디지털 전환이 발 빠르게 이뤄지고 있는 시대에 보안 인력이 계속해서 모자라는 건 당연한 현상이다. 그렇기에 보안과 관련된 부분에서 ‘기술 격차’가 계속해서 벌어지고 있다. 이를 메우기 위해서 할 수 있는 건 전문가 고용인데, 이마저 지금은 여의치 않다.
[보안뉴스 문정후 기자] 사이버 보안 분야의 전문가 품귀 현상이 지독하게 이어지는 중이다. 채워야 할 보안 담당자 공석은 늘어만 가고, 공부를 마치고 사회 생활을 시작하려 하는 전공자는 줄어들면 줄어들었지 늘어나질 않고 있다. 모든 통계 자료가 앞으로는 모자란 인력의 수가 증가할 것이라고 예측하고 있고, 현장의 보안 전문가들은 계속해서 과중한 업무에서 오는 스트레스를 호소하고 있다.
[이미지 = gettyimagesbank]
사람은 들어오지 않는데, 있는 사람마저 스트레스에 시달리고 있으니 무슨 일이 벌어질까? 문제 하나를 해결하면 더 큰 문제 두 개가 나타난다. 게다가 최근 비용 절감을 위해 큰 기업이나 작은 기업이나 허리 띠를 졸라매고 있어 사람 외의 자원들도 모자란다. 보안 위협들에 대처가 잘 되지 않고, 보안 사고 한 건에 내야 하는 비용은 갈수록 커지고 있다. 현재는 사건 한 번 터질 때마다 300만~500만 달러의 비용이 드는 것으로 알려져 있다.
줄어들지 않는 건 공격자들과, 그들의 악성 행위들 뿐이다. 이런 상황에서 기업들이 해야 할 일은 무엇일까? 사이버 보안과 관련된 기술적 격차를 줄이는 것이다. 보안 전문가나 보안 자원이 희박해지니, 일반 임직원들이 보안 강화에 참여하는 수밖에 없다. 방법을 크게 두 가지로 제시하자면 다음과 같다.
기존 임직원의 보안 스킬업 훈련에 투자하라
기업들은 직원들에게 ‘이 회사에 계속 있어야 하는 이유’를 제시할 수 있어야 한다. 인력 확보 경쟁이 치열하기 때문이다. 가트너(Gartner)의 경우 2025년이 되면 현 보안 전문가의 1/4 이상이 스트레스와 번아웃으로 보안 업계를 완전히 떠날 것이라고 예상하고 있기도 하다. 당분간 보안 전문가는 어느 조직에나 매우 귀한 존재가 될 것이다.
어떻게 해야 ‘이 회사에 남아 있어야 한다’는 마음을 갖게 할 수 있을까? 충분한 월급과 복지를 제공하는 것도 중요하지만 회사가 개인에게 투자한다는 느낌을 갖게 하는 것도 중요하다. 예를 들어 일거리를 계속해서 던져주는 것만이 아니라, 그 일을 보다 효율적이면서 간단하게 처리할 수 있는 방법을 같이 고민하는 태도를 회사 측에서 보여주어야 한다. 회사가 주는 일을 보다 잘 처리할 수 있도록 직원을 직접 교육시키고, 그 교육에 투자할 의향이 있는 회사라면 직원들이 회사를 떠날 확률이 줄어든다.
실제로 많은 조사에서 임직원들은 현재의 수입보다 더 나은 수입을 원하고 있으며, 이를 위해 교육과 훈련을 거쳐 더 나은 자격을 가지고 싶다는 마음을 표현하고 있다. 단순 잡기술이 아니라 실질적이면서도 스스로의 ‘급’이 높아질 수 있을 만한 교육 과정과 훈련 코스(특히 자격증이나 학위가 발부되는 것)에 대한 목마름이 대부분의 사람들에게 있다는 뜻이다. 보안 교육이 매우 적절한 선택지가 될 수 있다.
게다가 회사는 교육 기관이 아니다. 회사가 나라는 개인의 업그레이드에 관심을 가질 리 없다고 임직원들은 대부분 생각한다. 이 부분을 치고 들어가면 회사는 직원들로부터 높은 점수를 얻게 된다. 그리고 임직원들이 실제로 자격증까지 받아 전문가로서의 역량이 높아지면 회사로서도 이득이 된다. 직원들이 배우고 싶어 하는 것을 배우게 해주고 투자까지 해줌으로써 훗날을 도모하는 것이 지금 기업들의 현명한 운영 방식이라고 할 수 있다.
보안 담당자들은 새로운 기술들을 적극 검토하고 도입하라
디지털 전환은 모든 기업들의 단기 및 장기 과제이지만 동시에 양날의 검이기도 하다. 신기술들을 잘 도입하여 구축하면 사업 행위가 훨씬 유연해지면서 생산성도 올라가고 따라서 수익도 증대된다. 실제로 현 세계 경제의 가장 강력한 드라이브 중 하나가 이 디지털 전환이기도 하다. 하지만 모든 것이 디지털화 되면서 이전에 없던 새로운 위협이 증가하고 있기도 하다. 얻는 만큼, 아니면 얻는 것보다 더한 것을 잃는 경우들이 생겨나는 중이다.
새로운 기술을 제대로, 사고 없이 활용하려면 그 기술에 대하여 잘 알고 있는 사람이 필요하다. 즉, 신기술에 대한 지식을 조직 차원에서 보유하고 있어야 한다는 것이다. 하지만 한 조사에 의하면 인공지능을 업무에 활용할 수 있을 정도로 인공지능과 관련된 지식과 스킬을 갖춘 사람은 10%도 되지 않는다고 한다. 회사에 인공지능 스킬을 보유한 사람이 없다 한들 이상한 것이 아니다. 그리고 그 수는 계속해서 줄어들 것이다.
사이버 보안 담당 팀의 입장에서는 인공지능 전문가가 우리 회사를 찾아주기를 마냥 앉아서 기다릴 수는 없다. 지금 임직원 중 누군가는 인공지능을 활용하고 싶어할 것이고, 심지어 활용 중에 있을 수도 있기 때문이며, 그렇다는 건 인공지능으로부터 시작되는 새로운 위협에 조직 전체가 노출될 수도 있다는 뜻이다. 그렇기 때문에 다른 누구보다 보안 팀은 스스로 인공지능과 관련된 기술과 노하우를 익히기에 앞장서야 한다. 신기술을 모르는 보안 담당자는 회사 차원에서 뭔가를 새로 도입하여 구축하려 할 때 무조건 안 된다고만 하는 사람이 되며, 보안을 더욱 힘들고 성가신 것으로 만들어 조직 전체를 장기적으로 약화시키게 된다.
CISO들에게
사이버 보안의 상황은 계속해서 진화하고 있다. 그렇기 때문에 보안 업무를 제대로 수행하려면 보안 담당자들 역시 새로운 기술을 계속해서 익혀야 한다. 당연한 흐름이자 엄연한 현실이다. 여기서 기억해야 할 건 일반 임직원들의 보안 지식 쌓기이건 보안 담당자들의 신기술 관련 지식 쌓기이건 하루아침에 되지는 않는다는 것이다. 계속 공부하고 새로운 걸 익혀야 한다는 현실을 느긋하게 받아들이고 매일 조금씩 전진하는 것에 만족할 수 있어야 한다.
이는 무엇보다 CISO들이 기억해야 할 내용이다. 아무래도 교육과 훈련을 담당하고 이끌어야 하는 입장이다 보니 금방 나타나는 성과를 바라게 될 수 있다. 사람이라면 어쩔 수 없이 드는 마음이긴 하지만 독이 되는 것도 사실이다. 꾸준한 투자가 필요한 것이 교육과 훈련인데, 이를 잊고 금방 포기하게 된다. 어설프게 시작하고 마무리 짓는 교육은 돈과 시간만 버리는 결과를 낸다.
그렇다고 회사 입장에서 수년 동안 성과 없이 교육에만 투자할 수도 없다. 앞서도 말했지만 회사는 교육 기관이 아니다. 직원들도 교육을 받으러 온 사람들이 아니다. 그러니 CISO들은 우리가 익히 알고 있는 교육의 과정이나 학습 모델과는 다른, 기업의 상황에 맞는 교육 프로그램과 훈련 코스를 창의적으로 만들어낼 필요가 있다. 조급한 마음이 든다면, 그 에너지를 교육 과정 만들기에 쏟는 편이 생산적일 것이다.
글 : 브래드 아킨(Brad Arkin), 수석 부회장, Cisco
파 메랏(Par Merat), 학습 및 자격증 부문 부회장, Cisco
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 사이버 보안 분야의 전문가 품귀 현상이 지독하게 이어지는 중이다. 채워야 할 보안 담당자 공석은 늘어만 가고, 공부를 마치고 사회 생활을 시작하려 하는 전공자는 줄어들면 줄어들었지 늘어나질 않고 있다. 모든 통계 자료가 앞으로는 모자란 인력의 수가 증가할 것이라고 예측하고 있고, 현장의 보안 전문가들은 계속해서 과중한 업무에서 오는 스트레스를 호소하고 있다.
[이미지 = gettyimagesbank]
사람은 들어오지 않는데, 있는 사람마저 스트레스에 시달리고 있으니 무슨 일이 벌어질까? 문제 하나를 해결하면 더 큰 문제 두 개가 나타난다. 게다가 최근 비용 절감을 위해 큰 기업이나 작은 기업이나 허리 띠를 졸라매고 있어 사람 외의 자원들도 모자란다. 보안 위협들에 대처가 잘 되지 않고, 보안 사고 한 건에 내야 하는 비용은 갈수록 커지고 있다. 현재는 사건 한 번 터질 때마다 300만~500만 달러의 비용이 드는 것으로 알려져 있다.
줄어들지 않는 건 공격자들과, 그들의 악성 행위들 뿐이다. 이런 상황에서 기업들이 해야 할 일은 무엇일까? 사이버 보안과 관련된 기술적 격차를 줄이는 것이다. 보안 전문가나 보안 자원이 희박해지니, 일반 임직원들이 보안 강화에 참여하는 수밖에 없다. 방법을 크게 두 가지로 제시하자면 다음과 같다.
기존 임직원의 보안 스킬업 훈련에 투자하라
기업들은 직원들에게 ‘이 회사에 계속 있어야 하는 이유’를 제시할 수 있어야 한다. 인력 확보 경쟁이 치열하기 때문이다. 가트너(Gartner)의 경우 2025년이 되면 현 보안 전문가의 1/4 이상이 스트레스와 번아웃으로 보안 업계를 완전히 떠날 것이라고 예상하고 있기도 하다. 당분간 보안 전문가는 어느 조직에나 매우 귀한 존재가 될 것이다.
어떻게 해야 ‘이 회사에 남아 있어야 한다’는 마음을 갖게 할 수 있을까? 충분한 월급과 복지를 제공하는 것도 중요하지만 회사가 개인에게 투자한다는 느낌을 갖게 하는 것도 중요하다. 예를 들어 일거리를 계속해서 던져주는 것만이 아니라, 그 일을 보다 효율적이면서 간단하게 처리할 수 있는 방법을 같이 고민하는 태도를 회사 측에서 보여주어야 한다. 회사가 주는 일을 보다 잘 처리할 수 있도록 직원을 직접 교육시키고, 그 교육에 투자할 의향이 있는 회사라면 직원들이 회사를 떠날 확률이 줄어든다.
실제로 많은 조사에서 임직원들은 현재의 수입보다 더 나은 수입을 원하고 있으며, 이를 위해 교육과 훈련을 거쳐 더 나은 자격을 가지고 싶다는 마음을 표현하고 있다. 단순 잡기술이 아니라 실질적이면서도 스스로의 ‘급’이 높아질 수 있을 만한 교육 과정과 훈련 코스(특히 자격증이나 학위가 발부되는 것)에 대한 목마름이 대부분의 사람들에게 있다는 뜻이다. 보안 교육이 매우 적절한 선택지가 될 수 있다.
게다가 회사는 교육 기관이 아니다. 회사가 나라는 개인의 업그레이드에 관심을 가질 리 없다고 임직원들은 대부분 생각한다. 이 부분을 치고 들어가면 회사는 직원들로부터 높은 점수를 얻게 된다. 그리고 임직원들이 실제로 자격증까지 받아 전문가로서의 역량이 높아지면 회사로서도 이득이 된다. 직원들이 배우고 싶어 하는 것을 배우게 해주고 투자까지 해줌으로써 훗날을 도모하는 것이 지금 기업들의 현명한 운영 방식이라고 할 수 있다.
보안 담당자들은 새로운 기술들을 적극 검토하고 도입하라
디지털 전환은 모든 기업들의 단기 및 장기 과제이지만 동시에 양날의 검이기도 하다. 신기술들을 잘 도입하여 구축하면 사업 행위가 훨씬 유연해지면서 생산성도 올라가고 따라서 수익도 증대된다. 실제로 현 세계 경제의 가장 강력한 드라이브 중 하나가 이 디지털 전환이기도 하다. 하지만 모든 것이 디지털화 되면서 이전에 없던 새로운 위협이 증가하고 있기도 하다. 얻는 만큼, 아니면 얻는 것보다 더한 것을 잃는 경우들이 생겨나는 중이다.
새로운 기술을 제대로, 사고 없이 활용하려면 그 기술에 대하여 잘 알고 있는 사람이 필요하다. 즉, 신기술에 대한 지식을 조직 차원에서 보유하고 있어야 한다는 것이다. 하지만 한 조사에 의하면 인공지능을 업무에 활용할 수 있을 정도로 인공지능과 관련된 지식과 스킬을 갖춘 사람은 10%도 되지 않는다고 한다. 회사에 인공지능 스킬을 보유한 사람이 없다 한들 이상한 것이 아니다. 그리고 그 수는 계속해서 줄어들 것이다.
사이버 보안 담당 팀의 입장에서는 인공지능 전문가가 우리 회사를 찾아주기를 마냥 앉아서 기다릴 수는 없다. 지금 임직원 중 누군가는 인공지능을 활용하고 싶어할 것이고, 심지어 활용 중에 있을 수도 있기 때문이며, 그렇다는 건 인공지능으로부터 시작되는 새로운 위협에 조직 전체가 노출될 수도 있다는 뜻이다. 그렇기 때문에 다른 누구보다 보안 팀은 스스로 인공지능과 관련된 기술과 노하우를 익히기에 앞장서야 한다. 신기술을 모르는 보안 담당자는 회사 차원에서 뭔가를 새로 도입하여 구축하려 할 때 무조건 안 된다고만 하는 사람이 되며, 보안을 더욱 힘들고 성가신 것으로 만들어 조직 전체를 장기적으로 약화시키게 된다.
CISO들에게
사이버 보안의 상황은 계속해서 진화하고 있다. 그렇기 때문에 보안 업무를 제대로 수행하려면 보안 담당자들 역시 새로운 기술을 계속해서 익혀야 한다. 당연한 흐름이자 엄연한 현실이다. 여기서 기억해야 할 건 일반 임직원들의 보안 지식 쌓기이건 보안 담당자들의 신기술 관련 지식 쌓기이건 하루아침에 되지는 않는다는 것이다. 계속 공부하고 새로운 걸 익혀야 한다는 현실을 느긋하게 받아들이고 매일 조금씩 전진하는 것에 만족할 수 있어야 한다.
이는 무엇보다 CISO들이 기억해야 할 내용이다. 아무래도 교육과 훈련을 담당하고 이끌어야 하는 입장이다 보니 금방 나타나는 성과를 바라게 될 수 있다. 사람이라면 어쩔 수 없이 드는 마음이긴 하지만 독이 되는 것도 사실이다. 꾸준한 투자가 필요한 것이 교육과 훈련인데, 이를 잊고 금방 포기하게 된다. 어설프게 시작하고 마무리 짓는 교육은 돈과 시간만 버리는 결과를 낸다.
그렇다고 회사 입장에서 수년 동안 성과 없이 교육에만 투자할 수도 없다. 앞서도 말했지만 회사는 교육 기관이 아니다. 직원들도 교육을 받으러 온 사람들이 아니다. 그러니 CISO들은 우리가 익히 알고 있는 교육의 과정이나 학습 모델과는 다른, 기업의 상황에 맞는 교육 프로그램과 훈련 코스를 창의적으로 만들어낼 필요가 있다. 조급한 마음이 든다면, 그 에너지를 교육 과정 만들기에 쏟는 편이 생산적일 것이다.
글 : 브래드 아킨(Brad Arkin), 수석 부회장, Cisco
파 메랏(Par Merat), 학습 및 자격증 부문 부회장, Cisco
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
