신입 직원은 뽑히지 않고, 기존 직원은 틈만 나면 나가려고 한다. 경쟁사도 호시탐탐 우리 직원들을 노린다. 게다가 보안 전공자는 극히 드물어 장기적으로도 인력 수급 문제는 해결되지 않을 것처럼 보이기도 한다. 돌파구가 필요한데, 보이질 않는다.

[보안뉴스 문가용 기자] 코로나 바이러스가 창궐하고서 2년이 지났다. 그 사이 많은 기업들이 보안 전문가를 찾느라 애를 먹고 있다. 아니, 심지어 이미 근무하는 보안 담당자들이 죄나 나간다고 해서 더 골치가 아픈 상황이다. 이러한 현황에 대해 IT 산업 협회 중 하나인 ISACA가 보고서를 작성해 발표했다.


2000명이 넘는 사이버 보안 전문가들을 대상으로 ISACA가 조사한 바에 의하면 2021년 한 해 동안 사이버 보안 전문가들이 퇴사하지 못하게 하는 데에 애를 먹은 기업들이 60%라는 것을 알게 됐다고 한다. 같은 조사를 2021년에 진행했을 때 같은 대답을 한 전문가들은 53%였다. 직원들을 붙잡아 두는 것이 더 힘들어지는 때에 기업들은 탄력 근무제를 도입한다든지, 교육비를 지원한다든지, 급여를 올리는 등의 방식을 사용하기 시작했다.

인력 시장에서 보안 전문가에 대한 수요는 크게 높아지고 있다. ISACA의 조나단 브랜트(Jonathan Brandt)는 “기술적인 일 처리를 직접 할 수 있는 보안 전문가의 경우, 기업들의 무수한 러브콜을 받는 상황”이라고 설명한다. “실제 손으로 기술력을 발휘할 수 있는 전문가에 대한 수요는 항상 있을 것입니다. 그만큼 몸값이 비싸고 구하기 힘들 것이라는 뜻입니다. 풀기 힘든 문제죠. 우리가 여태까지 사용해 온 교육 방식으로는 십수 년을 기다려야 하는데, 그럴 시간이 없으니까요.”

필요한 인력이 채워지지 않고 오히려 공석이 늘어나고 있다는 조사 결과는, 당분간 계속해서 인력 부족 문제가 많은 기업들을 괴롭힐 거라는 걸 예측하게 한다. “팬데믹 전 대부분의 기업들이 사이버 보안 팀을 제대로 갖추지 못하고 있었어요. 62%의 응답자들이 ‘보안 인력이 어느 정도 혹은 지나치게 부족하다’고 답을 했거든요.” 참고로 ISACA는 이전 연구 결과를 통해 “지난 한 해 동안 전 세계 보안 전문가 공석이 70만 개 정도 채워졌다”는 걸 알아내기도 했었다.

현재 당장 현장에 투입할 수 있는 전문가가 모자른 이유에 대해 물었을 때 60%의 응답자는 “경쟁사에서 직원들을 빼가는 것”이라고 답했다. 하지만 그 외에도 “열악한 근무 조건”이 손꼽히기도 했다. 이직 이유에 대해 물었을 때 48%는 “금전적 보상이 만족스럽지 않다”고 답했고 “진급의 기회가 부족하다”는 응답이 47%, “스트레스가 너무 심하다”는 답이 45% 나왔다. 또한 재택 근무의 기회가 좀 더 확대됐으면 좋겠다는 응답도 나왔었다.

ISACA는 이번 보고서를 통해 “탄력 근무제의 유무가 최근 구직 활동을 하고 있는 사람들 사이에서는 꽤나 중요한 요소가 되고 있다”고 말한다. “2021년 여러 지역에서 규제가 풀리고 직원들이 사무실로 돌아가도 된다고 했을 때 꽤나 많은 사람들이 거부반응을 보였습니다. 재택 근무를 해 보니 굳이 사무실로 출퇴근할 필요가 없다는 걸 깨달은 것이죠. 그래서 기업들은 급히 체제를 전환하거나, 인재들을 놓치거나 했죠.”

기존 근무 체제의 변화만큼 요구되는 것이 또 하나 있었다. 바로 훈련 혹은 교육의 기회였다. IT 기술을 가진 기존 인력들이 그나마 모자란 보안 업무를 할 수 있음직한 사람들인데, 이들에게 제대로 된 교육의 기회를 제공할 생각을 그 동안 기업들이 잘 하지 못했던 것이다. 게다가 보안이라는 것이 일률적인 지식과 기술만으로 이뤄지는 게 아니라 모든 조직의 상황과 보유 기술 현황 정도에 따라 다르게 ‘맞춤형’으로 구성되어야 하는데, 이 부분이 간과되어 왔으니 교육 체계가 부실할 수밖에 없었다는 것이 브랜트의 설명이다. “보안 전문가라면 어떤 전문성을 가졌든 다 잘 할 줄로만 알았지, 추가 교육을 통해 조직에 딱 맞는 보안 담당자로 키울 생각은 못하고 있었던 것입니다.”

그래서 지금 보안 업계에 나타나고 있는 전반적인 현상이 하나 있는데, 그것을 브랜트는 2000년대로의 회귀라고 부른다. “2000년대 막 IT 기술이 주목받기 시작했을 때, 모든 것이 특정 IT 기업 위주로 돌아갔습니다. 특정 브랜드를 가진 IT 솔루션을 익히는 게 곧 IT 기술을 갖추는 것이었죠. 보안도 마찬가지였습니다. 특정 솔루션을 사용할 줄 아는 게 보안 기술력을 키우는 길이었던 것이죠.”

보안과 관련된 기술의 발전과 활용이 특정 기업 혹은 특정 솔루션 위주로 돌아간다고 했을 때 생기는 가장 큰 문제는 보안 전문가가 육성되는 ‘표준 교육 과정’ 혹은 ‘경력 코스’가 중구난방이 된다는 것이다. 이는 보다 다양한 배경을 가진 사람들이 보안 업계로 들어온다는 면에서는 장점으로 작용할 수도 있으나, 어린 청소년이나 청년들의 입장에서는 ‘도대체 어떻게 해야 보안 전문가가 될 수 있는가’라는 질문이 생길 수밖에 없게 된다. 그러면서 인력 수급은 더 어려워진다.

실제로 현재 보안 인력의 2/3이 35~54세 사이의 연령대인 것이 이번 조사를 통해 나타나기도 했다. 35세 미만 보안 전문가는 11% 정도에서 그쳤다. 또한 대학에서 보안을 전공한 보안 전문가는 꽤나 드물다는 것도 이번 조사를 통해 발견됐다. 현직 보안 전문가들 대부분은 비전공자로, 다른 분야에서 보안을 독학하여 익힌 것으로 조사됐다. “특히 데이터 분석에서 전문성을 쌓고자 한다면 기술력이 반드시 필요한 건 아닙니다. 이런 보안 하위 분야들이 있기 때문에 비전공자들도 독학으로 진입이 가능한 게 현재 보안 분야입니다.”

사람을 채용하고 관리해야 하는 인사부서의 ‘보안 이해도 부족’ 역시 보안 인재 확충에 적잖은 걸림돌이 된다는 의견도 나왔다. ‘정보 보안’ 분야는 세부적으로 나뉘고, 각 하위 분야마다 요구되는 전문성이 있는데, 인사부서가 이걸 인지 못하고 ‘보안 전문가’를 뽑으니 필요한 인력이 영입될 가능성이 낮아지고, 게다가 위에서 짚은 대로 내부 교육 기회도 흔치 않으니 퇴사 및 이직으로 이어진다는 것이다.

“돈이 없고 기업 사정이 어려워서 보안 전문가를 영입하지 못한다는 기업들은 그리 많지 않습니다. 보안에 대한 투자가 적다는 것도 철이 조금은 지난 말입니다. 지금은 사람이 없어서 보안이 약화되는 걸 눈 뜨고 볼 수밖에 없는 시기입니다. 사람이 없으니 기존 근무자들의 업무량은 늘어나기만 하고, 그러니 퇴사를 하게 되고, 사람은 더 모자라게 되죠. 이 악순환을 끊을 방법을 찾아야 합니다.” 브랜트의 설명이다.

“지금으로서는 교육의 기회를 제공하여 내부 인력을 보안 담당자로 전환시킴으로써 교육의 기회와 승급의 기회 모두를 증가시키는 게 필요합니다. 그게 아니면 큰 돈을 써서 외부 전문가를 모셔와야 하는데, 이렇게 할 수 있는 기업은 몇 되지 않죠. 그러면서 업계 전체는 학계와 함께 어린 학생들을 대상으로 보안 홍보 활동도 해야 합니다. 그래야 장기적으로 안정적인 인력 수급이 될 것입니다.”

3줄 요약
1. 젊은이들이 들어오지 않으니 보안 업계의 고령화 심각해지고 있음.
2. 정해진 경력 코스가 없기 때문에 어린 학생들에게는 더 접근하기가 어려운 분야.
3. 인력난, 당분간 나아지지 않을 것이기 때문에 기업들마다 새로운 HR 전략 마련해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>