2019.01.18

기고 | 사이버보안 기술력 부족 현상, 악화일로··· 해법은 없나

Jon Oltsik | CSO
ESG가 조사한 기업의 절반 이상이 사이버보안 기술력 부족 문제를 겪고 있으며, 이 문제는 쉽사리 해결될 것 같지 않아 보인다. 
 
Credit: Dreamstime


ESG는 해마다 전세계 IT전문가를 대상으로 보안 과제, 보안 관련 구매 계획, 전략 등을 조사한다. 이 설문조사에서 조직의 문제가 무엇인지에 관한 질문에 관해 응답자들은 기술력 부족을 지목했다. 

2018-2019년에 사이버보안 기술력 문제는 최우선 과제로 꼽혔다. 설문 응답자의 절반이 넘는 53%는 조직의 문제로 사이버보안 기술력 부족을 언급했다. 이어서 IT아키텍처/기획력 부족이 38%로 2위를 차지했다.

사이버보안 기술력 부족은 어제오늘의 일이 아니다. 놀랍게도 ESG의 연례 설문조사에서 사이버보안 기술력 부족은 매년 1위를 차지했다(참고 : 필자는 ESG의 직원이다.) 또한 문제가 되는 사이버보안 기술 부족을 보고한 조직의 비율도 계속 증가하고 있다. 지난 4번의 설문조사 결과는 다음과 같다.

• 2018-2019 : 조직의 53%가 사이버보안 기술력 부족을 지적했다.
• 2017-2018 : 조직의 51%가 사이버보안 기술력 부족을 지적했다.
• 2016-2017 : 조직의 45%가 사이버보안 기술력 부족을 지적했다.
• 2015-2016 : 조직의 42%가 사이버보안 기술력 부족을 지적했다.

이제 필자와 같은 사람들은 수년간 사이버보안 기술력 부족을 이야기했으며 실제로 이 문제를 해결할 수 있는 많은 산업 및 학술 프로그램은 있다. 그러나 이러한 노력에도 ESG 및 기타 연구 결과에 따르면 사이버보안 기술력 부족 현상은 매년 악화되고 있다.

사이버보안 비관론자처럼 들리겠지만 필자는 사이버보안 기술력 부족이 우리 모두에게 존재하는 위협이라고 믿는다. 필자는 이 상황을 바로 잡기 위한 현재의 접근 방식은 효과가 없다고 생각한다. 사실, 필자는 우리가 기술력 부족을 다소 기만적으로 다루고 있다고 주장하고 싶다. 우리는 RSA의 호스트 패널과 작은 승리를 언급하지만 산업, 직업, 국가로서 시간이나 자원을 어떤 유형의 국가 전략으로도 다루지 않았다.

사이버보안 기술력 부족 문제를 해결하는 방법
사이버보안 기술력 부족 문제를 해결하는 데 필요한 것은 무엇일까? 다음은 몇 가지 아이디어다.

• 대규모 연방 차원의 리더십. 비록 더디게 진행되고 오히려 괴상한 일이긴 하지만 필자에게 사이버보안 기술력 격차는 진정한 국가 비상사태다. 필자는 장학금, 정부차원의 인식 개선 캠페인과 미국 내 상무부, 교육부, 에너지부, 국토안보부, 법무부가 주도하는 부처별 프로그램을 통해 워싱턴에서 실질적인 리더십을 발휘하길 바란다. 또한 눈에 확연히 드러나는 사이버보안의 임무를 재평가하고 지표를 작성하며 프로그램을 추진하고, 진행중인 주 당국에 보고하는 책임을 지게 할 가치가 있다. 국가 프로그램 대신 (이런 슬픈 일은 일어날 것 같지 않음), 메릴랜드주 전체 전략의 주도하에 주 정부가 나서야 한다.

• 좀더 철저한 공공/민간 협업. 과거 오바마 대통령은 실리콘밸리와 워싱턴의 격차를 줄이려는 노력을 시작했다. 트럼프 대통령은 사이버보안 기술 공동체와의 협력에 좀더 집중적인 노력을 기울여 전진해야 한다. 이스라엘의 모델은 군대, 정부기관, 학술기관, 사이버보안 업체, 벤처캐피탈 간의 관계를 이어주는 좋은 역할을 하므로 연구할 만한 가치가 있다. 워싱턴은 비슷한 모델을 만들고자 노력해야 한다.

• 통합된 산업적 노력. 아마존, 체크포인트, 시스코, 델, 페이스북, 구글, HP, IBM, 맥아피, 마이크로소프트, 오라클, 팔로알토 네트웍스, 시만텍, 트렌드마이크로 대형 사이버보안 및 기술업체들은 리소스를 풀어 놓아야 한다. 재능을 발휘하여 사이버보안 교육을 위한 전략과 프로그램을 마련해야 한다. 업계 전반의 조직은 엄청난 가시성과 업무 처리 능력을 갖추고 있다.

물론 CISO는 정부기관과 기술업체가 함께 행동할 때까지 기다릴 수 없다. 그동안 보안 관리자는 모든 의사결정 시 사이버보안 기술력 부족을 고려해야 한다. 또한 조직은 사이버보안 직원의 지속적인 교육을 위해 노력해야 하며 자동화, 통합, 간소화된 운영을 위해 구축된 새로운 보안 기술에 투자하면서 사이버보안 인력이 ISSA와 같은 전문 조직에 참여하도록 권장해야 한다.

마지막으로, CISO는 사이버보안 워크로드에 대한 포트폴리오 관리 접근 방식을 취해야 하며 필요하거나 편리할 때 서비스 제공업체에 아웃소싱 작업을 개방해야 한다.

*Jon Oltsik은 ESG 수석 애널리스트이자 이 회사의 사이버보안 서비스 창립자다. ciokr@idg.co.kr



2019.01.18

기고 | 사이버보안 기술력 부족 현상, 악화일로··· 해법은 없나

Jon Oltsik | CSO
ESG가 조사한 기업의 절반 이상이 사이버보안 기술력 부족 문제를 겪고 있으며, 이 문제는 쉽사리 해결될 것 같지 않아 보인다. 
 
Credit: Dreamstime


ESG는 해마다 전세계 IT전문가를 대상으로 보안 과제, 보안 관련 구매 계획, 전략 등을 조사한다. 이 설문조사에서 조직의 문제가 무엇인지에 관한 질문에 관해 응답자들은 기술력 부족을 지목했다. 

2018-2019년에 사이버보안 기술력 문제는 최우선 과제로 꼽혔다. 설문 응답자의 절반이 넘는 53%는 조직의 문제로 사이버보안 기술력 부족을 언급했다. 이어서 IT아키텍처/기획력 부족이 38%로 2위를 차지했다.

사이버보안 기술력 부족은 어제오늘의 일이 아니다. 놀랍게도 ESG의 연례 설문조사에서 사이버보안 기술력 부족은 매년 1위를 차지했다(참고 : 필자는 ESG의 직원이다.) 또한 문제가 되는 사이버보안 기술 부족을 보고한 조직의 비율도 계속 증가하고 있다. 지난 4번의 설문조사 결과는 다음과 같다.

• 2018-2019 : 조직의 53%가 사이버보안 기술력 부족을 지적했다.
• 2017-2018 : 조직의 51%가 사이버보안 기술력 부족을 지적했다.
• 2016-2017 : 조직의 45%가 사이버보안 기술력 부족을 지적했다.
• 2015-2016 : 조직의 42%가 사이버보안 기술력 부족을 지적했다.

이제 필자와 같은 사람들은 수년간 사이버보안 기술력 부족을 이야기했으며 실제로 이 문제를 해결할 수 있는 많은 산업 및 학술 프로그램은 있다. 그러나 이러한 노력에도 ESG 및 기타 연구 결과에 따르면 사이버보안 기술력 부족 현상은 매년 악화되고 있다.

사이버보안 비관론자처럼 들리겠지만 필자는 사이버보안 기술력 부족이 우리 모두에게 존재하는 위협이라고 믿는다. 필자는 이 상황을 바로 잡기 위한 현재의 접근 방식은 효과가 없다고 생각한다. 사실, 필자는 우리가 기술력 부족을 다소 기만적으로 다루고 있다고 주장하고 싶다. 우리는 RSA의 호스트 패널과 작은 승리를 언급하지만 산업, 직업, 국가로서 시간이나 자원을 어떤 유형의 국가 전략으로도 다루지 않았다.

사이버보안 기술력 부족 문제를 해결하는 방법
사이버보안 기술력 부족 문제를 해결하는 데 필요한 것은 무엇일까? 다음은 몇 가지 아이디어다.

• 대규모 연방 차원의 리더십. 비록 더디게 진행되고 오히려 괴상한 일이긴 하지만 필자에게 사이버보안 기술력 격차는 진정한 국가 비상사태다. 필자는 장학금, 정부차원의 인식 개선 캠페인과 미국 내 상무부, 교육부, 에너지부, 국토안보부, 법무부가 주도하는 부처별 프로그램을 통해 워싱턴에서 실질적인 리더십을 발휘하길 바란다. 또한 눈에 확연히 드러나는 사이버보안의 임무를 재평가하고 지표를 작성하며 프로그램을 추진하고, 진행중인 주 당국에 보고하는 책임을 지게 할 가치가 있다. 국가 프로그램 대신 (이런 슬픈 일은 일어날 것 같지 않음), 메릴랜드주 전체 전략의 주도하에 주 정부가 나서야 한다.

• 좀더 철저한 공공/민간 협업. 과거 오바마 대통령은 실리콘밸리와 워싱턴의 격차를 줄이려는 노력을 시작했다. 트럼프 대통령은 사이버보안 기술 공동체와의 협력에 좀더 집중적인 노력을 기울여 전진해야 한다. 이스라엘의 모델은 군대, 정부기관, 학술기관, 사이버보안 업체, 벤처캐피탈 간의 관계를 이어주는 좋은 역할을 하므로 연구할 만한 가치가 있다. 워싱턴은 비슷한 모델을 만들고자 노력해야 한다.

• 통합된 산업적 노력. 아마존, 체크포인트, 시스코, 델, 페이스북, 구글, HP, IBM, 맥아피, 마이크로소프트, 오라클, 팔로알토 네트웍스, 시만텍, 트렌드마이크로 대형 사이버보안 및 기술업체들은 리소스를 풀어 놓아야 한다. 재능을 발휘하여 사이버보안 교육을 위한 전략과 프로그램을 마련해야 한다. 업계 전반의 조직은 엄청난 가시성과 업무 처리 능력을 갖추고 있다.

물론 CISO는 정부기관과 기술업체가 함께 행동할 때까지 기다릴 수 없다. 그동안 보안 관리자는 모든 의사결정 시 사이버보안 기술력 부족을 고려해야 한다. 또한 조직은 사이버보안 직원의 지속적인 교육을 위해 노력해야 하며 자동화, 통합, 간소화된 운영을 위해 구축된 새로운 보안 기술에 투자하면서 사이버보안 인력이 ISSA와 같은 전문 조직에 참여하도록 권장해야 한다.

마지막으로, CISO는 사이버보안 워크로드에 대한 포트폴리오 관리 접근 방식을 취해야 하며 필요하거나 편리할 때 서비스 제공업체에 아웃소싱 작업을 개방해야 한다.

*Jon Oltsik은 ESG 수석 애널리스트이자 이 회사의 사이버보안 서비스 창립자다. ciokr@idg.co.kr

X