기고 | 사이버보안 기술 인력 부족, 점점 악화되고 있나?

CSO
새로운 연구 결과에 따르면 사이버보안 기술 수요를 충족하려는 상황이 개선되지 않은 것으로 나타났다. 게다가 그 여파가 널리 퍼지고 있다.
 
ⓒDreamstime

필자는 7년 동안 사이버보안 기술 인력 부족에 관한 글을 써 왔는데, 필자의 생각은 기우였다. 사이버보안 채용 정보는 넘쳐난다. 그렇다면 기술 인력 부족이 유능한 사이버보안 전문가에게 미치는 영향은 무엇일까?

이는 제3회 연례 ESG/ISSA 연구 보고서인 '사이버보안 전문가의 삶과 시대'의 중점 분야 중 하나다(참고 : 필자는 ESG 직원이다). 우선 ‘기술 인력 부족이 유능한 사이버보안 전문가에 미치는 영향은 무엇일까?’라는 질문을 267명의 사이버보안 전문가와 ISSA 회원에게 사이버보안 기술 부족이 자신들이 일하는 조직에 영향을 미쳤는지 했다. 응답자의 거의 3/4(74%)은 사이버보안 기술 인력 부족이 조직에 ‘상당히’ 또는 ‘다소’ 영향을 미쳤다고 말했다.

이러한 응답률은 매년 상승했다. 작년에 70%의 응답자가 사이버보안 기술 부족이 조직에 영향을 미쳤다고 답했으며 2년 전에는 이 같은 답변이 69%였다.

이러한 결과는 사이버보안 기술 부족이 점점 악화되고 있음을 의미할까? 리서치 패널 풀의 변화와 샘플 크기의 오차로 ESG/ISSA 연구만으로는 ‘그렇다’고 설명하기 어렵다. 그러나 명확한 사실은 사이버보안 기술 부족이 개선되고 있다는 증거가 없다는 것이다.

사이버보안 기술 부족의 파급 효과
사이버보안 기술 부족에서 파생되는 효과는 무엇일까? 우리는 이 질문을 조직이 영향을 받았다고 밝힌 응답자의 74%에게 물었다. 결과는 다음과 같다.

• 응답자의 66%는 사이버보안 기술 인력 부족으로 기존 직원의 업무량이 증가했다고 주장했다. 조직에는 충분한 인력이 없으므로 단순히 자신이 가지고 있는 것에 더 많은 작업을 쌓을 수 있다. 이는 인적 오류, 기술 직무 불일치, 직원 소진 등의 문제로 이어진다.

• 응답자의 47%는 사이버보안 기술 인력 부족으로 인해 일부 보안 기술을 최대한 활용하거나 활용할 수 없다고 주장했다. 조직은 값비싼 보안 툴을 사들이면서 시간을 투자할 자원이 없기 때문에 고생하게 된다. 그렇다면, 보험 중개업체인 마쉬앤맥러넌(Marsh & McLennan)이 사이버보안 제품에 대한 등급 시스템을 개발하기 전에 이 사실을 고려해야 하는지 궁금하다. 마쉬에 대한 참고 사항 : 올바르게 사용하는 방법을 아무도 모를 경우 제품 품질은 중요하지 않다.

• 응답자 41%는 사이버보안 기술 인력 부족으로 경험이 풍부한 사이버보안 전문가를 고용하는 것보다 초임자급 직원을 고용하고 훈련해야 한다고 주장했다. 이 상황은 새로운 현실이기 때문에 조직은 익숙해져야 한다. 실제로 똑똑한 CISO는 지역 대학과 협력하고, 교육 및 직업 순환 프로그램을 개발하며, 멘토 프로그램을 운영하고, 사이버보안 경력 개발을 위한 CoE(Center of Excellence)를 만들 것이다.

• 응답자의 40%는 사이버보안 기술 인력 부족으로 현업에서 사이버보안을 비즈니스 프로세스에 맞추기 위한 제한된 시간을 보냈다고 주장했다. 이를 생각해 보라. 조직은 비즈니스 임무의 일환으로 기술 사용을 확대하고 있지만, 사이버보안 직원은 위험을 완화하거나 비즈니스 프로세스를 보호하기 위해 비즈니스와 충분한 시간을 할애하지 못한다. 이는 모든 CEO에게 놀라운 통계가 돼야 한다.

사이버보안 기술 인력 부족은 단순히 사람 부족이 아니라 기술에 관한 것이다. 따라서 클라우드 보안, 위협 인텔리전스, 보안 조사, 포렉식 등의 영역에서 많은 조직은 인력 부족과 고급 기술력 부족을 경험하고 있다.

미국 트럼프 대통령은 최근 사이버보안 기술 격차를 해소하기 위한 행정 명령을 발표했다. 이 발표가 기술 인력 부족을 조금이나마 해소해 줄까? 물론 문제를 해결하기 위해 어떤 행동이라도 하는 게 낫지만 행정 명령은 너무나 드물고 너무나 늦은 전시행정이다. 

우리의 삶은 이제 비트와 바이트의 통제를 받기 때문에 사이버보안 기술 인력 부족은 우리 모두에게 존재하는 위협이다. 진정한 긴박감으로 이 문제를 해결해야 할 때다.

참고 : ESG / ISSA 보고서는 무료로 제공된다. 보고서에 제시된 데이터는 사이버보안 및 IT 전문가, 비즈니스 관리자 및 정책 입안자에게 도움이 될 것이다.

*Jon Oltsik은 ESG 수석 애널리스트이자 이 회사의 사이버보안 서비스 설립자다. ciokr@idg.co.kr