보안 인력이 부족하다고 하는데, 사실 그 말은 사실이 아니다. 우리가 너무 까다롭게 사람을 뽑고 있을 뿐이다. 사람이 모자라 허덕이면서도 전혀 교훈을 받지 못하고 있다.
[보안뉴스=렉스 부스 CISO, SailPoint] 안타깝지만 사이버 보안 인력을 새로 구한다고 했을 때 우리에게 주어진 옵션은 그리 많지 않은 게 사실이다. 왜냐하면 보안 자격증이라는 게 그리 쉽게 발급되지 않기 때문이다. 대학 학위를 따는 것도 누구에게나 열려 있는 선택지는 아니다. 우리는 ‘보안 전문가’를 찾는다면서 사실은 자격증이나 학위를 소지한 사람을 찾는다. 그것도 한두 개가 아니라 여러 개를 가지고 있고, 다년 간의 경험까지 갖추고 있는 사람을 선호한다. 이 기준 외에는 보안 전문 인력을 찾아낼 방법이 우리에게는 없다.
[이미지 = gettyimagesbank]
수많은 종류의 학위와 자격증으로 이뤄진 이 장벽은 훌륭한 사이버 보안 인력이 될 만한 사람들을 다른 분야로 몰아내는 역할을 하고 있다. 보안 분야로 진출하고자 하는 집념이 어지간히 강하지 않으면 이 장벽을 넘기가 힘들다. 그러니 애초부터 이 분야는 늘 사람이 부족한 상황이고, 그러니 온갖 노력으로 이 분야에 성공적으로 진출한 사람들이 밥먹듯이 초과 근무를 해 지쳐 떨어질 수밖에 없게 된다. ‘보안 업계로 오세요. 단 이런 저런 비싼 학위와 자격증은 필수고, 3교대 근무할 생각을 하세요’를 초대장이랍시고 보내는 것이다. 사람이 그렇게나 없다면서 말이다.
물론 자격증이나 학위에 가치가 없다는 것이 아니다. 그것만이 유일한 취업의 길로 만들어 두었다는 게 문제다. 길을 딱 하나만 만들어두고, 그 길로 오지 않는 사람들을 ‘자격 없는 자┖로 본다는 건데, 이 구조 자체에 문제가 없다고 본다면, 그게 더 문제 아닐까. 우리는 이런 저런 자격증과 학위와 경험까지 갖춘 너무나 완벽한 사람들만 찾고 있다. 그런데도 고용이 잘 되기를 바란다면, 그게 도둑놈 심보가 아니면 뭘까.
우리가 자초한 인력 부족
기업들만 이런 문제를 겪는 건 아니다. 헤드헌터들도 보안 인력을 잘 찾아내지 못한다. IT 전문가들은 심심찮게 찾아낼 수 있는데 유독 보안 인력은 구하기 힘들다는 토로가 그들 사이에서도 나온다. 있다고 한들 사람을 찾는 조직의 입맛에 딱 떨어지지 않는 사람일 경우가 압도적으로 많다. 학위와 자격증으로만 대화를 하고, 이것들로만 문제를 해결하려 하니 당연하다. 정해 놓은 답 안에서 후보자들을 찾고 있는 건데, 우리 삶의 어떤 부분이 그렇게 쉽게 진행될 수 있을까.
이렇게 수년 동안 까다롭게 굴며 사람을 내쳐온 결과 우리는 드디어 인구 부족 현상에 시달리게 됐다. 이제 소수의 후보자들을 두고 기업, 헤드헌터, 기관 모두가 경쟁할 수밖에 없는 상황이다. 그렇게 경쟁해서 확보한 사람들은 각종 보안 문제 해결에 뛰어난 능력을 보일 때도 있지만, 실제 현장에 가져다 놓으면 그저 시험을 잘 치르는 사람이라는 것이 뒤늦게 밝혀질 때도 있다. 시험을 잘 본다고 해서 꼭 그 분야의 전문가가 되는 게 아니라는 건 두 번 설명할 필요가 없을 듯하다.
우리 스스로 우리의 함정에 빠져 헤어나오지 못하는 동안, 보안 업계가 정말로 필요로 하는 능력을 갖춘 사람들은 우리를 보지도 못하고 스쳐지나간다. 분석력이 뛰어난 사람, 기술에 대한 관심과 통찰이 남다른 사람, 직업 윤리가 투철한 사람 등, 보안 분야로 들어오는 그 좁고 작은 길을 보지 못했다는 이유 하나만으로 아까운 자질을 발휘하지 못하게 되니 그들도 손해고 우리도 손해다. 보안 업계는 지금이라도 이런 사람들을 찾아나서야 한다. 그러려면 우리 업계로 들어오는 그 좁디좁은 길을 확장하는 공사가 필요하다.
새로운 접근 방식이 절실하다
왜 더 많은 사람들을 보안 분야로 들여야 할까? 단순하다. 사이버 보안 사고가 빠른 속도로 증가하고 있고, 상대할 사람이 줄어든다면 보안 사고라는 것은 더 빠르게 늘어날 것이기 때문이다. 즉 보안 인력 부족은 조만간 사회적 재앙으로 이어질 문제라는 것이다. 필요한 사람이 필요한 곳에서 일하게 하는 것만으로도 사회는 윤택해질 수 있다. 그런 사회 속에서 기업과 개인이 받는 혜택은 무궁무진하다.
그렇다고 지나가는 사람을 아무나 붙들고 우리 회사 보안 담당자가 되어달라고 할 수는 없다. 다시 말하지만 학위나 자격증을 보는 것 자체가 잘못 됐다고 말하고자 하는 게 아니다. 너무나 완벽하고 이상적인 인재만을 찾는 게 문제라는 것이고, 그 완벽하고 이상적인 인재라는 것도 자격증과 학위로만 재단한다는 게 문제라는 것이다. 특히, 신입을 받을 때에 있어 우리는 우리가 고집하던 잣대를 조금은 내려놓을 필요가 있어 보인다. 어차피 현장에서 보안 훈련은 이뤄질 수밖에 없다. 직무 수행 능력이라는 것도 그렇게 생겨난다. 그 훈련을 받아 발전할 만한 후보들 정도만 돼도 충분하다.
미국의 이야기이긴 하지만 백악관은 최근 사이버 인력 워크숍이라는 것을 시작했다. 인력 수급이 안 된다는 걸 깨닫고 정부 차원에서 문제 해결을 위해 나선 것인데, 의도는 좋지만 그 과정이나 결과에는 물음표가 떠오른다. 정부 기관에서도 ‘정보 보안 전문가라면 이 정도는 되어야 한다’는 기준점을 너무나 높게 잡았기 때문이다. 그러므로 인력 부족이라는 현상의 근본에까지 도달하지는 못하고 있다. 아니, 백악관도 보안 인재의 기준을 그 정도로 보고 있다는 게 전파되면서 상황은 악화되는 중이다. 전형적이고 전통적인 방식의 교육 과정에 지나치게 얽매여 있다는 것에서부터 우리는 아직 자유롭지 못하다.
교육과 훈련은 중요하다. 너무나 중요하다. 누구나 받아야 한다. 하지만 그것은 보안 전문가로서 이미 첫 발을 내딛은 사람들에게 더 강조되어야 할 것이지, 첫 발을 내딛으려 할까 말까 하는 사람들에게만 일방적으로 강제되어서는 안 된다. 교육과 훈련을 사람을 살리고 키우는 것이지, 문지기가 되어서는 안 된다. 실제 그 사람이 가지고 있는 재능과 자질과 기술이 무엇인지를 파악하는 게, 자격증 타이틀을 훑는 것보다 더 중요하고, 이제는 그런 식으로 인력 채용의 과정이 흘러가야 할 것이다.
그러면 이런 의문이 들 것이다. ‘우리는 당장 네트워크를 모니터링 하고 취약점을 관리할 수 있어야 하는데? 당장 들어와 보안 전문가로서 능력을 발휘할 수 있는 사람이 필요한데?’ 필자는 그런 사람들이 얼마든지 있다고 생각한다. 고등학교에서 컴퓨터 해킹 기술을 친구들끼리 익히고 있는 학생들, 다른 IT 분야의 전문가인데 보안에 대해 관심을 갖기 시작한 사람들, 대학교 동아리, 물리 보안 분야에서 활동한 전문가들 등 단지 보안 자격증만 없을 뿐 괜찮은 시작을 하기에 부족함 없는 사람들은 주변에 부족하지 않다. 이는 컴퓨터나 스마트 장비가 보급되어 있는 여러 지역에서 공통된 현상이다.
그러므로 필자는 사이버 보안 인력이 부족하다는 말은 거짓이라고 본다.
취약점 분석이나 레드팀 훈련이 쉽고 간편한 일이라고 말하는 게 아니다. 어중이 떠중이도 보안 전문가가 될 수 있다는 말도 아니다. 그렇게 말한다면, 그것이야 말로 가장 거대한 거짓일 것이다. 필자는 그런 활동들의 높은 난이도를 잘 알고 있다. 난이도가 너무 높아서 처음부터 그 일을 잘 해낼 사람이 하나도 없다는 것도 알고 있다. 누가 됐든, 어떤 배경을 가지고 있든, 보안은 너무나 어려운 일이긴 마찬가지라 누구나 현장에서 새로운 지식과 실력을 익혀야 한다. 그러니 처음부터 완벽하지 않아도 된다는 것이다.
‘완벽한’ 보안 인재는 부족하다. 그런데 그건 어느 분야나 마찬가지다.
글 : 렉스 부스(Rex Booth), CISO, SailPoint
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=렉스 부스 CISO, SailPoint] 안타깝지만 사이버 보안 인력을 새로 구한다고 했을 때 우리에게 주어진 옵션은 그리 많지 않은 게 사실이다. 왜냐하면 보안 자격증이라는 게 그리 쉽게 발급되지 않기 때문이다. 대학 학위를 따는 것도 누구에게나 열려 있는 선택지는 아니다. 우리는 ‘보안 전문가’를 찾는다면서 사실은 자격증이나 학위를 소지한 사람을 찾는다. 그것도 한두 개가 아니라 여러 개를 가지고 있고, 다년 간의 경험까지 갖추고 있는 사람을 선호한다. 이 기준 외에는 보안 전문 인력을 찾아낼 방법이 우리에게는 없다.
[이미지 = gettyimagesbank]
수많은 종류의 학위와 자격증으로 이뤄진 이 장벽은 훌륭한 사이버 보안 인력이 될 만한 사람들을 다른 분야로 몰아내는 역할을 하고 있다. 보안 분야로 진출하고자 하는 집념이 어지간히 강하지 않으면 이 장벽을 넘기가 힘들다. 그러니 애초부터 이 분야는 늘 사람이 부족한 상황이고, 그러니 온갖 노력으로 이 분야에 성공적으로 진출한 사람들이 밥먹듯이 초과 근무를 해 지쳐 떨어질 수밖에 없게 된다. ‘보안 업계로 오세요. 단 이런 저런 비싼 학위와 자격증은 필수고, 3교대 근무할 생각을 하세요’를 초대장이랍시고 보내는 것이다. 사람이 그렇게나 없다면서 말이다.
물론 자격증이나 학위에 가치가 없다는 것이 아니다. 그것만이 유일한 취업의 길로 만들어 두었다는 게 문제다. 길을 딱 하나만 만들어두고, 그 길로 오지 않는 사람들을 ‘자격 없는 자┖로 본다는 건데, 이 구조 자체에 문제가 없다고 본다면, 그게 더 문제 아닐까. 우리는 이런 저런 자격증과 학위와 경험까지 갖춘 너무나 완벽한 사람들만 찾고 있다. 그런데도 고용이 잘 되기를 바란다면, 그게 도둑놈 심보가 아니면 뭘까.
우리가 자초한 인력 부족
기업들만 이런 문제를 겪는 건 아니다. 헤드헌터들도 보안 인력을 잘 찾아내지 못한다. IT 전문가들은 심심찮게 찾아낼 수 있는데 유독 보안 인력은 구하기 힘들다는 토로가 그들 사이에서도 나온다. 있다고 한들 사람을 찾는 조직의 입맛에 딱 떨어지지 않는 사람일 경우가 압도적으로 많다. 학위와 자격증으로만 대화를 하고, 이것들로만 문제를 해결하려 하니 당연하다. 정해 놓은 답 안에서 후보자들을 찾고 있는 건데, 우리 삶의 어떤 부분이 그렇게 쉽게 진행될 수 있을까.
이렇게 수년 동안 까다롭게 굴며 사람을 내쳐온 결과 우리는 드디어 인구 부족 현상에 시달리게 됐다. 이제 소수의 후보자들을 두고 기업, 헤드헌터, 기관 모두가 경쟁할 수밖에 없는 상황이다. 그렇게 경쟁해서 확보한 사람들은 각종 보안 문제 해결에 뛰어난 능력을 보일 때도 있지만, 실제 현장에 가져다 놓으면 그저 시험을 잘 치르는 사람이라는 것이 뒤늦게 밝혀질 때도 있다. 시험을 잘 본다고 해서 꼭 그 분야의 전문가가 되는 게 아니라는 건 두 번 설명할 필요가 없을 듯하다.
우리 스스로 우리의 함정에 빠져 헤어나오지 못하는 동안, 보안 업계가 정말로 필요로 하는 능력을 갖춘 사람들은 우리를 보지도 못하고 스쳐지나간다. 분석력이 뛰어난 사람, 기술에 대한 관심과 통찰이 남다른 사람, 직업 윤리가 투철한 사람 등, 보안 분야로 들어오는 그 좁고 작은 길을 보지 못했다는 이유 하나만으로 아까운 자질을 발휘하지 못하게 되니 그들도 손해고 우리도 손해다. 보안 업계는 지금이라도 이런 사람들을 찾아나서야 한다. 그러려면 우리 업계로 들어오는 그 좁디좁은 길을 확장하는 공사가 필요하다.
새로운 접근 방식이 절실하다
왜 더 많은 사람들을 보안 분야로 들여야 할까? 단순하다. 사이버 보안 사고가 빠른 속도로 증가하고 있고, 상대할 사람이 줄어든다면 보안 사고라는 것은 더 빠르게 늘어날 것이기 때문이다. 즉 보안 인력 부족은 조만간 사회적 재앙으로 이어질 문제라는 것이다. 필요한 사람이 필요한 곳에서 일하게 하는 것만으로도 사회는 윤택해질 수 있다. 그런 사회 속에서 기업과 개인이 받는 혜택은 무궁무진하다.
그렇다고 지나가는 사람을 아무나 붙들고 우리 회사 보안 담당자가 되어달라고 할 수는 없다. 다시 말하지만 학위나 자격증을 보는 것 자체가 잘못 됐다고 말하고자 하는 게 아니다. 너무나 완벽하고 이상적인 인재만을 찾는 게 문제라는 것이고, 그 완벽하고 이상적인 인재라는 것도 자격증과 학위로만 재단한다는 게 문제라는 것이다. 특히, 신입을 받을 때에 있어 우리는 우리가 고집하던 잣대를 조금은 내려놓을 필요가 있어 보인다. 어차피 현장에서 보안 훈련은 이뤄질 수밖에 없다. 직무 수행 능력이라는 것도 그렇게 생겨난다. 그 훈련을 받아 발전할 만한 후보들 정도만 돼도 충분하다.
미국의 이야기이긴 하지만 백악관은 최근 사이버 인력 워크숍이라는 것을 시작했다. 인력 수급이 안 된다는 걸 깨닫고 정부 차원에서 문제 해결을 위해 나선 것인데, 의도는 좋지만 그 과정이나 결과에는 물음표가 떠오른다. 정부 기관에서도 ‘정보 보안 전문가라면 이 정도는 되어야 한다’는 기준점을 너무나 높게 잡았기 때문이다. 그러므로 인력 부족이라는 현상의 근본에까지 도달하지는 못하고 있다. 아니, 백악관도 보안 인재의 기준을 그 정도로 보고 있다는 게 전파되면서 상황은 악화되는 중이다. 전형적이고 전통적인 방식의 교육 과정에 지나치게 얽매여 있다는 것에서부터 우리는 아직 자유롭지 못하다.
교육과 훈련은 중요하다. 너무나 중요하다. 누구나 받아야 한다. 하지만 그것은 보안 전문가로서 이미 첫 발을 내딛은 사람들에게 더 강조되어야 할 것이지, 첫 발을 내딛으려 할까 말까 하는 사람들에게만 일방적으로 강제되어서는 안 된다. 교육과 훈련을 사람을 살리고 키우는 것이지, 문지기가 되어서는 안 된다. 실제 그 사람이 가지고 있는 재능과 자질과 기술이 무엇인지를 파악하는 게, 자격증 타이틀을 훑는 것보다 더 중요하고, 이제는 그런 식으로 인력 채용의 과정이 흘러가야 할 것이다.
그러면 이런 의문이 들 것이다. ‘우리는 당장 네트워크를 모니터링 하고 취약점을 관리할 수 있어야 하는데? 당장 들어와 보안 전문가로서 능력을 발휘할 수 있는 사람이 필요한데?’ 필자는 그런 사람들이 얼마든지 있다고 생각한다. 고등학교에서 컴퓨터 해킹 기술을 친구들끼리 익히고 있는 학생들, 다른 IT 분야의 전문가인데 보안에 대해 관심을 갖기 시작한 사람들, 대학교 동아리, 물리 보안 분야에서 활동한 전문가들 등 단지 보안 자격증만 없을 뿐 괜찮은 시작을 하기에 부족함 없는 사람들은 주변에 부족하지 않다. 이는 컴퓨터나 스마트 장비가 보급되어 있는 여러 지역에서 공통된 현상이다.
그러므로 필자는 사이버 보안 인력이 부족하다는 말은 거짓이라고 본다.
취약점 분석이나 레드팀 훈련이 쉽고 간편한 일이라고 말하는 게 아니다. 어중이 떠중이도 보안 전문가가 될 수 있다는 말도 아니다. 그렇게 말한다면, 그것이야 말로 가장 거대한 거짓일 것이다. 필자는 그런 활동들의 높은 난이도를 잘 알고 있다. 난이도가 너무 높아서 처음부터 그 일을 잘 해낼 사람이 하나도 없다는 것도 알고 있다. 누가 됐든, 어떤 배경을 가지고 있든, 보안은 너무나 어려운 일이긴 마찬가지라 누구나 현장에서 새로운 지식과 실력을 익혀야 한다. 그러니 처음부터 완벽하지 않아도 된다는 것이다.
‘완벽한’ 보안 인재는 부족하다. 그런데 그건 어느 분야나 마찬가지다.
글 : 렉스 부스(Rex Booth), CISO, SailPoint
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
