높은 이직률 때문에 일 벌리는 사람 따로 마무리 하는 사람 따로
인구감소 심각한 해외에서는 사람에 대한 의존도 낮출 방법 고민 중
[보안뉴스 문가용] 일손이 부족하다는 말, 언젠가부터 보안 업계를 망령처럼 돌아다니며 소멸되지 않는 메아리다. 3월 일산 KINTEX에서 개최된 eGISEC 2016 참관객을 대상으로 “보안 전문 인력 부족이 얼마나 체감되는가?”라고 물었을 때 무려 46.9%가 “매일 느낀다”고 답했고 36.57%는 “가끔 아쉽다”고 답했다. 체감되지 않거나 나아지고 있다고 답한 응답자는 각각 9.34%, 7.19%에 그쳐 결국 인력 부족을 현장에서 느끼는 전문가는 80%가 넘는 것으로 나타났다.
이는 심지어 만국공통의 문제이기도 하다. 해외에서도 이미 인력 부족에 대한 고민을 담은 기사들이 꾸준히 나오고 있으며 그 대응으로 인공지능을 살린 고도의 자동화나 머신 러닝이 대두되고 있다. 그러나 이 ‘인력 부족’이라는 말이 정말 ‘절대적인 수치의 부족’일까? 인구 노령화 및 지속적인 감소가 드디어 수면 위로 드러나는 것일까?
그런 사회적인 문제를 미리 겪고 있는 미국에서 보안 전문가로 활동 중인 조나단 앤더슨(Jonathan Anderson)은 “숫자 몇 개를 들여다보자”며 이 문제에 접근한다. “지금 미국 내에서만 CISSP 자격증을 보유한 전문가가 6만 명입니다. 그리고 CISSP 자격증 보유자를 구하는 공석은 5만개고요. 오히려 만 명 정도 ‘여유분’이 있는 상황입니다.”
그런데도 보안 인력이 부족하다는 말이 계속 나오는 건 왜일까? 조나단 앤더슨은 “보안 전문가가 필요한 때, 적재적소에 없기 때문”이라며 “이는 오히려 높은 이직률에 기인하는 문제”라고 진단한다. “현재 미국에서는 보안 엔지니어의 평균 근속 기간은 6개월입니다. 아키텍트는 1년, 보안 중간관리자도 1년이고요. 이직률이 높을 수밖에 없는 수치입니다. 이때 어떤 문제가 발생할까요? 일을 시작하는 사람이 따로 있고 마무리 짓는 사람이 따로 있을 수밖에 없다는 겁니다.”
이는 현재 보안을 책임지고 있는 담당자가 그 시스템을 둘러싼 예산이나 기기 스펙, 전체 구조 등에 대해 모르고 있는 부분이 상당히 존재할 가능성이 높다는 걸 뜻한다. 처음에 어떤 예산과 환경 속에 시스템이 마련되었는지, 그것이 어떤 식으로 변해왔는지, 큰 맥락을 다 꿰고 있기란 더더구나 힘들다. “새로 들어온 사람이 처음부터 그런 넓은 시야를 갖추기란 힘이 들죠. 그런데도 그 시스템의 책임자가 되는 겁니다.” 또한 ‘끝까지 책임지지 않을 확률이 높은 사람’에게 무언가 기획 자체를 맡기는 것도 위험하기는 마찬가지다.
결국 이직률이 높다는 건 책임을 다소 엉뚱하거나 역량이 부족할 수밖에 없는 사람에게 부여하는 악순환이 반복된다는 것이고, 그런 환경 속에서 사람들은 더욱 빠르게 빠져나가기 마련이다. “누군가가 해놓은 약속을 내가 지켜야 한다니, 사실은 불합리하죠. 그렇기 때문에 보안의 시스템이 단단해질 리가 없습니다. 지식과 노하우가 꾸준히 쌓이지 않고, 단편적인 지식들만 늘어나는 것도 큰 손실입니다.”
그래서 미국 보안 업계에서는 점차 사람에게 덜 의존하는 업무 구조가 도입되고 있다고 한다. “사실 나간다는 사람을 막을 방법은 없죠. 그래서도 안 되고요.” 조나단 앤더슨은 사람에 대한 의존도를 낮추는 방법에 대해서 세 가지 방법을 제안한다.
1. “먼저 기획을 할 때부터 예산, 규모, 도입 시기, 계획, 세부사항 등을 다양한 사람들이 검토하도록 해야 합니다. 운영자만이 아니라 관련 엔지니어, 아키텍트 등도 전부 포함되죠. 내부 인력이 부족하다 싶으면 보안 전문업체를 찾아가 조언을 구해야 합니다. 즉, 담당자 한 사람이 아니라 모두의 기획으로 만들라는 겁니다. 보안 전문업체를 하나 정해서 파트너십을 체결하는 것도 도움이 됩니다.”
2. “프로젝트가 기획과 도입을 넘어 실제 진행 단계로 넘어가면 운영을 해가면서 발생하는 일들을 세부적으로 문서화합니다. 어떤 장애가 발생하고, 어떻게 고쳤는지, 새로운 사용 방법론 등을 전부 남겨놓는 겁니다. 물론 여기에 담당자를 배치해야겠죠. 시간이 드는 일입니다. 게다가 결실이 없는 것처럼 보이는 행위이기도 하고요. 하지만 이런 문서화 작업은 새로운 후임자에게 매우 도움이 되는 일입니다. 또한 지금 클라우드로의 시스템 전환이 한창인데, 새로운 시스템 및 프로젝트에 대한 문서화 문화 정착도 같이 꾀해보세요. 변화에 유연하게 대처하게 해주는 밑바탕이 됩니다.”
3. “이직을 원천 차단할 수는 없습니다. 언젠가는 반드시 일어날 일이에요. 그럴 때 위에서 말한 문서들이 힘을 발휘합니다. 말 그대로 집약된 지식의 전달이 일어나는 것이죠. 새로운 후임자뿐만 아니라 남아있는 사람들이 보안 담당자가 공석일 때도 그 문서들을 참고해 업무를 대신 진행할 수도 있습니다. 그러므로 미리미리 문서화한 것들을 사내 다른 직원들이 열람해 해당 프로젝트나 시스템을 운영해보게 하는 기회도 마련해야 합니다. 위 문서화 작업도 담당자를 주기적으로 교체해주면 더 좋겠죠.”
실제로 보안 사고의 대부분은 경험과 지식의 미숙함에서 비롯된다. 한 사람이 모든 지식과 경험을 독차지 했을 때 이런 일들이 발생한다. 그러므로 이를 편만하게 해야 한다. 사람에게 의존하지 않는 구조란, 결국 지식과 경험의 고른 축적을 의미한다. “미국의 경우, 오래전부터 진행된 인구감소는 이제 돌이키기 힘든 추세입니다. 사람을 대체하는 건 불가피한 선택이 되고 있죠. 한국도 마찬가지일 겁니다. 보안 업계에서 사람이 모자라다는 말이 많이 나오고 있기 때문에 오히려 먼저 사람을 대체할 수 있는 수단이나 방법론을 등장시킬 수도 있을 것으로 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]
인구감소 심각한 해외에서는 사람에 대한 의존도 낮출 방법 고민 중
[보안뉴스 문가용] 일손이 부족하다는 말, 언젠가부터 보안 업계를 망령처럼 돌아다니며 소멸되지 않는 메아리다. 3월 일산 KINTEX에서 개최된 eGISEC 2016 참관객을 대상으로 “보안 전문 인력 부족이 얼마나 체감되는가?”라고 물었을 때 무려 46.9%가 “매일 느낀다”고 답했고 36.57%는 “가끔 아쉽다”고 답했다. 체감되지 않거나 나아지고 있다고 답한 응답자는 각각 9.34%, 7.19%에 그쳐 결국 인력 부족을 현장에서 느끼는 전문가는 80%가 넘는 것으로 나타났다.
이는 심지어 만국공통의 문제이기도 하다. 해외에서도 이미 인력 부족에 대한 고민을 담은 기사들이 꾸준히 나오고 있으며 그 대응으로 인공지능을 살린 고도의 자동화나 머신 러닝이 대두되고 있다. 그러나 이 ‘인력 부족’이라는 말이 정말 ‘절대적인 수치의 부족’일까? 인구 노령화 및 지속적인 감소가 드디어 수면 위로 드러나는 것일까?
그런 사회적인 문제를 미리 겪고 있는 미국에서 보안 전문가로 활동 중인 조나단 앤더슨(Jonathan Anderson)은 “숫자 몇 개를 들여다보자”며 이 문제에 접근한다. “지금 미국 내에서만 CISSP 자격증을 보유한 전문가가 6만 명입니다. 그리고 CISSP 자격증 보유자를 구하는 공석은 5만개고요. 오히려 만 명 정도 ‘여유분’이 있는 상황입니다.”
그런데도 보안 인력이 부족하다는 말이 계속 나오는 건 왜일까? 조나단 앤더슨은 “보안 전문가가 필요한 때, 적재적소에 없기 때문”이라며 “이는 오히려 높은 이직률에 기인하는 문제”라고 진단한다. “현재 미국에서는 보안 엔지니어의 평균 근속 기간은 6개월입니다. 아키텍트는 1년, 보안 중간관리자도 1년이고요. 이직률이 높을 수밖에 없는 수치입니다. 이때 어떤 문제가 발생할까요? 일을 시작하는 사람이 따로 있고 마무리 짓는 사람이 따로 있을 수밖에 없다는 겁니다.”
이는 현재 보안을 책임지고 있는 담당자가 그 시스템을 둘러싼 예산이나 기기 스펙, 전체 구조 등에 대해 모르고 있는 부분이 상당히 존재할 가능성이 높다는 걸 뜻한다. 처음에 어떤 예산과 환경 속에 시스템이 마련되었는지, 그것이 어떤 식으로 변해왔는지, 큰 맥락을 다 꿰고 있기란 더더구나 힘들다. “새로 들어온 사람이 처음부터 그런 넓은 시야를 갖추기란 힘이 들죠. 그런데도 그 시스템의 책임자가 되는 겁니다.” 또한 ‘끝까지 책임지지 않을 확률이 높은 사람’에게 무언가 기획 자체를 맡기는 것도 위험하기는 마찬가지다.
결국 이직률이 높다는 건 책임을 다소 엉뚱하거나 역량이 부족할 수밖에 없는 사람에게 부여하는 악순환이 반복된다는 것이고, 그런 환경 속에서 사람들은 더욱 빠르게 빠져나가기 마련이다. “누군가가 해놓은 약속을 내가 지켜야 한다니, 사실은 불합리하죠. 그렇기 때문에 보안의 시스템이 단단해질 리가 없습니다. 지식과 노하우가 꾸준히 쌓이지 않고, 단편적인 지식들만 늘어나는 것도 큰 손실입니다.”
그래서 미국 보안 업계에서는 점차 사람에게 덜 의존하는 업무 구조가 도입되고 있다고 한다. “사실 나간다는 사람을 막을 방법은 없죠. 그래서도 안 되고요.” 조나단 앤더슨은 사람에 대한 의존도를 낮추는 방법에 대해서 세 가지 방법을 제안한다.
1. “먼저 기획을 할 때부터 예산, 규모, 도입 시기, 계획, 세부사항 등을 다양한 사람들이 검토하도록 해야 합니다. 운영자만이 아니라 관련 엔지니어, 아키텍트 등도 전부 포함되죠. 내부 인력이 부족하다 싶으면 보안 전문업체를 찾아가 조언을 구해야 합니다. 즉, 담당자 한 사람이 아니라 모두의 기획으로 만들라는 겁니다. 보안 전문업체를 하나 정해서 파트너십을 체결하는 것도 도움이 됩니다.”
2. “프로젝트가 기획과 도입을 넘어 실제 진행 단계로 넘어가면 운영을 해가면서 발생하는 일들을 세부적으로 문서화합니다. 어떤 장애가 발생하고, 어떻게 고쳤는지, 새로운 사용 방법론 등을 전부 남겨놓는 겁니다. 물론 여기에 담당자를 배치해야겠죠. 시간이 드는 일입니다. 게다가 결실이 없는 것처럼 보이는 행위이기도 하고요. 하지만 이런 문서화 작업은 새로운 후임자에게 매우 도움이 되는 일입니다. 또한 지금 클라우드로의 시스템 전환이 한창인데, 새로운 시스템 및 프로젝트에 대한 문서화 문화 정착도 같이 꾀해보세요. 변화에 유연하게 대처하게 해주는 밑바탕이 됩니다.”
3. “이직을 원천 차단할 수는 없습니다. 언젠가는 반드시 일어날 일이에요. 그럴 때 위에서 말한 문서들이 힘을 발휘합니다. 말 그대로 집약된 지식의 전달이 일어나는 것이죠. 새로운 후임자뿐만 아니라 남아있는 사람들이 보안 담당자가 공석일 때도 그 문서들을 참고해 업무를 대신 진행할 수도 있습니다. 그러므로 미리미리 문서화한 것들을 사내 다른 직원들이 열람해 해당 프로젝트나 시스템을 운영해보게 하는 기회도 마련해야 합니다. 위 문서화 작업도 담당자를 주기적으로 교체해주면 더 좋겠죠.”
실제로 보안 사고의 대부분은 경험과 지식의 미숙함에서 비롯된다. 한 사람이 모든 지식과 경험을 독차지 했을 때 이런 일들이 발생한다. 그러므로 이를 편만하게 해야 한다. 사람에게 의존하지 않는 구조란, 결국 지식과 경험의 고른 축적을 의미한다. “미국의 경우, 오래전부터 진행된 인구감소는 이제 돌이키기 힘든 추세입니다. 사람을 대체하는 건 불가피한 선택이 되고 있죠. 한국도 마찬가지일 겁니다. 보안 업계에서 사람이 모자라다는 말이 많이 나오고 있기 때문에 오히려 먼저 사람을 대체할 수 있는 수단이나 방법론을 등장시킬 수도 있을 것으로 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
