걸스카웃도 공략한다··· 보안 업계의 인재 확보 노력 ‘천태만상’

CSO

보안 인재 부족 현상이 점점 더 심각해지고 있다. 사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면, 2015년 전세계적으로 3조 달러였던 사이버범죄 비용은 2021년이면 2배 증가한 6조 달러에 이를 것으로 예상된다. 2016년 100만 개였던 사이버보안 일자리는 2019년이면 150만 개로 늘어나게 된다.

실제로 사이버공격은 그 규모와 피해가 계속 커지고 있다. 주니퍼 리서치(Juniper Research)에 따르면 올해 고객 데이터 기록 도난 건수는 28억 건이며 2022년까지 50억 건으로 늘어날 것으로 예상된다. 이 밖에 사이버시큐리티 벤처스에서는 랜섬웨어 공격으로 인한 비용 총액이 올해 50억 달러에 이를 것으로 추산하고 있다. 이는 2015년의 3억2,500만 달러에서 크게 늘어난 수치이다.

사이버시크(CyberSeek)에 따르면, 현재 미국 전체의 사이버보안 종사자가 전부 합쳐 80만 명이 안되는 상황에서 사이버보안 전문가들을 위한 일자리는 거의 35만 개 가까이 있다고 한다. 보안 자격증 보유자 역시 부족한 실정이다. 공인정보보안관리자 자격증 보유자를 위한 일자리가 3만 개나 있지만 실제 자격증 보유자는 약 1만 500명에 불과하다.



고정 관념 탈피
따라서 회사들은 전통적인 방식으로는 보안 직원을 채용하기가 대단히 어려운 실정이다. 구인 광고를 내는 것 이외의 방법을 모색해야 한다. 채용 담당자를 고용해서 이미 보안 업무에 교육을 받고 경력이 쌓인 전문가를 찾아야 한다.

미국 캘리포니아 주 서니베일(Sunnyvale)에 위치한 일루미오(Illumio)의 최고 영업 책임자 알란 코헨은 관련 기술직 종사자들을 물색하는 것도 한 가지 방법이라고 소개했다.

그는 “똑똑한 IT 종사자들이 정보 보안 분야로 몰려들고 있다. 소프트웨어로 처리되는 업무가 늘어남에 따라 응용프로그램 개발자와 운영 종사자들이 중요한 보안 역할을 맡게 될 것”이라고 말했다.

여성 인력 역시 활용 잠재성이 크다. ISC2에 따르면, 현재 정보 보안직 종사자 중 여성의 비율은 11%에 불과하다. 다양성 개선은 인재 부족 문제 해결에 도움이 된다. 코헨은 “본인이 생각하는 다양성이란 사람들이 관심을 갖지 않는 곳에서 인재를 찾는 것이다. 예를 들면 국제여성기술인협회(WITI) 포럼 등에 자주 방문한다”라고 설명했다.

정부나 군대를 거친 사람들도 훌륭한 자원이다. 코헨은 “정부 부문에는 놀라운 기술과 재능을 갖춘 사람들이 있다. 이들 중 많은 수는 적정 분야에서 기술 교육을 받았을 뿐만 아니라 신기술 습득 능력을 갖추고 있고 압박감에도 잘 대처한다”라고 말했다. 그에 따르면 일루미오는 새로운 인재를 발굴하기 위해 대학 캠퍼스에서 해커톤 이벤트를 개최하기도 한다

다른 회사들도 대회를 통한 인재 발굴에 나서고 있다. 뉴욕에 위치한 시큐리티스코어카드(SecurityScorecard)의 최고 연구 책임자 알렉스 하이드는 “가장 효과적인 정보 보안 인재 발굴 방법 중 하나는 라스베가스의 데프콘(Defcon)이나 남부 플로리다의 핵마이애미(HackMiami)와 같은 지역 해킹 행사에 참가하는 것”이라고 말했다.

하이드에 따르면, 조직적인 해킹 대회는 이제 일종의 스포츠이며 실제 상황에서 공격과 방어 기술을 모두 연습할 수 있는 아주 좋은 방법이다. 또한, “어떤 정보 보안 회사는 면접 도중에 지원자에게 미니 ‘깃발을 잡아라(CTF)’ 도전을 시키기도 한다. 인재를 즉각 알아보는 데 유용한 방법인 것 같다”고 그는 전했다.

트렌드 마이크로사(Trend Micro, Inc.)는 여기서 한 발 더 나아가 자체 CTF 대회를 3년간 개최해 오고 있다고 이 회사의 최고 사이버보안 책임자 에드 카브레라는 밝혔다. 그는 “재능과 소질을 갖춘 사람들을 발굴할 환상적인 기회”라고 설명했다.

트렌드 마이크로의 CTF 대회는 국제 대회로서 올해 결승전은 일본에서 치러진다. 상위 참가자에게는 여비가 지원된다. 카브레라는 “그 중에서 채용되는 사람이 없을 수도 있고 있을 수도 있다. 그러나 어찌되었건 검토해 볼만한 훌륭한 후보자들”이라고 말했다.

똑똑한 사이버보안 인재 발굴 장소가 실리콘 밸리만 있는 것은 아니다. 카브레라는 국제 대회 개최도 외부 인재 발굴의 일환이라고 설명했다. 그는 “요즘과 같은 시대에 우리가 찾는 능력을 보유한 인재는 국제적으로 존재한다”라고 말했다.

트렌드 마이크로는 기존 직원 중에 타 직무 종사자들도 살펴본다. 자신이 속한 사업부에서 도전 정신을 느끼지 못하는 직원에게 자신의 기량을 뽐낼 기회를 주자는 취지라는 설명이다.

카브레라는 이 밖에 기술적인 기량만 지나치게 강조하는 경우가 너무 많다고 지적하고 “사이버보안 관련 업무 중 많은 부분은 꼭 기술과 관련된 것만이 아니라 대인 기술, 탐구 정신, 문제 해결 능력 등이 필요하다. 본인은 항상 대인 기술, 열정, 문제 해결, 창의성 측면을 많이 보며 그런 점을 분석에 반영한다”고 밝혔다.

카브레라 본인 역시 금융 범죄 수사로 시작했다가 나중에 사이버보안 쪽으로 분야를 옮긴 ‘늦깎이’에 속하는 인물이다.

독특한 배경의 사람을 물색하는 회사는 트렌드 마이크로뿐만이 아니다. 매사추세츠 주 베드포드(Bedford)에 위치한 RSA 시큐리티(RSA Security)의 CISO 자넷 레베스크(Levesque)는 “당사의 SOC 팀에는 음악이나 미술 전공자들도 있었다. 음악 전공자에게는 사이버 업무와 많은 시너지 효과를 일으키는 듯한 무언가가 있다. 빠른 학습 능력도 그 중 하나다. 악보를 볼 줄 알거나, 정보 습득이 빠르거나 창의적인 문제 해결 능력이 있는 사람이라면 지원할 만하다. 당사에는 다양한 분야의 사람들이 많이 거쳐갔다”라고 말했다.

사이버보안의 빠른 발전 속도를 감안하면, 특정 기술을 아는 것보다 우수한 분석 기술이 가치가 높다고 레베스크는 덧붙였다. 그는 “오늘 사용하는 기술이 내일이면 쓸모 없게 될 수도 있기 때문이다”라고 설명했다.

이처럼 타 분야에서 채용된 직원들이 업무에 잘 적응할 수 있도록 RSA는 실무 교육(OJT)과 사내 연수를 제공하며 외부 연수 및 교육 프로그램 비용도 지원한다. 이 밖에도 고객들에게 제공하는 제품에 관한 독점 교육을 통해 직원들의 이해도 돕는다. “RSA는 직접 빚은 샴페인을 마시는 셈이다”라고 레베스크는 말했다.

인재 확보 전쟁
경험이 가장 풍부한 최고의 실력자라면 서로 데려가려는 전쟁이 벌어진다. 회사들이 필요한 인재를 발굴하고 이들의 이직을 막기 위해서는 공격적인 능력과 방어적인 능력을 모두 강화해야 한다. 버지니아 주 비엔나(Vienna)에 위치한 크라이테리온 시스템사(Criterion Systems, Inc.)의 부사장 겸 CISO 밥 헥크먼은 “당신이 원하는 사람은 이미 직업이 있다”라고 표현했다.


이미 성공 가도를 달리고 있으며 자신의 직업에 만족하고 있어 적극적으로 구직 활동을 하지 않는 최고의 인재를 데려오는 것은 쉬운 일이 아니다. 한 가지 효과적인 전략은 내부 직원의 인맥을 활용하는 것이다.

헥크먼은 “우리 회사의 경우 우수한 사이버보안 설계자가 있는데 그의 개인적인 명성 덕분에 그와 비슷한 다른 사람들이 모여든다”고 밝혔다. 즉, 현재 직원들은 친구를 사귀고 명성과 인맥을 쌓을 수 있어야 함을 의미한다. 헥크먼은 “직원들에게 그러한 것을 장려할 뿐만 아니라 의무화하기도 한다. 영업 부분이 아닌 사이버 직무 종사자도 참여하도록 의무화 한다”라고 설명했다.

따라서 직원들은 기술적으로 선진적인 소규모 모임에 참가하기도 한다. 그 가운데는 회사에서 하는 기밀 업무와 연관된 비공개 행사도 있다.

단 업계 행사에서 사람들을 만날 때 너무 지나치게 적극적인 나머지 포식자 같은 인상을 주는 일이 없도록 주의해야 한다. 헥크먼은 “채용을 목적으로 해당 행사에 온 것 같은 인상을 준다면 사람들은 다 떠나기 때문에 자연스럽게 행동해야 한다”라고 당부했다.

이는 시간이 걸리는 작업이다. 그는 “많은 회사들이 실제로 사이버 인재들의 개인 데이터베이스를 관리하고 있으며 그들의 경력이 계속되는 동안 추적한다. 그런 인재들에게 계속해서 접근하여 그들이 어떤 일을 하고 있는지, 뭔가 새로운 일을 하고 있는 것은 아닌지 살피면서 업계 내에서 관계를 유지하고 있다”라고 설명했다.

이제 그런 사람들을 데려와서 계속 붙들고 있으려면 이들이 자신들의 직업에서 진정 원하는 것을 제대로 파악해야 한다. 크라이테리온의 사이버보안 전문 수석 채용 담당자 크리스티 쿠퍼는 “사이버 종사자들은 특별하다”라고 단언했다.

이들을 만족시키기 위해 크라이테리온에서는 이들의 경력 개발을 집중 지원할 뿐만 아니라 프로젝트 관련 자격증은 물론 평생 교육에도 집중 투자하고 있다. 직원들의 번아웃 방지를 위해 균형 감각 유지에 도움이 되는 회사 내 다른 여러 보안 직종의 순환 근무를 실시한다. 만족한 직원은 신규 채용에도 도움이 된다고 쿠퍼는 덧붙였다.

그는 “이미 현장에서 일하고 있는 팀이 업무를 즐기고 있다는 사실이 행동으로 표현되어야 한다. 만일 당신이 함께 일하는 사람을 좋아하고 업무 자체를 좋아한다면 그런 점이 드러난다. 그러면 사람들이 찾아와 함께 일하고 싶어할 것이다”라고 설명했다.

파이 키우기
사이버보안 전문가를 양성하기 위한 가장 큰 과제 가운데 하나는 이 분야에 대한 사회 초년생들의 관심을 높이는 것이다. 그 동안 이 문제를 해결하기 위한 업계 차원의 노력이 많이 이루어졌다. 레이시온(Raytheon)의 2017년도 조사에 따르면, 사이버보안 전문가들이 어떤 일을 하는지 인지하고 있는 청소년들의 숫자가 늘어나고 있다.

2015년, 사이버직에 관해 인지하고 있는 젊은 남성의 비율은 46%, 젊은 여성의 경우 33%였으며 2016년에는 각각 54%와 36%로 늘어났다. 사이버직에 대한 관심 역시 높아지고 있다. 작년에 비해 사이버보안직에 종사할 가능성이 높아졌다고 응답한 비율이 남성은 43%, 여성은 30%였다. 미국의 밀레니엄 세대 중에서 그들이 참가할 수 있는 사이버보안 프로그램이나 활동이 있다고 대답한 비율이 2015년의 57%에서 작년에는 70%로 늘어났다.

그러한 활동을 제공하는 회사 가운데 하나인 IBM은 10대들과 청소년들을 위한 해커 고등학교 프로젝트를 운영하고 있다. 이 밖에 직원 훈련과 코딩 캠프, 기술 자격증, 관련 학위 프로그램, 퇴역 군인들을 위한 연수 프로그램 등에도 투자하고 있다. IBM에 따르면, 2015년 이후 IBM에서 채용한 보안 직원 중 20% 가까이가 전통적이지 않은 ‘뉴 칼라’(new collar) 배경을 갖고 있다고 한다.

다른 회사들도 역시 사이버보안 교육 강화에 도움을 주기 위해 애쓰고 있다. 예를 들면 독일에 위치한 NTT 시큐리티(NTT Security)는 대학들과의 관계 발전을 통해 단순히 채용 박람회에 참가하는 것 이상의 효과를 얻을 수 있도록 노력 중이다.

NTT의 글로벌 인재 채용 담당 이사 스튜어트 브룩스는 “당사 직원이 자문 위원회에 참가하여 대학들이 사이버보안직 관련 교과과정을 개발할 수 있도록 도움을 주고 있다”고 설명했다. 이러한 학교로는 오마하 소재의 네브라스카 대학(University of Nebraska-Omaha), 다코타 주립 대학(Dakota State University), 로버트 모리스 대학교(Robert Morris University), 피츠버그 기술 대학(Pittsburgh Technology College) 등이 있다.

NTT는 그 뿐만 아니라 군인 출신 학생들의 대학 생활에 도움을 주는 벳석세스(Vet Success) 프로그램을 통해 산스 인스티튜트(SANS Institute) 연수 및 자격증도 후원하고 있다. 브룩스는 “산스 인스티튜트에는 사이버보안 분야의 여성에게 집중하는 최신 프로그램도 있다. 이들과의 협력도 검토 중”이라고 덧붙였다.

팔로알토 네트웍스(Palo Alto Networks)는 걸스카우트와 연계하여 더 낮은 연령대를 공략하고 있다. 유치원 이상의 여학생들이 올 9월부터 사이버보안 뱃지 따기를 시작할 수 있다. ciokr@idg.co.kr