IT 부서 근무자, 프로그래머, 네트워크 관리자 등... 사전 지식 충분
[보안뉴스 문가용] 사이버 보안인력이 부족하다는 위기의식은 업체에서건 정부기관에서건 매한가지다. 교육의 장을 넓히고는 있지만 지금 입학한 학생이 교육과정을 전부 마치는 데에는 수년이 걸린다. 당장 써먹을 수가 없다. 그래서 업체 및 조직들은 이미 회사 내 근무하고 있는 IT 부서로 눈길을 돌리고 있다. ‘교육만 조금 지원해주면 보안담당자로서의 가능성도 있지 않을까?’
내부 인력의 재교육. 이는 인력부족에 맞서는 전략 중 이미 꽤나 오래된 것이다. 비슷한 것으로는 학교기관 및 그밖에 교육기관과 손을 잡아 전략적 제휴를 맺는 방법이 있다. 이를 테면 보안교육을 저렴하게 시켜주는 대신 자기 회사로 와서 일정 기간 근무하도록 하는 것이다.
국가사이버와치센터(The National CyberWatch Center)의 총책임자인 케이시 오브라이언(Casey O’Brien)은 “보안을 관리할 인력이 부족하다면 네트워크 관리자, 시스템 관리자, 프로그래머 등 유사한 분야에서 이미 활동하고 있는 전문가들에게 손을 내미는 노력이 필요하다”고 주장한다. 정보보안이라는 분야를 공부하기에 최적의 기본지식을 갖추고 있는 부류이기 때문.
“중요한 건 부담을 줄여주는 겁니다. 새로운 공부를 시작한다는 느낌으로 접근해도 안 되고, 그렇게 말해서도 안 됩니다. 기존에 가지고 있던 스킬들을 확장한다는 게 더 정확하고 설득력 있는 표현입니다. 네트워크 관리자, 시스템 관리자, 프로그래머들은 이미 상당 부분 정보보안 담당자가 하는 일을 하고 있을 거예요. 다만 막연하게 현장에서 배운 걸 또렷하게 만들어주는 거죠. 기업 입장에서도 가장 현실적이면서 부담감이 적은 방법일 겁니다.”
쓰레트코넥트(ThreatConnect)의 CEO이면서 세계 보안관제센터에서 널리 사용되고 있는 위협 첩보 플랫폼을 직접 개발한 아담 빈센트(Adam Vincent)는 “결국 보안팀 혹은 보안 부서, 보안 프로그램의 목적은 1) 위협이 될 만한 다양한 가상 시나리오를 이해하고 있고 2) 모든 시나리오에 대한 대비책이 무엇인지 알고 3) 그런 대비를 실현시킬 수 있는 것”이라고 말한다.
“보안을 총 책임지는 인물이 해당 조직에 적합한 시나리오를 구성했다면 그 다음부터는 사실상 그 시나리오에 따른 훈련을 하는 게 업무의 대부분입니다. 그때가 후배들을 키울 때죠. 훈련을 통해 경험을 쌓게 하고, 그 경험을 바탕으로 차기 책임자로 만드는 겁니다. 이론적인 교육도 필요하지만 이렇게 회사 업무 속에 교육 과정을 녹여내는 것도 필요한 일입니다. 가뜩이나 전문가가 부족한데 1:1 교육, 사수·부사수식 교육만 생각해서는 또 똑같은 벽에 부딪히죠.”
기존 스킬 확장이나 자기계발과 같은 것에 크게 동기부여가 되지 않는다면, 몸값에 대한 정보에는 귀를 기울일지도 모른다. 빈센트는 “현재 정부나 민간기업들이나 인재 모시기에 여념이 없다”며 “이는 필연적으로 연봉의 상승을 야기하며, 실제로 보안인력의 몸값은 대단히 빠르게 올라가고 있는 실정”이라고 말한다. 2014년 5월 정보보안 분석가의 평균 연봉은 88,890달러였다. 2015년에 조사한 바로는 103,117달러에 달했다. 1년 사이에 말이다.
쓰레트코넥트는 현재 15개 대학과 파트너십을 맺고 있다며 “우리도 교육 과정의 커리큘럼 구성에 적극 참여하고 있으며 그들 역시 좋은 인재들을 계속해서 공급해주고 있다”고 설명한다. 쓰레트코넥트가 현장에서 사용하는 각종 플랫폼들도 교육 자료로 활용되고 있다.
스플렁크(Splunk)의 부회장인 하이얀 송(Haiyan Song)은 “바야흐로 기술 혼합, 데이터 혼합, 사람 혼합, 도메인 혼합의 시대”라며 “이는 또 기술과 데이터, 사람, 도메인 등도 전부 혼합되는 때를 의미하기도 한다”고 지금 시대를 정의한다. 즉 하나의 기술에 있어서 전문가인 사람이 그것을 바탕으로 다른 기술을 연마하는 게 거의 필수적이라는 얘기다.
스플렁크는 ‘보안’이라는 분야 특성상 여러 다른 분야에 쉽게 녹아든다는 점을 십분 활용한다. “거의 모든 사업에 보안을 일부러 더 첨가합니다. 보안인력을 투입시킨다는 거죠. 극히 당연한 일이기도 하지만, 무엇보다 사업에 참가한 비(非) 보안인력들이 가까이서 보안을 경험할 수 있도록 하기 위함입니다. 책상에 앉아 공부하는 게 빠른 사람도 있지만 현장에서 어깨너머로 훨씬 빠르게 배우는 사람들도 많죠.”
스플렁크는 또한 시각을 바꿔 ‘은퇴자’들 중에서도 보안인력을 적극 찾아 나선다. “예를 들어 국방부나 주요 산업 시설에서 은퇴한 분들 역시 보안을 잘 알고 있을 가능성이 높습니다. 스플렁크의 스태프 보안책임자는 미국 사이버 작전실에서 근무했던 분이세요. 그분 하나로 얼마나 많은 정보들과 지식, 노하우가 회사로 스며드는지 몰라요. 꼭 젊은 피만 수급할 필요가 없죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>