여성과 비전문가, 10~20대와 50~60대도 보안 전문가 될 수 있어야
[보안뉴스 문가용 기자] 보안 담당자로서 업무가 과다하다고 느껴지거나 팀원이 부족하다면, 아마 근성 부족이나 실력이 모자라서 그런 건 아닐 것이다. 실제로 보안 업계의 인적 자원 부족 현상은 꽤나 길게 이어져오고 있고, 앞으로도 이어질 전망이기 때문에, 당신이 느끼는 그런 중압감은 사실에 상당히 근거를 두고 있다. 그렇다면 이를 어떻게 해결해야 할까?

정보시스템감사통제협회(이하 ISACA)는 최근 하나의 통계자료를 발표했는데, 그 내용은 “기업의 1/4이 필요한 사람을 구하지 못해 공석을 유지하고 있다”는 것이었다. 그 공석을 채우는 데 걸리는 평균 기간은 무려 6개월이었다고 하며, 그나마도 자격을 갖춘 사람이 담당자로 채용되는 경우는 절반도 안 된다고 한다.
이건 심각해도 너무 심각한 문제다. 이 때문에 기업들은 보이지 않는 곳에서 손해를 누적시키고 있거나, 심각한 타격을 입어 휘청거린다. 보안 전문업체인 트립와이어(Tripwire) 또한 비슷한 주제로 연구를 실시했는데, 최근 유행하는 보안 위협들에 대처할 만한 기술을 보유한 기업이 10%에 그친다는 결론을 얻었다. 랜섬웨어 하나만 보더라도, 대처가 가능하다고 답한 기업은 44%밖에 되지 않았다.
적당한 자격을 갖춘 사람들을 필요한 만큼 충당하는 것이 당연한 해결책이지만, 누가 그걸 몰라서 못하나. 현재로선 교육 기관도 너무나 적고, 그런 기관들에 입학해서 정보보안 기술을 배우려는 학생들도 그리 많지 않다. 정보보안이라는 전문분야가 있다는 걸 모르는 학생들이 대부분이다. 대학에서 컴퓨터 관련 학과를 전공하는 학생들의 꿈은 애플이나 구글에 입사하거나 페이스북 같은 혁신적인 서비스를 만들어내는 것이다.
게다가 교육은 효과를 보기 전까지 시간이 오래 걸리는 사업이다. 그러니 그 동안 뭔가 수를 내도 내야 한다. 다행히 우리가 할 수 있는 일이 몇 가지 있다. 우리에게 남아있는 옵션들은 무엇일까.
우리 쪽에 관심 가진 학생들을 전부 포섭한다
교육 과정이 부족하고, 학생들이 없을수록 그나마 우리에게 있는 후보들을 전부 거둬들이는 것이 먼저다. 대학생들 말고도 이미 여러 경로를 통해 정보보안에 대해 공부하고 활동하는 학생들이 있는데, TEALS, Girls Who Code, Women’s Society of Cyberjutsu, CoderDojo 등이 좋은 예다.
게다가 각 업체나 기관들이 가끔 여는 해커톤 같은 행사에 가보면, 예상보다 많은 학생들이 참가하는 걸 볼 수 있을 것이다. 이런 학생들을 현장에서 자꾸 만나고, 현장 경험을 시켜주고, 포섭해야 한다. 이런 학생들은 기술적으로 꽤나 ‘준비된’ 경우가 많아, 적은 자원 투자로도 즉시 전력감이 될 수도 있다.
장학금과 같이 실제적인 도움을 제공하라
유럽 몇 개 국가의 대학교 빼놓고는 대학교 비용 대기가 만만치 않은 게 세계 여러 나라의 공통 문제다. 고등학교 때 정보보안에 뛰어난 실력을 증명했던 인재들이 대학교에서 전혀 다른 전공을 택하고 소리 없이 사라지는 것에는 ‘학비’ 문제도 큰 지분을 차지한다. 그러니 정보보안 장학금을 운영하는 건, 간지러운 부분을 긁어주는 것이나 다름없다.
이미 (ISC)2나 사이버왓치웨스트(CyberWatchWest), WiCYS와 같은 웹사이트에서는 장학제도에 관심을 보이는 학생들 정보가 공개되어 있다(물론 민감한 정보들은 아니다). 장학금을 주고 싶을 때, 이런 기관들에 연락하면 연이 닿을 수 있다는 거다. 실제로 이미 어마어마한 장학금을 제공해 인력을 키우는 업체들도 하나 둘 늘어나고 있다.
정보보안 인력의 다양화
정보보안 인력이 대부분 30~50대의 남성이라는 사실은 널리 알려진 사실이다. 이것이 ‘문제’라고 볼 수는 없지만, 좀 더 다양한 사람들을 초대함으로써 인력 문제가 해결될 수도 있을 것으로 보인다. 이에 제일 먼저 생각나는 건 ‘여성’과 ‘10~20대’, ‘60대 이상 은퇴자’다. 이들에게 억지로 정보보안 일을 시킬 수는 없지만, 우리가 다가갈 수 있는 후보군이 늘어나서 나쁠 건 없다.
ISACA는 공식적인 경력이나 자격증이 없는 비전문가들에게도 다가가야 한다고 제안한다. 이런 경우 코딩이나 네트워크 관리 등 유사한 경력을 가져온 사람들 중 보안에 관심이 있는 사람들이 주요 대상이다. 정식으로 타이틀만 가지고 있지 않을 뿐 의외로 필요한 실력과 경험을 가지고 있는 사람들이 같은 IT 분야에 많이 존재하기 때문에 이는 의외로 좋은 전략이 될 수 있다. 현직 보안 전문가들이 전부 컴퓨터 과학 전공자거나 해커 출신이 아니다.
한편 미국 내에서는 2022년까지 약 1백 8십만 명의 보안 담당자가 모자란 채 산업이 유지될 것이라는 전망이 지배적이다. 한 가지 직종에 공석이 1백 8십만 개라는 건 치명적으로 많은 숫자다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>