보안전문가들의 수가 기업들의 수요보다 훨씬 적어
숙련된 전문가들보다 신입사원들로 팀이 구성되는 현실
자동화 기술로 단순하고 반복적인 보안업무 처리해야
[보안뉴스 홍나경 기자] 최근 보안인력 문제에 대한 보고서가 발표됐다. 정보시스템보안협회(ISSA: The Information Systems Security Association)와 기업전략그룹(ESC: Enterprise Strategy Group)이 합동으로 연구조사를 진행한 결과다. 이 보고서의 핵심 내용은 보안전문가가 부족한 상황이 그들의 능력을 향상시킬 수 있는 교육 부족으로 이어지고 있다는 것이다.
보고서에 따르면 현재 사이버 보안 업계에 공석이 100만개 이상 존재한다. 또한, 정보보안의 기술과 트렌드가 계속해서 변하는데, 이를 교육으로 따라잡기가 여간 힘든 게 아니다. 여기서 말하는 교육대상은 일반인이 아니라 현직 보안전문가들이다. 이 두 가지 문제가 보안 사고의 주요 원인이 된다고 지적하고 있다.
이번 조사에 응한 기업들 중 54%는 지난해 최소 한 번 이상 사이버 공격 피해를 입었다고 답했다. 더욱이 대부분의 사고 이유를 인력 또는 교육(트레이닝) 부족으로 선정했다. 또한, 응답자 70%가 사이버보안 전문가들 사이에 존재하는 실력 편차가 기업에게 악영향을 끼쳤다고 했다.
사이버 보안이 실패하는 주 원인으로 기업에 비해 상대적으로 규모가 크지 않은 사이버보안팀(31%)이 꼽혔다. 이어 보안팀의 신입사원들에게 충분한 트레이닝이 이루어지지 못한다는 점(26%)과 사이버 보안에 대한 기업과 임원들의 인식이 낮다는 점(21%)이 차례로 꼽혔다. 즉, 보안전문 인력난이 보안 실패의 요인이라는 것이다.
그렇다면 사이버 보안 분야의 전문인력 부족은 기업에게 어떤 영향을 끼치고 있을까? 조사대상 가운데 55%가 사이버 보안팀 구성원 한 사람이 엄청난 양의 업무를 처리하고 있다고 답했다. 또한, 35%는 제대로 교육을 받지 못해 보안 툴(도구)을 잘 사용하지 못하고 있다고 했으며, 32%는 보안팀의 하루 업무량이 너무 많아 신입들에게 제대로 된 교육을 제공하지 못한다고 답했다.
전문인력이 부족한 현실이 현직에 있는 보안전문가들에게 엄청난 양의 업무량을 요구했고, 이로 인해 사이버 공격을 효과적으로 막지 못하는 악순환이 반복되고 있는 셈이다.
ESC의 분석위원인 존 올트식(Jon Oltsik)은 보안인력의 부족 문제가 너무 심각하다고 언급했다. 기술 부족도 문제이긴 하지만 보안관련 직업의 전문성을 키워줄 수 있는 제대로 된 교육 프로그램 자체가 없는 것도 문제라고 말했다.
지난주 발표된 E&Y의 연간 글로벌 보안 설문조사에서도 비슷한 주제의 내용이 발표됐다. 조사에 응한 57%의 보안전문가들이 보안사고로 인해 골머리를 앓는다고 답했고, 그 원인으로 응답자의 56%는 보안관련 교육자료 부족, 32%는 경영진들의 의식 부족을 꼽았다. 또한, 응답자의 절반 이상은 보안에 있어 자사의 가장 큰 취약점은 구식의 보안 시스템이라고 답변했다.
자신들이 속한 기업에 대한 기대감이 떨어져서일까? ISSA와 ESG 조사의 응답자들은 정부 지원에 대한 희망을 내비쳤다. 응답자 57%가 정부가 사이버 보안 전략 수립에 직접 개입해야 한다고 답했고, 32%는 지금보다 참여 비율을 높여야 한다고 말했다. 응답자중 54%는 민관 협조가 더 활발히 일어나야 한다고 답했고, 44%는 미국 연방준비제도가 보안을 강화하는 데 있어 비용을 더욱 확대해 주길 원했다. 또한, 정부 지원 사이버 보안 훈련 또는 교육 시스템이 필요하다고 응답한 비율도 43%였다.
이와 관련 브이아머(vArmour)의 부사장이자 사이버 보안 전략가인 마크 웨더포드(Mark Weatherford)는 “이는 많은 회사들이 부담을 느끼고 어떻게 해야 할지 혼란스러워 한다는 것을 나타냅니다. 이런 상황에서 정부가 그들의 보안 시스템을 지원해 줄 수도 있지 않을까요?”라고 말했다. “솔직히 말해서 정부 지원은 현실 가능성이 낮은 것이긴 합니다. 정부가 그러한 지원을 할 만한 준비가 제대로 된 상태가 아니기 때문이죠. 만약 그렇게 하게 된다 해도 법과 프라이버시 측면에서 해결해야 할 게 많습니다.”
오바마 정부 초기, 국토안보부에서 사이버 보안 분야를 총괄하기도 했던 웨더포드는 사이버 보안 강화를 위해 사람들을 교육시키는 것만으로 문제가 해결되지 않는다고 했다. “수업을 듣는다고 해서 하루아침에 해결되는 것이 아닙니다. 보안전문가로 성장하려면 수년의 세월이 필요하죠. 기술 분야가 아주 빠르게 바뀌고 있기 때문에 이에 상응하는 전문가가 되는 것은 힘든 것입니다. 즉, 보안전문가들이 방화벽, 안티 멀웨어만 공부하던 시절은 이제 다 지나갔다는 말이죠.”
또한, 그는 사이버 보안 분야는 현재 인력도 부족할 뿐더러 지원자도 많은 편이 아니라며 업계의 미래가 어둡다고 우려했다. 그는 기술의 발전이 이러한 문제들을 해결해 주길 바라고 있다고도 말했다. “사람들이 기계적인 업무가 아닌 머리를 써서 하는 일, 즉 분석 업무 등을 할 수 있도록 자동화 기술로 단순하고 반복적인 업무를 처리해낼 필요가 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 홍나경 기자(hnk726@boannews.com)]
숙련된 전문가들보다 신입사원들로 팀이 구성되는 현실
자동화 기술로 단순하고 반복적인 보안업무 처리해야
[보안뉴스 홍나경 기자] 최근 보안인력 문제에 대한 보고서가 발표됐다. 정보시스템보안협회(ISSA: The Information Systems Security Association)와 기업전략그룹(ESC: Enterprise Strategy Group)이 합동으로 연구조사를 진행한 결과다. 이 보고서의 핵심 내용은 보안전문가가 부족한 상황이 그들의 능력을 향상시킬 수 있는 교육 부족으로 이어지고 있다는 것이다.
보고서에 따르면 현재 사이버 보안 업계에 공석이 100만개 이상 존재한다. 또한, 정보보안의 기술과 트렌드가 계속해서 변하는데, 이를 교육으로 따라잡기가 여간 힘든 게 아니다. 여기서 말하는 교육대상은 일반인이 아니라 현직 보안전문가들이다. 이 두 가지 문제가 보안 사고의 주요 원인이 된다고 지적하고 있다.
이번 조사에 응한 기업들 중 54%는 지난해 최소 한 번 이상 사이버 공격 피해를 입었다고 답했다. 더욱이 대부분의 사고 이유를 인력 또는 교육(트레이닝) 부족으로 선정했다. 또한, 응답자 70%가 사이버보안 전문가들 사이에 존재하는 실력 편차가 기업에게 악영향을 끼쳤다고 했다.
사이버 보안이 실패하는 주 원인으로 기업에 비해 상대적으로 규모가 크지 않은 사이버보안팀(31%)이 꼽혔다. 이어 보안팀의 신입사원들에게 충분한 트레이닝이 이루어지지 못한다는 점(26%)과 사이버 보안에 대한 기업과 임원들의 인식이 낮다는 점(21%)이 차례로 꼽혔다. 즉, 보안전문 인력난이 보안 실패의 요인이라는 것이다.
그렇다면 사이버 보안 분야의 전문인력 부족은 기업에게 어떤 영향을 끼치고 있을까? 조사대상 가운데 55%가 사이버 보안팀 구성원 한 사람이 엄청난 양의 업무를 처리하고 있다고 답했다. 또한, 35%는 제대로 교육을 받지 못해 보안 툴(도구)을 잘 사용하지 못하고 있다고 했으며, 32%는 보안팀의 하루 업무량이 너무 많아 신입들에게 제대로 된 교육을 제공하지 못한다고 답했다.
전문인력이 부족한 현실이 현직에 있는 보안전문가들에게 엄청난 양의 업무량을 요구했고, 이로 인해 사이버 공격을 효과적으로 막지 못하는 악순환이 반복되고 있는 셈이다.
ESC의 분석위원인 존 올트식(Jon Oltsik)은 보안인력의 부족 문제가 너무 심각하다고 언급했다. 기술 부족도 문제이긴 하지만 보안관련 직업의 전문성을 키워줄 수 있는 제대로 된 교육 프로그램 자체가 없는 것도 문제라고 말했다.
지난주 발표된 E&Y의 연간 글로벌 보안 설문조사에서도 비슷한 주제의 내용이 발표됐다. 조사에 응한 57%의 보안전문가들이 보안사고로 인해 골머리를 앓는다고 답했고, 그 원인으로 응답자의 56%는 보안관련 교육자료 부족, 32%는 경영진들의 의식 부족을 꼽았다. 또한, 응답자의 절반 이상은 보안에 있어 자사의 가장 큰 취약점은 구식의 보안 시스템이라고 답변했다.
자신들이 속한 기업에 대한 기대감이 떨어져서일까? ISSA와 ESG 조사의 응답자들은 정부 지원에 대한 희망을 내비쳤다. 응답자 57%가 정부가 사이버 보안 전략 수립에 직접 개입해야 한다고 답했고, 32%는 지금보다 참여 비율을 높여야 한다고 말했다. 응답자중 54%는 민관 협조가 더 활발히 일어나야 한다고 답했고, 44%는 미국 연방준비제도가 보안을 강화하는 데 있어 비용을 더욱 확대해 주길 원했다. 또한, 정부 지원 사이버 보안 훈련 또는 교육 시스템이 필요하다고 응답한 비율도 43%였다.
이와 관련 브이아머(vArmour)의 부사장이자 사이버 보안 전략가인 마크 웨더포드(Mark Weatherford)는 “이는 많은 회사들이 부담을 느끼고 어떻게 해야 할지 혼란스러워 한다는 것을 나타냅니다. 이런 상황에서 정부가 그들의 보안 시스템을 지원해 줄 수도 있지 않을까요?”라고 말했다. “솔직히 말해서 정부 지원은 현실 가능성이 낮은 것이긴 합니다. 정부가 그러한 지원을 할 만한 준비가 제대로 된 상태가 아니기 때문이죠. 만약 그렇게 하게 된다 해도 법과 프라이버시 측면에서 해결해야 할 게 많습니다.”
오바마 정부 초기, 국토안보부에서 사이버 보안 분야를 총괄하기도 했던 웨더포드는 사이버 보안 강화를 위해 사람들을 교육시키는 것만으로 문제가 해결되지 않는다고 했다. “수업을 듣는다고 해서 하루아침에 해결되는 것이 아닙니다. 보안전문가로 성장하려면 수년의 세월이 필요하죠. 기술 분야가 아주 빠르게 바뀌고 있기 때문에 이에 상응하는 전문가가 되는 것은 힘든 것입니다. 즉, 보안전문가들이 방화벽, 안티 멀웨어만 공부하던 시절은 이제 다 지나갔다는 말이죠.”
또한, 그는 사이버 보안 분야는 현재 인력도 부족할 뿐더러 지원자도 많은 편이 아니라며 업계의 미래가 어둡다고 우려했다. 그는 기술의 발전이 이러한 문제들을 해결해 주길 바라고 있다고도 말했다. “사람들이 기계적인 업무가 아닌 머리를 써서 하는 일, 즉 분석 업무 등을 할 수 있도록 자동화 기술로 단순하고 반복적인 업무를 처리해낼 필요가 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 홍나경 기자(hnk726@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
