신입 뽑을 땐 전공, 자격증이 중요...경력직은 유연한 상황 대처 능력
한땐 고루 잘 하는 사람 뽑아 교육시키기도...지금은 후임자 양성이 키워드

[보안뉴스 문가용 기자] 사이버 보안 업계의 인력 현황이 좋지 않다. 최근 미국 정보시스템감사통제협회(ISACA)의 조사에 의하면 보안 전문가 구인 공고에 5명도 모집하지 않은 조직이 20%가 넘는다고 한다. 그나마 이력서를 제출한 지원자들 중 자격 요건을 갖춘 사람은 25%도 되지 않았다고. 자격 요건을 충족하는 사람이 고용되기까지 최소 3개월이 걸린 조직은 55%인 것으로 나타났다.



보안 인력이 모자란다는 거 자체는 새로운 소식이 아니다. 하지만 공석에 들어갈만한 자격이 되는 사람이 25%도 되지 않다는 건 꽤나 충격적이다. 네 사람이 지원해도 한 명이 겨우 생각해봄직한 인물이라는 것. ISACA의 보안 전문가인 에디 슈와츠(Eddie Schwartz)는 “단순 돈 문제는 아닌 것 같다”고 말하며 “기업들이 높은 연봉을 제시하는데도 인재의 수만이 아니라 질적인 측면에서도 계속해서 부족현상이 나타난다”는 것을 근거로 제시한다.

그렇다면 기업이 말하는 자격 요건이란 건 무엇일까? ISACA의 조사에 의하면 “학력이나 자격증 보유 여부가 아니라 현장에서의 실제적인 경험”이다. “현장에서는 이미 ‘무슨 자격증을 가졌냐?’, ‘전공이 뭐냐?’, ‘코딩 경험이 있느냐?’ 등을 묻는 빈도수가 줄어들었습니다. 특정 보안 사고 상황을 설정해놓고 ‘당신이라면 어떻게 대처하겠는가?’를 물어봅니다.”

물론 갓 졸업한 새내기에게 저런 응용 문제를 묻지는 않는다. 이런 경우에는 여전히 자격증 보유 여부와 전공 등이 중요한 요소로 작용한다. “경력직을 뽑을 땐 전공 기술 외의 능력에도 많은 점수를 부여하는 게 최근의 흐름입니다. 보안을 담당하는 사람에게 더 많은 것들이 요구되고 있다는 것이죠.” 슈와츠의 설명이다.

지난 20년 동안 많은 기업들은 다방면에 걸쳐 두루두루 일 잘하는 사람을 뽑고, 교육 지원을 해줘서 CISSP과 같은 유명 자격증을 취득하도록 한 뒤 보안 담당직을 맡기는 식으로 공석을 채워왔다. “아니면 소프트웨어 개발자를 교육시키는 것도 흔한 경우였죠. 이렇게만 들으면 기업들이 잘 해온 것처럼 보이는데요, 사실 해당 직원 한 사람에게 모든 짐을 떠맡기는 것과 다름이 없었습니다. 게다가 한 사람만 그렇게 키워내고 나서 후임자에 대한 작업은 전혀 하지 않았죠. 결국 급한 불을 끄는 방편이었던 것 뿐입니다.”

요즘에 와서야 기업들은 후임자 만들기에 눈을 뜨기 시작했다. “최근엔 어시스턴트라든가, 인턴이라는 직책을 만들어 현재의 선배 전문가들 밑에 두고 보조하면서 배우도록 합니다. ISACA에서 만든 CSX 인증 프로그램도 그런 구조를 장려하고 있는 것과 같죠.” 하지만 이 역시 한 가지 방법일 뿐 만능 해결책일 수는 없다. “기업들과 학계가 본격적으로 연계해야 할 때입니다. 대학 기관도 좋고, 외부 인증서 발급 교육 기관들도 좋습니다. 지금 이건 매우 시급한 문제입니다.”

그밖에 ISACA가 이번 조사를 통해 밝혀낸 사실들은 다음과 같다.
- 32%가 보안 담당 공석을 채우는 데에 6개월 이상이 걸렸다.
- 보안 담당자 채용 공고에 20명 이상 지원한 경우는 13%뿐이었다.
- 신뢰할 만한 곳으로부터의 추천이 가장 중요한 자격 요건이라고 답한 이는 13%였다.
- 자격증이 가장 중요하다고 답한 이는 12%였다.
- 대학교 전공이 중요하다고 답한 이는 10%였다.
- 특정 교육과정 이수 여부가 중요하다고 답한 이는 9%였다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>