Offcanvas

CIO / CSO / How To / 개발자 / 경력관리 / 보안 / 비즈니스|경제 / 애플리케이션 / 이직|채용 / 훈련|교육

'사이버보안 위협 커지는데 인재는 부족하고... '해법은?

2016.12.15 Sarah K. White  |  CIO
전 세계적으로 사이버보안에 대한 우려가 커지고 있으며 기업들은 안전한 제품을 개발하고 기업 데이터를 안전하게 보관하기 위해 노력하고 있다. 문제는 사이버보안이 상대적으로 새로운 기술이며 자격을 갖춘 인력이 충분하지 않다는 데 있다.

인텔과 CSIS(Center for Strategic and International Studies)가 775명의 IT의사결정자를 대상으로 조사한 결과 사이버보안 기술 부족에 대한 우려를 표한 응답자는 무려 82%나 됐다. 미국 정부가 아이들에게 중학교 때부터 사이버보안을 소개함으로써 사이버보안 전문가에 대한 수요 증가를 해결하기 위해 NICS(National Initiative for Cybersecurity and Studies)를 설립하기에 이르렀다.

금융 서비스 산업 기술 제공 기업인 선가드(Sungard)의 글로벌 CSO 숀 버크는 "사이버보안 영역이 더욱 빠른 속도로 복잡해지고 있기 때문에 오늘 배운 지식이 내일의 문제를 해결하지 못할 수 있다. 바로 그게 문제다"고 지적했다.

실전 경험
관리형 보안 서비스 제공 기업 루크 시큐리티(Rook Security)의 애플리케이션 및 제품 개발 책임자 마이클 테일러는 사이버보안이 학부 정보 기술 프로그램에 반드시 초점을 둘 필요는 없다고 말했다. 테일러는 퍼듀인디애나대학교(Purdue and Indiana University)에서 학생 인턴들에게 사이버보안 프로그램을 가르치고 있는 테일러는 학생들의 실전 경험 부재가 문제라고 지적했다.

학생들은 코드를 작성하고 앱을 개발하는 방법을 배울 수 있지만, 개발 과정 전반에 걸쳐 보안을 고려하는 방법은 배우지 못한다. 교육 프로그램 후반에 가서야 접하는 정도다. 그는 이러한 경험의 부재 때문에 학생들이 "졸업 후 기업에 필요한 코드를 즉각적으로 작성하는 데 어려움이 있다"고 설명했다.

그는 "일반적으로 3학년이나 4학년 학생은 알고리즘, 데이터 구조, 기타 컴퓨터 공학 관련 주제를 잘 이해한다. 학생들은 자신이 프로그램을 잘 구성하는 방법도, 고장을 견디는 법도, 안전하게 만드는 방법도 모른다"고 이야기했다.

해커처럼 생각하자
테일러는 학생들이 안전한 애플리케이션 개발을 이해하려면 ‘해커처럼 생각하는 방법’을 배워야 한다고 강조했다. 해커처럼 생각하면, 학생들은 앞으로 자신들의 업무를 방해할 공격자들에 어떻게 대응할 지 더 큰 통찰력을 얻는 데 도움이 된다. 그리고 기업들은 선제적으로 보안을 해결할 수 있는 전문가를 찾아야 한다. 왜냐하면, 이를 통해 궁극적으로 비용을 절약할 수 있기 때문이다.

테일러는 "보안 취약성을 해결하는 비용은 개발 단계나 시연 단계보다는 생산 단계에서 훨씬 더 많이 든다. 개발자들에게 처음부터 안전한 프로그래밍 방법을 가르치면 데이터 유출 및 생산 문제 해결과 관련된 비용 감소에 도움이 된다"고 이야기했다.

또한 사이버보안에 대한 창의적인 접근방식을 구축하여 학생들이 기술적 측면만을 보지 않도록 하는 것도 중요하다. 현실적으로 모든 적절한 ‘하드스킬(Hard Skill)’을 갖추었다 하더라도 아직 발생하지 않은 공격을 방지하는 방법을 이해하려면 틀에 박힌 사고에서 벗어나야 한다.

버크는 "개인이 보안 기술과 개념에 대해 제대로 이해할지라도 기업 환경 내에서 보안 로직을 적용하는 방법을 이해하지 못할 수 있다. 솔루션이 더욱 복잡해졌기 때문에 우리는 더 많은 창의성과 문제 해결 기술이 필요하다"고 밝혔다.

소프트스킬(Soft Skill)을 수용하자
사이버보안 전문가를 고용할 때 기술에 빠지기 쉽다. 하지만 소프트스킬을 고려해야 하며, 고등 교육 프로그램에서 이를 반드시 가르치지는 않는다. 온라인 교육 사이트 WHA(White Hat Academy의 설립자 겸 비영리 조직 Opportunity@Work의 CTO 플렛처 하이슬러는 보안의 최대 위협은 일반적으로 타인이기 때문에 사이버보안 전문가들이 의사소통 및 대인관계 기술이 필요하다고 강조했다.

하이슬러는 "대부분의 사이버보안 역할에서 실행 가능한 정책, 소셜 엔지니어링 공격에 대한 교육, 상대적으로 사용자 친화적인 시스템을 구축해 조직을 보호하는 데 필요한 것을 이해하는 것은 특정 기술 지식보다 더욱 중요한 경우가 많다"고 전했다.

IT책임자가 충분한 예산을 확보하고 위험을 효과적으로 전달하며 다른 주요 책임자들에게 사이버보안 트렌드를 알리기 위해서는 소프트스킬도 중요하다. 또한 항상 기술적으로 부족한 직원들이 교착 상태에 빠지지 않도록 항상 사용자 친화적인 시스템을 이행하기 위해서는 최종 사용자와 공감하는 것일 수도 있다.


인재 풀 이용
교육 부문이 기업 보안 수요를 따라잡으려면 오랜 시간이 걸리겠지만, 이런 상황에서 기업들이 인재를 확보할 수 있는 다른 방법도 있다. 때로는 인재가 이미 회사 안에 있을 수도 있으며 해당 직원들에게 시간과 돈을 투자하기만 하면 된다고 하이슬러는 설명했다.

고용주들은 사이버보안 트렌드에 맞추어 자격을 갖춘 근로자를 확보하기 위해 훈련소, 세미나, 워크숍, 단시간 수업, 전문가 개발 과정을 고려해야 한다. 이런 상황이 빠르게 보편화되고 있으며 산업 전문가들은 특화된 교육 프로그램이 미래의 사이버보안 교육의 필수적인 부분이 될 것이라고 제안하고 있다.

학부, 자격증, 비공식 교육 프로그램에 사이버보안을 도입하려는 SCI(Stanford Cyber Initiative)의 전무 앨리슨 버크는 학생들이 프로그램의 수요를 주도하는 경우가 많다고 말했다. 학생들이 기계 학습에 관심이 있는 경우 세미나와 워크숍을 거쳐 결국 교실에까지 적용된다. 그리고 그런 수요의 일부는 학생들과 전문가들이 특정 기술 하나를 선택해 배우거나 개선하는 온라인 교육과 인증 프로그램의 형태로 나타난다.

버크는 "지난겨울, DOJ의 연방 검사 캐스린 환이 실크 로드(Silk Road) 사건에 대응하여 디지털 통화 및 사이버 범죄에 관한 과정을 교육했으며, 그중 일부는 여전히 사법 체계 안에서 활용되고 있다. 빠르게 변화하는 기술 교육의 미래는 세미나, 워크숍, 컨퍼런스 등 전통적인 온라인 과정과 현재의 문제를 탐구하기 산업 및 연방 기관과의 학생 주도적인 협업의 혼합체다"고 전했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.