Offcanvas

CSO / 리더십|조직관리 / 보안 / 이직|채용

‘답이 안 나올 땐 질문을 바꿔라’ 사이버보안 채용 돕는 4가지 사고방식 변화

2022.09.13 Mary K. Pratt  |  CSO
그 어느 업계와 마찬가지로 사이버보안 업계도 인력난에 허덕이고 있다. 사고방식을 바꿔 성공적인 채용 전략을 도입한 몇몇 CISO의 전략에 대해 알아본다. 
 
ⓒDepositphotos

미국의 은행 지주회사 ZB(Zions Bancorporation)의 CISO 데이브 스털링은 사이버보안 인력 공백을 해결하기 위해 대대적인 인력풀 개편이나 인력 시장의 변화를 기다리고 있지 않다. 대신에 그는 돌파구를 직접 찾아나섰다. 바로 ‘다양한 것들을 무수히 시도하고 그중에서 성공적인 전략을 찾는’ 방식으로 인재 채용 전략을 변경하고 있다고 그는 말했다. 

이 접근방식 중에는 은행의 IT 및 운영 인력 부서 모색, 지역 대학과의 협력 등이 있다. 동시에 그는 이런 시도를 아무리 많이 하더라도 만성 인력 부족, 고용, 유지의 문제에 대한 만병통치약이 될 수는 없다는 점을 안다. 하지만 그는 최소한 이제 찾아보기도 힘든 사이버보안 인재를 고용하여 유지하는 능력이 점차 개선되고 있다고 말했다.

사이버보안 인력 부족에 대한 암담한 통계를 고려하면 고무적인 성과다. IT 거버넌스 협회 ISACA가 ‘2022년 사이버보안 실태: 인적 자원 관리 및 사이버 운영 관리에 대한 글로벌 업데이트(State of Cybersecurity 2022: Global Update on Workforce Efforts, Resources and Cyberoperations)’에서 2,000명 이상의 사이버보안 전문가를 대상으로 한 조사에 따르면 무려 63%의 기업이 사이버보안 자리를 채우지 못했고(2021년보다 8%p 증가) 62%는 사이버 보안팀의 인력이 부족한 상태다. 한편, 20%는 적합한 사이버보안 지원자를 찾는 데만 6개월 이상이 소요된다고 답했으며, 60%는 사이버보안 전문가를 고용하더라도 유지하기 어렵다고 말했다(2021보다 7%p 증가).

이와 동시에 기업 내 보안 위협이 점차 많아지고 정교해지면서 이 공격 표면에 대비해야 할 필요성도 증가했다. 기존 인력을 채우는 것을 넘어 충원이 필요한 상황이다. 이런 난제를 해결하기 위해 스털링은 스스로 개척할 방법을 찾기 시작했다. 다른 리더도 새로운 돌파구를 찾기 위해 고군분투 중이다. 

몇몇 리더는 꽤 성공적인 결과를 맛보고 있다고 전했다. 보안 소프트웨어 개발기업 넷스코프(Netskope)의 CISO 라몬 오렌지는 “인력을 찾는 방법과 팀을 구성하는 방식을 적극적으로 바꿔야 했다”라고 말했다. 

스털링과 오렌지 같은 리더들이 사이버보안 인재를 찾아 유지하기 위해 사용하고 있는 4가지 사고방식 변화와 전략에 관해 알아본다.  
 

1. 전직자에서 실제 지원자의 직무 요건으로  

조나단 파울러는 기술 기업 콘실리오(Consilio)의 CISO로서 역시 인재 부족 문제에 당면했다. 그의 전략 중 하나는 생각보다 기초적이며 단순하다. 바로 직무 설명을 개선하는 것이다.

파울러는 기존 직무 설명이 너무 이상적인 직원의 자질과 업무를 묘사하는 데 치중한다는 것을 깨달았다. 그래서 “훌륭한 직원이 실제로 하는 일상적인 업무”를 중심으로 직무 설명을 다시 썼다.
 
ⓒDepositphotos

그는 “현실적인 기대치를 세우는 것이 매우 중요하다”라며 “이상적인 직무 요건을 별생각 없이 쓰는 대신 회사에 정말 필요한 게 뭔지 다시 물어보는 소중한 기회가 된다. 기존 직무 요건에 있었던 불필요한 일을 해본 적이 없어 지원하지 않았을 잠재적 지원자를 끌어들일 수도 있다”라고 말했다.

스털링은 몇 년 전부터 인력 부족 문제를 해결하려는 장기 전략의 하나로 직무 요건을 재작성하는 프로젝트를 진행해왔다. 재작성의 목표 중 하나는 간결함이었다.

그에 따르면 더 간결하게 쓰려는 과정에서 기존 직무 요건이 가장 최근 이 일을 했던 사람을 중심으로 쓰여 있다는 점을 알아차렸다. 이는 중요한 발견이었다. 왜냐면 가장 최근까지 이 일을 했던 사람은 오랜 경험이 있기 때문이다. 따라서 실제로 새로운 직원이 해야 할 일보다 더 어려울 수밖에 없었고, 많은 지원자는 부담을 느꼈을 가능성이 크다.

스털링과 그의 HR 팀은 불필요한 요건과 표현을 없애고자 노력했다. 예를 들어 특정한 보안 환경을 철저히 구축(enforce)하라고 표현하는 대신 조성, 명령 및 제어라고 표현하는 대신 협력 및 소통이라는 완곡어법을 사용했다. 
그는 “이 결과 눈에 띄는 변화가 있었고, 이전에는 지원하지 않았던 인재들이 지원했다”라고 덧붙였다.
 

2. 보안 학위 취득자에서 잠재적 보안 전문가로 

일부 CISO 들은 여기에서 한 걸음 더 나아갔다. 그들은 지원자의 요구사항을 검토하고 사이버보안 종사자라면 일반적으로 충족해야 하는 요건을 변경하거나 심지어 줄이기로 선택했다.

HP의 CISO 조안나 버키도 그들 중 한 사람이다. 그는 링크드인(LinkedIn) 게시물에서 “학위 요건을 없앴다”라고 선언했다. 게시물에서 그는 “사이버 인재 채용에 있어서 더욱 유연해야 한다는 점을 깨달았다. 다양한 경험 수준을 가진 사람들이 필요하다. 다른 업계에서 이직을 한 사람들을 비롯해 소수자, 학위 미소유자, 나이가 많은 사람까지 모두가 우리의 잠재적 직원이다”라고 말했다. 
 
ⓒDepositphotos

버키는 단순히 학위 요건을 없앤 것이 아니다. 그녀는 “사이버보안과 관련 없는 경험에도 개방적이고 수용적이며 심지어 권장한다”라고 말했다. 이런 움직임은 지원자 풀을 넓혀 자격 증명이 다양하지만, 학위가 없는 사람들, 제대군인, 수년 동안 직무 인사이트를 얻은 숙련된 근로자 등을 유인하는 데 도움이 되었다고 말했다.

아울러 이런 변화로 인재의 기준이 낮아지지는 않는다고 버키는 강조했다. 현실은 오히려 반대라고 그는 주장했다. 경험과 사고방식이 다양한 인재를 확보함으로써 기업의 위험을 줄이고 기업의 탄력성을 높이는 데 도움이 되었다는 설명이다. 

예를 들어 비즈니스 전략, 재무, 운영을 이해해(그리고 물론, 보안에 대한 교육을 받아) 간과된 약점을 찾고 보안 전략을 부서의 목표에 더욱 잘 맞출 수 있는 사이버보안 전문가가 필요하다고 그는 말했다. 버키는 “보호해야 하는 영역에 대한 전문 지식을 가져온다”라고 덧붙였다.
 

3. 보안 업계 출신에서 보안 경험 창출로 

BBBSA(Big Brothers Big Sisters of America)의 CTO 겸 CSO 트래비스 깁슨도 유사한 접근방식을 취했다. 그는 역할에 요구하는 경험의 양뿐 아니라 모든 직위에 학사 학위가 필요한지 다시 생각해 보았다고 말했다. 그는 “신입 공고에 최소 2년의 경험을 요구하는 그것은 비합리적이다”라고 밝혔다.

그래서 깁슨은 기업의 IT팀이 보안팀의 지원군이 될 수도 있다고 생각했다. 그는 “IT 팀은 대부분의 직장 생활 동안 보안과 밀접한 일을 해왔다”라고 말하면서 많은 기업 IT 직군 종사들이 보안 영역으로 옮기는 데 관심이 있다고 덧붙였다.

깁슨은 IT 인재를 찾기가 쉽지 않다는 점에도 동의했다. 하지만 그는 통계에 따르면 기업 IT 관리자 채용이 보안 전문가 고용만큼 어렵지는 않다고 말했다. 또한 그는 자신과 같은 보안 책임자가 IT 리더들과 좋은 관계를 맺고 접근방식을 조율해 IT 팀원 채용이 도에 어긋나지 않도록 해야 한다고 언급했다. 
 
ⓒAdobe Stock

게다가 그는 IT의 고용뿐 아니라 경험 및 교육 요건 제거를 위해서는 교육 및 직장 생활 개발을 위한 노력이 필요하다고 말했다. 이에 대해 깁슨은 그와 그의 관리자들이 유망한 지원자를 찾았을 때 보안 영역으로 성공적으로 이직할 수 있도록 교육 프로그램을 직접 개발한다고 말했다.

깁슨은 이 전략을 활용해 지난 몇 년 동안 보안팀 공석의 약 20%를 충원했다고 말했다. 또한 이 전략을 통해 고용 시장보다 더 빠르게 자리를 충원할 수 있다. 그는 “또한, 팀이 다학제적 역량을 확보하게 됐다”라고 덧붙였다.

다른 보안 리더들도 더 나은 보안 인재 파이프라인을 구축하는 방법을 찾고 있다. 예를 들어, D&T(Deloitte&Touche)는 플래터론 스쿨(Flatiron School)과 협력하여 새로운 사이버보안 전문가를 양성하고 있다. “우리는 공급, 즉 순 신규 인재를 양성하기 위해 노력하고 있다”라고 딜로이트의 미국 사이버 및 전략 위험 리더 데보라 골든이 말했다.

딜로이트의 CCA(Cyber Career Accelerator) 프로그램에 참여할 기회가 있으면 9~12주에 달하는 사이버보안 교육의 비용은 전부 회사가 부담한다. 현재까지 3개의 반이 프로그램을 이수했다. 골든은 해당 기업이 “상당 비율의” 이수자에게 해당 기업에서의 자리를 제안했다며 “그중에서 99%가 이를 수락했다”라고 말했다. 

넷스코프의 CISO 오렌지도 지역 대학들과 사내 교육 및 이니셔티브를 통해 보안 인재 파이프라인을 늘리기 위해 노력하고 있다. 예를 들어, 그와 그의 팀은 교수들과 협력하여 넷스코프에서의 인턴십 이후에 현장 사이버보안 교육을 제공하는 학점제 학기 수업에 등록하는 학생들을 모집한다. 

또한 오렌지는 멘토링 및 섀도잉(Shadowing) 기회 창출에도 힘쓰고 있다. 그는 대학에 실질적인 사례 연구형 보안 수업을 제공한다. 
 

4. 좋거나 나쁜 환경에서 적당히 어려운 업무 환경으로 

인재를 고용했다면 다행이지만 아직 반만 왔을 뿐이다. 이제 인재를 유지하는 일이 나머지 반이다.
 
'2022년 보안 우선순위 보고서'에서 IFRG(Info-Tech Research Group)는 보안 및 IT 리더들에게 2022년 보안 성공을 위한 주요 보안 우선순위와 주요 어려움에 대해 질문했다. 두 범주에서 인재가 1위를 차지했다. 약 30%는 인재 획득 및 유지를 가장 어려운 점으로 꼽았다(랜섬웨어에 대한 방어 및 대응과 재택 인력 보안도 앞섰다). 

인포테크의 보안 및 프라이버시 수석 조사 책임자 이사벨 헤르탄토는 CISO가 비즈니스 동료들과 조기에 자주 소통하여 언제 어떤 보안 역량이 필요하며 이에 맞는 인재를 찾을만한 최선의 방법을 대비할 수 있어야 한다고 말했다. 그가 설명했듯이 이 전략적 접근방식을 통해 CISO는 내부 팀을 더욱 잘 보완하는 외주 업체를 선택할 수 있다.
 
ⓒDepositphotos

헤르탄토는 “가령 나는 관리형 서비스 업체를 활용해 직원 유지율을 높이는 방법을 구상 중이다. MSP가 내부 팀이 따분해하는 일상적 업무를 담당한다면 내부 팀은 효능감 높은 업무에 집중할 수 있게 된다. 직장 만족도가 올라갈 것이다”라고 말했다. 

다수의 보안 리더들도 이런 관점에 동의했다. 그들은 보안 팀이 적절한 수준으로 어려우면서 지속해서 압도되지 않는 업무 환경을 받아야 계속 회사에 남는다고 입을 모았다. “인재는 기업이 자신과 맞지 않거나 지원받지 못한다고 느낄 때 직장을 떠난다”라고 사이버보안 직무 조사 및 채용 컨설팅 서비스를 제공하는 사이버SN(CyberSN)의 설립자 겸 CEO 데이더 다이아몬드가 말했다.

이에 대응하기 위해 다이아몬드는 CISO가 팀을 조직하여 관리자들이 실제로 팀을 관리할 수 있는 여유를 확보해야 한다고 조언했다. 즉, 회사는 관리자가 직원에게 피드백을 주고 교육할 시간을 확보할 수 있도록 지원해야 한다. 
또한 그는 CISO가 각 직위에 대해 현실적인 업무량을 명확하게 파악해야 한다고 조언했다. 다이아몬드는 “지금처럼 1인당 2개가 아니라 1개의 업무를 담당해야 한다”라고 말하면서 기업에 부담이 될지라도 탈진을 방지하려면 어쩔 수 없다고 덧붙였다. ciokr@idg.co.kr
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.