걸음” 심각 단계의 사이버 보안 기술 인력 부족

Jon Oltsik | CSO
지난 4년 동안 ESG와 ISSA(Information Systems Security Association)는 사이버 보안 전문가의 경험과 의견, 경력에 중점을 둔 연구 프로젝트를 함께 진행했다. 

기우에 불과할지는 모르지만, 필자에게는 상당한 경고로 읽힌다. 보안 업계는 주요 보안 문제를 기술에 대한 신뢰와 입에 발린 말의 조합으로 해소해 왔다. 우리는 여전히 기술에 열중하고 있으며, 교육 훈련 프로그램으로 사람들을 유도하고 있지만, 큰 진척은 없는 상태이다. 
 
ⓒ Getty Images Bank

핵심은 바로 전 세계적으로 사이버 보안 기술 인력이 부족하다는 것이다. 조사 데이터는 이런 상황이 개선되지 않을 뿐만 아니라 실제로는 더 나빠질 수 있다는 사실을 명확하게 보여준다. 몇 가지 예를 들어보자.
 
  • 사이버 보안 전문가의 70%는 자신이 속한 조직이 사이버 보안 기술 인력의 부족으로 어려움을 겪고 있다고 답했다. 지난 4년 동안 이 비율은 가장 낮을 때 69%, 가장 높을 때 74%였다. 이 데이터는 전반적으로 상황이 나아지지 않았다는 것을 보여준다. 
 
  • 기술 인력이 부족한 주된 이유는 기존 사이버 보안 인력의 업무 부하 증가, 오래도록 채워지지 않는 빈자리, 초보 인력을 채용하고 교육하는 비용 증가, 역량을 제대로 발휘하기 위해 필요한 보안 기술을 학습 또는 활용할 역량 부재 등이다. 마지막 문제는 다소 아이러니한데, 발등에 떨어진 사이버 보안 불을 끄느라 바빠서 소방 호스를 적절하게 활용하는 방법을 배울 시간이 없다는 것이기 때문이다.
 
  • 가장 심각하게 부족한 기술 인력은 애플리케이션 보안 전문가, 클라우드 보안 전문가, 보안 애널리스트이다. 각각의 조직이 더 많은 소프트웨어를 개발하고 퍼블릭 클라우드로 워크로드를 이전하고 정교한 위협에 대응하면서 이들 기술인력의 공급이 좋게 말해도 불안한 상황이다.
 
  • 단 7%의 사이버 보안 전문가만이 지난 몇 년 동안 자신이 속한 조직의 사이버 보안 기술 인력 부족 상황이 나아졌다고 답했다. 반대로 45%는 상황이 더 나빠졌고, 48%는 똑같다고 답했다. 배가 간신히 물을 퍼내고 있거나 더 깊이 가라앉고 있는 것이다.
 
  • 이런 문제를 해소하기 위해 조직이 필요한 조치를 했는가를 묻는 질문에 58%의 응답자가 뭔가를 해야 하거나 더 많이 해야 한다고 답했다.

사이버 보안 기술 인력 부족은 두 가지 요소로 구성된다. 확실한 것 한 가지는 전체적인 인력 풀에서 사이버 보안 전문가가 충분하지 않다는 것이다. 따라서 모두가 같은 인재를 확보하기 위해 싸우고 있다. 더 심각한 것은 첨단 사이버 보안 기술 인력이다. 숙련된 위협 사냥꾼이나 사고 대응 전문가, 클라우드 보안 아키텍트를 찾는 것은 행운이 필요한 일이다. 

여기서 알 수 있는 것은 현재의 사이버 보안 인력은 과로하고 있으며, 첨단 보안 기술 요구사항에 대해서는 간신히 기술력을 갖춘 인력에 의존하고 있다는 사실이다. 간호 실습생에게 심장 수술을 맡기는 형국이다.

지난 4년 간의 보안 기술 인력 부족에 관한 데이터에서 얻을 수 있는 것은 이제는 현실을 직시해야 할 때라는 사실이다. 사이버 보안 인력에 대한 수요가 증가하고 있지만, 공급은 정체되어 있다.

디지털 트랜스포메이션과 IoT, 각종 스마트 인프라 혁신이 진행되면서 사이버 보인 기술 인력의 부족은 사소한 불편사항이 아니라 존재 자체에 대한 위협으로 봐야 한다. 기업 책임자와 선출된 공무원, 교육 기관은 이 문제를 조직의 존폐를 결정하는 사안으로 다루어야만 한다.
*Jon Oltsik은 ESG의 대표 애널리스트이다. 
editor@itworld.co.kr


X