경력 경로가 제대로 마련되어 있지 않아 정체된 사람들...업그레이드 기회 희박해
[보안뉴스 문가용 기자] 사이버 보안 업계에 진출하여 첫 직장을 갖는다는 건 그리 어려운 일이 아니다. 문제는 그 다음이다. 엔터프라이즈전략그룹(ESG)와 정보시스템보안협회(ISSA)가 최근 조사한 바에 의하면 IT 기술 및 보안 기술을 가진 사람들에 대한 시장의 수요는 여전히 높지만, 경력 경로를 따라 자기 계발은 물론 더 높은 자리로 올라가는 등의 장기적 계획을 세우는 건 대단히 큰 어려움이라고 한다.
[이미지 = utoimage]
ISSA의 회장인 캔디 알렉산더(Candy Alexander)는 “기업들이 직원들의 역량 개발과 미래에 투자를 해야만 한다”고 말한다. “직원을 자원으로 취급해도 회사가 멀쩡했던 시대는 지나갔습니다. 그 때는 일할 사람이 많았죠. 지금은 인구도 줄어들고, 보안 기술을 가진 사람은 더더욱 귀한 때죠. 기업 운영, 아니 사람 운영의 기조가 좀 바뀔 때가 됐습니다. 관리자가 좀 더 직원들의 역할을 이해하고 대화를 해야 합니다.”
ISSA는 이번 보고서를 위해 327명의 보안 전문가들을 심층 인터뷰했다. 최소 한 달에 한 번 이상 다른 회사나 리크루터들의 연락을 받는다는 사람들이었다. 이 중 24%는 일주일에도 여러 번 ‘러브콜’을 받는다고 했고 16%는 주마다 최소 한 번 이상의 섭외 전화가 온다고 한다. “즉 마음만 먹으면 직장을 얼마든지 찾을 수 있는 시장이 바로 이 정보 보안 업계라는 것”이라고 ISSA와 ESG는 분석한다. 특히 지금은 클라우드 보안 전문가에 대한 목마름이 기업과 기관들 사이에서 깊은 것으로 나타났다.
그런데 보안 전문가가 한 번 되고부터는 일이 생각처럼 불리지 않는다는 게 여러 보안 전문가들의 증언이었다. 첫 번째로 꼽히는 것이 지나치게 긴 근무 시간이었다. 사실 이건 처음 직장을 찾는 게 쉬운 것과도 연결이 되어 있다. 왜냐하면 둘 다 ‘일할 사람이 적다’는 사실 때문에 나타나는 현상이기 때문이다. 사람이 없어 쉽게 채용이 되지만, 사람이 없어 감당해야 할 일이 많은 것이다. 이번 조사를 통해 58%의 응답자들이 ‘같이 호흡할 사람을 찾는 게 너무 어려워 근무 시간이 길어진다’고 답했다.
이렇게 할 일과 근무 시간이 길어진다는 것은 현존하는 기술들을 최대한 활용하기 위해 연구와 학습, 훈련할 시간이 없다는 뜻이 된다. 실제 많은 보안 전문가들은 사건 대응과 고장 수리 활동에 지나치게 많은 시간을 보내고 있다고 한다. 34%의 전문가들이 번아웃 증상을 호소하고 있으며, 보안 업계 인력 감소율은 굉장히 높은 편이다. 이 때문에 사람은 더 없어지고 악순환이 반복된다. 업무 스트레스가 우울증, 알코올 중독, 약물 중독으로 이어진 사례도 존재한다고 보고서는 밝히고 있다.
업무 시간과 강도 외에 보안 전문가들을 힘들게 하는 건 ‘경력 경로’다. 연차만 쌓이지 최초 채용 때와 크게 변하는 게 없다는 것이다. 이번 조사에 응한 응답자의 32%만이 경력 경로가 분명하고, 그에 대한 장기적 계획을 갖추고 있다고 답했다. 28%은 이 다음부터 어떤 방향으로 경력을 쌓아가야 할지, 어떤 것이 도움이 될지 모르겠다고 답했다. 40%는 대강 알겠지만 어렴풋한 정도지, 그것에 노력과 시간을 투자할 정도로 분명한 건 아니라고 답했다.
상당히 많은 보안 전문가들이 앞으로 치고나갈 환경이 만들어지지 않았으며, 이에 따른 정체 현상이 심각하다는 것이다. 실제 현장의 보안 전문가들은 새로운 기술을 ‘직무 변환’을 통해 익힌다고 대부분 답했다. 정식 교육 과정을 거치는 사례보다 이직이나 직무 변경이 학습에 더 큰 기회가 된다는 뜻이다. 이번 조사에서 응답자의 43%는 멘토나 표준 경력 경로, 기술 훈련 기회가 현장 근무자들에게 더 필요하다고 답했다. 70% 이상은 공식 보안 교육 과정을 접할 기회가 더 필요하다고, 65%는 전문가들만의 행사나 모임, 컨퍼런스 등에 더 자유롭게 참석할 수 있어야 한다고 답했다.
알렉산더는 “지금 보안 산업은 새 인력 확보만이 아니라 현존 인력들의 정체 현상을 해결하는 데 좀 더 힘을 써야 한다”고 주장했다. “보안 전문 기술을 가지고 있는 사람이 경력 경로를 어떻게 밟아가야 하는지 전 세계적으로 통용되는 사례들이 발굴 및 확립되어야 합니다. 사이버 보안 전문가의 정의도 명확해져야 하겠습니다. 그렇게 정체 현상을 풀어주어야 위에서 끌어주는 사람이 생기고 아래에서 끌려 올라가는 사람도 생기는 등 흐름이 원활해집니다. 그래야 고이지 않고 새로운 인재들이 보다 쉽게 영입될 것입니다.”
3줄 요약
1. 인력 없는 보안 업계, 현존하는 인력들의 근무 강도가 너무 세다는 문제도 낳고 있음.
2. 근무 강도가 세다보니 다음 단계를 위한 준비를 할 여력도 없고 교육 기회도 없음.
3. 산업과 회사들이 있는 인재들에 대한 관리에 들어가야 함. 사람이 ‘자원’인 시대는 끝났음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>