Offcanvas

CSO / HR / 랜섬웨어 / 리더십|조직관리 / 보안 / 악성코드 / 이직|채용

'강 건너 불구경'할 때 아니다, 보안 벤더의 정리해고에 대처하는 법

2022.12.05 Michael Hill  |  CSO
사이버 보안 업체의 인력 감축은 CISO와 고객에게 문제를 제기할 수 있다. 보안 업체가 대대적인 정리해고를 발표했다면 고려해야 할 8가지 사항을 살펴본다. 

기술 업계의 정리해고가 극심하다. 트루업(TrueUp)에 따르면 지금까지 전 세계 기술 기업에서 1,000회 이상의 정리해고가 발생했고, 18만 2,000명 이상이 해고됐다. 아마존, 트위터, 메타, 세일즈포스 등 기술 대기업도 상당한 직원 감축을 발표했다. 사이버 보안 업체들도 마찬가지였다. 스닉(Snyk), 맬웨어바이츠(Malwarebytes), 트립와이어(Tripwire), 사이버리즌(Cybereason), 래이스워크(Lacework) 등 유명 보안 업체들도 올해 눈에 띄는 인력 감원을 단행했다. 

정리해고를 추적하는 사이트 레이오프닷FYI(Layoffs.FYI)에 의하면 2022년 초부터 총 34곳의 보안 업체가 정리해고 또는 인력 구조조정을 발표했다. 가장 많이 언급된 감원 사유는 시장 긴축 그리고 비즈니스 수명을 보호해야 할 필요성이었다. 

모멘텀 사이버(Momentum Cyber)의 2022년 3분기 사이버 보안 시장 조사(Cybersecurity Market Review Q3 2022)에 따르면 사이버 보안 주가는 2022년 3분기 동안 7.2% 하락해 나스닥은 -5.0%, S&P 500은 -6.3%로 저조한 실적을 기록했다. 2023 IT 현황 보고서(2023 State of IT Report)는 기업의 83%가 2023년 경기침체를 우려하고 있으며, 50%는 사이버 보안 구매와 서비스를 축소시킬 수 있는 경기침체에 대비해 예방 조치를 취할 계획이라고 말했다. 
 
ⓒGetty Images Bank

보안 업체가 (감축 이후) 동일한 수준의 지원 및 의사소통을 제공할 수 있을까?
IDC의 보안 및 신뢰 연구 부문 VP 프랭크 딕슨은 보안 업체가 감원 이후에도 (해고 이전과) 동일한 수준의 서비스 지원을 제공할 수 있을지 우려된다고 지적했다. 그는 “지원이 과소평가되고 있다. 보안 업체와 좋은 관계를 유지하고 있는 기업들을 조사했을 때 ‘지원’은 항상 가장 중요한 특징이자 큰 차별점이었다. 지원에 있어 변경 사항이 있는가? 협력하고 있는 현장 서비스 엔지니어가 바뀌는가? 확인해야 한다”라고 설명했다. 

넷스코프(Netskope)의 CISO 네일 태커도 이에 동의하면서, “보안 업체가 대규모 해고를 발표한다면 고객은 상호작용 및 의사소통 감소를 가장 우려해야 한다. 보안 업체와 고객은 모든 문제와 요구사항을 논의할 개방적이고 명확한 의사소통 채널을 가져야 한다. 보안 업체와 상호작용하고 의사소통하기가 어려워졌다면 해고가 부정적인 영향을 미치고 있다는 분명한 신호다”라고 전했다. 

산스 테크놀로지 인스티튜트(SANS Technology Institute)의 사장 에드 스카우디스에 의하면 CISO는 (보안 업체의) 계정 관리자 또는 고위 경영진과 이에 관해 이야기해야 한다고 말했다. 그는 “기업은 보안 업체에 몇 가지 중요한 질문을 해야 한다. 공급망을 보호하기 위해 무엇을 하고 있는가? 소홀해지지 않고 계속 보호하리라 어떻게 확신할 수 있는가? 정직함과 투명성은 필수적이며, 보안 업체의 명확하고 단호한 메시지를 통해 정리해고에도 고객의 비즈니스 요구사항을 지원할 수 있다는 점을 확신할 수 있다”라고 말했다.

보안 업체의 정리해고가 어디서 이뤄지고 있는가?
포레스터의 수석 애널리스트 제스 번은 “다음으로 고려할 사항은 정확하게 어디서 정리해고가 이뤄지고 있는지, 그리고 해당 감축이 보안 제품 또는 서비스와 직접적으로 연결돼 있는지 여부”라고 밝혔다. “해고되는 직원이 리더의 눈에는 불필요해 보일 수 있지만 실제로 고객이 해당 업체에서 쓰고 있는 보안 프로세스 혹은 기능에서 꽤 필수적인 역할을 담당하고 있었을 수도 있다. 즉, 남은 사람이 누구든 더 많은 일을 하게 되고, 더 적은 자원으로 더 많은 일을 하게 될 것”이라고 그는 설명했다. 

이어 번은 엔지니어와 개발자 해고가 CISO와 보안팀에서 가장 우려해야 할 사항이라면서, (엔지니어와 개발자는) 보안 위협을 발견하고 해결하는 데 있어 ‘탄광 속의 카나리아’라고 설명했다. 그는 “채용 또는 마케팅 인력이 해고되는 것은 사실상 걱정할 필요가 없다”라고 덧붙였다. 

하지만 링크드인에서 엔지니어 또는 개발자가 해고되는 모습을 보면 잠시 생각에 잠기게 될 것이라고 번은 언급했다. 딕슨도 이에 동의하면서, “핵심 서비스 또는 엔지니어링 인력 감축은 해당 보안 업체에서 얻는 가치에 영향을 미칠 것”이라고 덧붙였다. 

태커는 “고객에게 가장 큰 위험은 데브섹옵스(DevSecOps) 인력 감축에서 발생할 것”이라며, “이는 잠재적으로 보안 감독, 기능 업데이트, 전반적인 서비스 가용성에 영향을 미칠 수 있다”라고 전했다. 한편 UST의 CCO 겸 상무이사 유발 월먼은 위협 환경이 진화하고 변화하면서 혁신 및 연구 인력의 정리해고가 제품의 효율성과 안정성에 직접적인 영향을 미칠 수 있다고 말했다. 

따라서 CISO는 (보안 업체에서) 정리해고가 이뤄지는 곳 그리고 핵심 보안 기능과의 관련성에 대해 세부 사항을 편안하게 질문할 수 있어야 하고, 보안 업체는 기꺼이 정보를 제공해야 한다. 스카우디스는 “보안 인력 감소는 혁신에 영향을 미친다. 직원 수가 감소하면 새로운 혁신이 느려질 수 있고, 공격자는 공격 전략을 지속적으로 혁신하면서 유리해질 수 있다”라고 지적했다. 

무엇이 보안 업체의 정리해고를 유발하고 있는가?
보안 업체가 직원을 자를 때 고려해야 할 점은 정리해고를 유발하는 요소라고 딕슨은 말했다. “정리해고가 반드시 매출 문제에 따른 것은 아니라는 점에서 복잡하다. 거시경제적 요인이 좋지 않은 건 분명하지만 보안 업체의 정리해고를 무조건 비즈니스 모델의 문제로 받아들일 순 없다”라고 그는 덧붙였다. 

이어 그는 수요를 파악하고, 자금을 확보하며, 갑자기 엄청나게 성장한 거의 ‘유니콘’에 가까운 보안 스타트업이 많이 있다고 언급했다. 딕슨은 “이러한 성장의 목표는 일종의 IPO 이벤트를 달성하여 벤처 자본으로 매출 성장을 위한 자금을 확보하는 것이다. 수익 성장을 보이고 벤처 자금을 많이 확보하는 한 그렇게 할 수 있다. 경제가 침체되면 어떻게 될까? 벤처 자금이 감소한다. 그리고 이런 유형의 업체가 자금을 조달하지 못한 상태에서 수익 성장을 달성하려면 비용과 매출을 맞춰야 한다. 가끔 이와 관련해 정리해고가 이뤄질 것이다. 따라서 보안 업체의 자본과 정리해고를 보고 벤처 캐피털을 통해 매출 성장을 지원했기 때문인지 아니면 비즈니스 모델의 문제인지 물어봐야 한다”라고 설명했다. 

아울러 월먼은 보안 업체가 단순하게 자발적인 인력 이탈을 경험하고 있는지도 검토할 수 있으며, 이는 내부 불안의 조짐이라고 언급했다. 그는 “시장의 다른 사람들과 대화하고 해당 업체에 무슨 일이 일어나고 있는지 명확한 설명을 요구하라”라고 전했다. 

보안 업체가 어떤 보안 서비스를 제공하고 있는가?
보안 업체가 제공하는 보안 서비스를 평가하는 것도 중요하다고 딕슨은 강조했다. “온프레미스 인프라를 보호하는 업체라고 한다면 이는 일종의 알려진 상품이다. 방화벽이 무슨 일을 하는지 알고 있고, 보안 웹 게이트웨이가 무엇을 제공하는지 알고 있다”라고 말했다. 

이를 통해 정리해고의 영향을 받는 운영 또는 서비스를 쉽게 보완하거나 (필요시) 교체할 수 있다. 하지만 서비스가 복잡하거나 덜 숙련돼 있거나 AWS의 빌트인 쿠버네티스에 영향을 미치는 등 새롭고 예측 가능성 낮은 위협에 보호를 제공한다면 위험이 더 클 수 있다. 

특히, MSSP가 관련되면 문제가 될 수 있다고 스카우디스는 언급했다. “SOC는 일반적으로 많은 추가 인력 없이 운영되며, 네트워크의 이벤트를 분석하는 인력이 줄어들면 (이를) 우회하는 공격자를 더 오랫동안 알아차리지 못할 수 있다. SaaS 기술은 인력 감축으로 버그와 취약성이 같은 수준으로 발견, 패치, 해결되는지 의문이 들 수 있다”라고 그는 설명했다. 

여기서 위험을 완화하는 가장 좋은 방법은 보안 업체가 제공하는 제어 기능과 책임 소재를 파악하는 것이라고 태커는 말했다. “모든 필수 보안 업체에 공유 책임 모델을 매핑하고, 이를 정기적으로 검토해야 한다”라고 그는 전했다. 

보안 업체의 정리해고가 사보타주(sabotage) 위험을 유발할 수 있는가?
스카우디스는 일자리를 잃고 불만을 품은 직원이 해고한 기업 또는 고객사를 상대로 보복할 수 있다고 경고했다. 이 문제를 해결하지 않으면 현저하게 높아진 보안 위험에 노출될 수 있다. “이를테면 시스템에 백도어를 구축하거나 다크웹에서 판매하기 위해 민감한 정보를 훔치거나 탐지 기능을 마비시키거나 아니면 제품 및 서비스에서 온갖 종류의 나쁜 짓을 범할 수 있다. 어떤 면에서 궁극적인 공급망 공격은 내부자가 백도어를 사용하거나 방해 행위를 함으로써 자체 제품 또는 서비스를 손상시키는 것”이라고 그는 설명했다.
 
한 보고서에 따르면 직원의 45%가 떠나기 전에 회사 데이터를 네트워크 외부에 저장, 다운로드, 전송한다고 한다고 월먼은 말했다. 그는 “불만을 품은 前 직원이라면 데이터를 저장하거나 다운로드하는 것이 의도적인 데이터 유출 또는 파괴로 보일 수 있지만 작별이 원만하다 할지라도 기업들은 파일 삭제나 손상 또는 지적재산 도난 또는 오용을 고려해야 한다”라고 전했다. 

따라서 CISO는 보안 업체가 정리해고를 적절하고, 민감하며, 안전하게 처리하는지 그리고 명확하며 효과적인 퇴사 절차를 갖추고 있는지 확인해야 한다. 스카우디스는 “소프트웨어 개발 무결성 제어와 코드 검사는 사보타주 관련 공급망 공격을 고려할 때 매우 중요하며, 정리해고 시 특히 해고하는 기업들은 고객들의 위험이 증가하지 않도록 집중하는 것이 중요하다. 보안 업체는 정리해고 도중 및 이후에 보안 태세를 검토하고 증명하도록 요청받을 수 있다”라고 말했다.

정리해고로 보안 업체가 계약 위반에 처할 수 있는가?
보안 업체는 제공하는 서비스와 관련해 계약상 의무를 이행할 책임이 있으며, 인력 감축으로 그러한 역량이 저해된다면 해당 업체는 법적 분쟁에 휩싸일 수 있다고 번은 지적했다. “정리해고로 인해 솔루션이 회사를 안전하게 보호할 수 있다는 점을 증명하지 못한다면 계약 및 가입 조건을 위반할 것일 수 있다. 따라서 법적인 부분을 어느 정도 고려하고 대체 솔루션도 마련해야 할 수 있다”라고 그는 전했다. 

언제 보안 업체 변경을 고려해야 하는가?
디콘은 정리해고의 여파가 우려되더라도 업체 변경을 고려할 때 주의해야 할 것이 있다고 말했다. 그는 “지금 당장 또는 앞으로 3개월 후만 보지 마라. 2년 후 해당 업체의 위치를 고려하라. 해당 업체와 계속 함께 한다면 더 나은 위치에 있을 수 있을까? 아니면 변경할 때 더 나은 위치에 있을 수 있을까?”

월먼은 업체 변경이 비즈니스에 미치는 영향을 고려하라고 조언했다. “새 제품 또는 업체로 변경하는 것이 어떨지 꼼꼼히 조사하라. 스스로에게 질문하라. ‘업체를 바꾸거나 아니면 해당 업체가 망하는 경우 재정적 비용은 얼마나 되는가? 두 시나리오는 어떤 영향을 미칠까? 최종 결정을 내리기 전에 모든 각도에서 상황을 판단하라”라고 전했다. 

보안 업체 정리해고의 이점은 무엇인가?
보안 업체의 정리해고는 몇 가지 이론적인 장점도 있다. 월먼은 “때에 따라 인력 감축은 (조직을) 간소화하고 비효율성을 없애는 긍정적인 신호일 수 있다. 기업들이 새로운 직원을 너무 빨리 투입했을 수 있는, 고성장기를 빠져나오는 상황에서는 더욱더 그렇다”라고 말했다.

번은 CISO 및 기업들이 보안 업체의 ‘숙련된 보안 인력’ 감축으로 얻을 수 있는 이점을 간과하지 말라고 언급했다. “(숙련된 보안 인력을) 채용할 수 있다. 인력 부족이 여전히 심각한 상황에서 이제 CISO에게 기회가 생긴 셈”이라고 전했다. ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.