기고 | 사이버보안 인력이 정말 부족할까?

Computerworld

사이버보안 인력이 부족한 것처럼 보이는 이유는 사람들이 잘못된 곳을 보고 있기 때문이다.


Credit: Hochgeladen von Colin, CC-BY-SA 4.0, via Wikipedia

흔히 사람들은 유능한 보안 종사자들이 부족하고, 보안 분야에 필수적인 능력을 갖춘 인재들이 충분히 진출하지 않기 때문이라고 생각하는 듯 보인다. 이런 생각에는 오류가 있다. 사람들은 보안이 독립적인 분야로 생각하지만 사실 보안은 컴퓨터 분야의 일부다. 그렇게 다루지 않는 것은 실수다.

필자를 포함해 10년 이상 보안 쪽에 종사해온 대부분의 사람들은 사이버보안을 전공하지 않고 이 분야에 진출했다. 자격증이 있기도 했지만 그 자격증 때문에 우리가 전문적이 된 것은 아니라고 생각한다.

필자의 경험도 다르지 않다. 근무해온 기간 내내 직원으로 혹은 NSA와 기타 군사와 정보 기관 등의 도급업자로 일해온 필자는 특별히 보안 작업이라고 여겨질 만한 일을 한 적이 없다.

사실 NSA에서는 컴퓨터 분야에서 시작한 것 조차도 아니었다. 필자는 정보 분석가 일이 너무나도 싫어서 컴퓨터 시스템 인턴 프로그램에 지원했었다. 당시 NSA는 컴퓨터 전문가를 충분히 구하지 못하고 있었고, 그래서 컴퓨터 적성이 뛰어난 사람들을 식별하고 교육하기 위해 프로그램을 만들었다. 비록 나중에 민간 분야에서 보안 전문가로 알려지기는 했지만, 필자는 보안 특정 교육을 받은 적이 전혀 없다. 대신 훌륭한 기술 운영 프랙티스에 대해 오랫동안 현장 경험과 정식 교육을 받았다. 침투 테스트에 있어서 이후 내 성공은 시스템을 어떻게 해킹하고 소셜 엔지니어링 공격을 어떻게 수행하느냐에 대한 정식 교육이 아닌 대부분 훌륭한 프랙티스의 부재를 잡아내는 것에 기반했다. 마주했던 엉망진창인 보안 상황에서 필자는 고급 기술은 전혀 쓰지 않아도 문제 없었다. 다시 말해 그건 사이버보안 프로그램에서 일어나는 사건이 전혀 아니었다.

물론 NSA는 나처럼 보안에 집중해 일하는 인력이 있지만, 그들은 운영이나 네트워크 같은 것들을 배운 후 그 분야로 옮겨왔다. 그들은 초급 직원으로 선입들의 교육하에 있지 않은 이상 ‘보안’에서 일을 시작하지 않았다.

NSA만 이런 접근방식을 취하는 것은 아니다. 다른 정보와 군사 기관, 정부 도급업자, 대형 은행, 그리고 강력한 보안 프로그램을 이행하는 다른 리더들은 알맞은 적성과 연관된 기술을 가진 사람들을 식별하는데 초점을 맞추고 그들에게 정식 현장 교육을 시키고 보안 관련 역할을 맡긴다.

모든 직업세계가 비슷하게 돌아간다. 엔지니어링 회사들이 교량 엔지니어링 학위를 가진 인력이 없어서 한탄하거나, 마천루 건축 학위를 가진 졸업생이 없어서 불평하는 건설사에 대한 이야기를 들어보지 못했을 것이다. 군대는 전투 훈련을 이미 마친 졸업생들을 구하기 어렵다며 이를 불평하지 않는다. 그러면 대체 왜 많은 정부기관들과 민간 기업들은 사이버보안 전문가들이 없다고 난리들인 걸까?
 

---------------------------------------------------------------
보안 경력 인기기사
->블로그 | 수요·공급 많은 보안직종, 인재 찾기 어려운 이유
-> 블로그 | 당신의 보안 직책은 안녕하십니까?
->보안 전문가들이 갖춰야 할 6가지 소프트 스킬
-> 美 사이버보안 전문가 '수요 많고 연봉 높다'
-> IT 보안 전문가를 바꾸는 7가지 트렌드··· 가트너
---------------------------------------------------------------

사이버보안 학위를 가진 인력을 더 많이 받는 게 오히려 해가 될 수 있다는 점 때문에 필자는 곤혹스럽다. 그런 학위를 가진 이들은 조직에서 스스로 키워낼 수 있는 보안에 초점을 맞춘 전문가들만큼 지식을 쌓을 수도 유능해질 수도 없다.

 


기업들이 분명히 항상 사이버보안 학위를 가진 인력을 지나치기 때문에 그런 사실들을 이해할거라고 생각할 것이다. 필자는 하급 위치에 요구되는 기술과 능력이 없어서 사이버보안 학위를 가지고도 채용되지 않는 사람들 10여 명과 이야기를 해봤다. 하지만 안타깝게도 사이버보안 학위자는 초급 보안 직위를 맡기에는 기술적으로 불충분하고, 또 그들은 보통 컴퓨터 업계 어느 곳의 초급 직위에도 충분할 만한 능력을 가지고 있지 못하다.

어쨌든 보안 직위는 낮은 직위가 아니고, 만약 낮게 본다면 보안에 큰 사고가 생기게 될 것이다. 최고의 보안 종사자들은 그들이 안전하게 지켜야 할 프로세스와 기술에 대한 경험을 가지고 있다.

-만약 당신이 경험 많은 개발자가 아니라면 사람들에게 그들이 작성한 코드를 어떻게 안전하게 만들지 이야기하기 힘들 것이다.

-만약 당신이 시스템 운영자로서 경험이 없다면 시스템의 보안을 유지할 수 없다.

-만약 당신이 운영자로서 경험이 없다면, 데이터베이스를 안전하게 지킬 수 없다.

-만약 당신이 네트워크 설계 경험이 없다면 보안 네트워크를 유능하게 설계할 수 없다.

보안 종사자들은 컴퓨터 업계를 포함해 다른 모든 업계 전문가들이 그렇듯 시간과 함께 성장해왔다. 당신은 당신의 기술 수준에 맞는 직책을 부여 받고 그 일을 통해 배우고 적절한 교육을 받는다. 간단한 이야기다. 당신은 필요한 최소 능력에 대해 몇 년간의 경험을 가진 누군가(보통 다년간의 경험이 있는 컴퓨터 종사자)를 찾아서 보안 종사자를 ‘생성’해내고 그들에게 현장 교육, 멘토링, 정식 교육을 통해 보안에 적합한 기술을 배우게 만들면 된다. 생각해보라. 대부분의 경우 사이버보안 프로그램을 배운 신규 졸업생들 없이도 오랫동안 방화벽을 설치 유지해왔다.

알맞은 능력, 경험을 이미 가진 사람을 찾거나 그들을 다른 조직에서 스카우트해오는 이 접근방식이 요즘 인기인 듯 한데, 이런 방식은 통하지 않는다. 하지만 이런 현상 때문에 그렇게 많은 사람들이 보안 전문가가 부족하다고 생각하는 것이다.

필자는 5년 경력의 유능한 컴퓨터 종사자가 사이버보안 학위를 가진 신규 졸업생보다 더욱 효과적으로 일을 해낼 수 있다고 보장할 수 있다. 사이버보안 학위와 자격증이 가치가 없다고 이야기하는 게 아니라 그런 과정들이 실제 작업의 경험과 잘 맞아떨어지지 않는다는 이야기다.

대신에 조직들은 보안 분야 경험이 없더라도 보안 역할에 빠르게 적응할 수 있는 능력 있는 컴퓨터 종사자들을 찾아봐야 한다. 그런 사람들이 분명히 존재하고 그들의 실제 경험이 수많은 자격증이나 학위보다 훨씬 유용할 것이다.

물론 당신의 보안 직위를 채우기 위해 필수 보안 기술을 가진 수많은 사람들이 있다는 건 좋은 일이다. 하지만 조직 내 유능한 전문가를 식별하는 프로그램을 갖추고 그들의 보안 전문성을 길러줄 수 있는 직위와 교육을 제공하지 않는 이상, 보안 전문가 부족은 당신이 스스로 자초하는 문제다. 당신의 조직이 내부 인재를 찾고 훈련시킬 만큼 생각이 편협해서 그런 거라면 알맞은 보안 인재를 구할 수가 없다고 한숨 쉬지 말라.

사이버보안 학위는 신경 쓰지 말라. 해커 채용도 마찬가지다. 자신의 기술을 더 넓히는데 관심이 있는 사내 직원을 찾아보라. 그러면 인재 부족에 대한 불평이 사라지고 보안 프로그램도 향상될 것이라고 장담한다.

* Ira Winker는 보안 서비스 기업 시큐어 멘템(Secure Mentem)의 대표다. ciokr@idg.co.kr