Part 2

정보보호 전문가 및 업계의 경향

올해 연구는 100개국 이상의 정보보호 전문가들의 광범위한 한 단면을 끌어냈다.

응답자들은 전 세계의 세 개 주요 지역(미 대륙-41%, EMEA-25%, 아시아-태평양-34%)에 분포하고 있다. 올해 응답자 중 아프리카, 라틴 아메리카, 오세아니아(호주, 피지, 뉴질랜드, 프랑스령 폴리네시아, 괌 포함)의 응답자가 전체 응답자의 17%를 차지했다는 점이 또한 흥미롭다. 이들 지역은 정보보호 분야의 미래 성장 후보라 할 수 있다.

설문에 참여한 보안 전문가들은 보안 분석가부터 최고보안책임자(CSO)까지 다수의 직무와 직책을 겸하고 있었다. 그림 1은 전체 응답자의 약 20%가 임원직에 있음을 보여준다(최고정보책임자, 최고정보보호책임자, 최고보안책임자, 최고리스크책임자). 또 다른 20%는 IT 책임자 또는 관리자라고 밝혔으며 그 외는 보안 실무자, 즉 보안 엔지니어, 보안 관리자, 혹은 기업의 정보보호 직무와 관련된 직무만 담당한 위치에 있다고 답했다. 각각의 응답자들은 어떤 자격으로든 보안 관리에 대한 기술 선택에서부터 담당자 채용에 이르기까지 정보 보안 결정과정에 관련되어 있다.

올해 설문에 참여한 정보보호 전문가들은 모든 규모의 기업을 대표하고 있다. 소규모 기업(1~499명의 직원)은 전체 응답자의 반 이상(58%)을 차지했다.

500명 이상, 10,000명 이하의 직원을 둔 기업은 응답자의 약 1/3을 차지했으며, 10,000명 이상의 직원을 고용하고 있는 회사들은 10%를 조금 넘었다(그림 2 참조). 연간 총수익도 정보보호 전문가들을 고용하는 기업의 유형에 대한 전망을 확보하기 위한 또 하나의 측정 기준이다. 응답자의 7%가 연간 100억 달러 이상의 총수익을 내는 기업에 소속되어 있었다.

프로스트 앤 설리반은 소규모 기업에서 근무하고 있는 수많은 전문가들이 업계에서 관찰되는 몇 가지 경향을 반영하고 있다고 보았다. 첫째, 모든 사업체들이 지속적으로 온라인을 갖고 있기 때문에 고객 데이터나 자신들의 직원들을 보호하고 있는 모든 규모의 기업들은 보안에 유의해야 한다는 것을 알고 있다. 둘째, 모든 규모의 기업들에 영향을 끼치는 규제 컴플라이언스 법안의 수가 특히 지난 2년간 증가했다. PCI DSS와 같은 명령은 포괄적인 범위일 뿐만 아니라 난생 처음 보안 과제를 처리하고 있는 무수한 기업들에 영향을 끼친다.

수직적 관점에서 정보 기술과 전문적인 서비스는 정보보호 전문가를 고용하고 있는 업계 중 상위 1,2위를 차지하고 있다(그림 3 참조). 특정 업계 규제 명령의 잇따른 증가와 자금이나 직원과 같은 리소스에 대한 접근의 변화는 모든 업계와 기업들에게 리스크 대비 비용의 올바른 균형과 함께 정보보호 책임을 다하도록 끊임없이 강요한다. 리스크와 비용의 균형은 보안의 책임이 기업의 운영 측면으로 번지면서 유지하기가 더욱 어려워지고 있다.

단기목표 달성

정보보호 전문가들은 새로운 기술을 찾는데 대부분의 시간을 보낸다고 보고했다. 여러 면에서 이것은 정보보호 전문가들에게 기업이 도입할 계획인 새로운 기술을 보호하는 일이 주어진다는 것을 반영한다. 그림 4는 응답자들이 보고한 그들의 소속 기업이 향후 12개월 내에 도입할 예정인 기술들이다.

여러 지역에서 구현되고 있는 일반적인 보안 기술들은 무선 보안, 생체인식, 침입 방지, 암호화, 재해 복구/비즈니스 연속성이었다. 프로스트 앤 설리반은 이들 초점 분야(표 2 참조)가 대부분의 기업들의 가장 큰 취약성을 나타내는 것으로 보았다.

무선 보안과 생체인식 솔루션의 도입에 관한 내용은 지난해의 결과와 일치했다. 무선 접근 포인트와 모바일 장치의 수는 지속적으로 증가하고 있으며 특히 미(美) TJX의 침해와 같은 사건을 본보기로 삼아 기업들은 더욱 무선 보안에 신경 쓰고 있다. 생체인식에 대한 관심은 업데이트되고 개선된 접근 통제, 즉 기업의 정보 자산과 고객 데이터 보호하기 위한 적절한 수준을 제공에 관한 기업의 변함없는 의무를 보여준다. 규제 컴플라이언스에서 프라이버시가 더욱 강조되고 있기 때문에 생체인식에 대한 관심의 증가는 놀라운 일이 아니다.

솔루션을 효과적으로 도입하기 위해서는 기업들은 반드시 기업의 보안 목표를 충족시키는 직원에 대한 충분한 비용을 지속적으로 지불해야만 한다.

미 대륙과 EMEA의 응답자들은 직원에 관한 정보보호 지출은 2006년과 비교했을 때 2007년에는 고정적인 상태였다고 답했다. 반면 아태지역의 응답자들은 전체적으로 정보보호 지출의 증가를 예상했다.

이것은 기업의 보안 전략을 수행하고 사업 목적을 달성하기위해 필요한 자격을 갖춘 보안 전문가들을 끌어들이고 고용하며 유지하기위한 모든 비용을 포함한 것이다. 또한 직원들에게 주어진 모든 내·외부적인 보안 관련 훈련도 포함되었다.

그림 5는 수년간의 경력, 직무 역할, 지역, 기업의 규모를 기반으로 2006년 이후의 보안 직무 요건사항에 대한 투자의 지역적 차이를 강조하고 있다.

지역적으로 미 대륙과 아태지역의 응답자 31%는 지출이 증가하고 있다고 답했고 EMEA의 응답자 27%도 증가라고 답했다. 이들 세 지역 모두 수많은 응답자들은 교육 비용지출은 2006년과 동일하다고 지적했다(미 대륙과 아태 지역은 거의 50%, EMEA는 60% 이상). 5억 달러 이상, 100억 달러 이하의 총수익을 거두는 기업에서 5년에서 9년 정도 근무한 전문가들의 2007년 교육비 총계가 가장 큰 증가를 보였다.

전문가들은 매우 낙관적으로 전망하면서 2008년에는 교육 예산이 증가할 것으로 내다봤다(그림 6참조). 10년 이하 경력의 응답자들의 60%가 교육비 증가를 예상했다. 또한 운영 직무를 맡고 있는 응답자의 51%도 교육 예산의 증가를 예상한다고 답했다. 미 대륙과 아태 지역의 응답자의 약 60%도 향후 12개월 내로 훈련 및 교육이 증가할 것으로 예측했다.

끝으로 연간 100억 달러의 총수익을 보유하고 있는 회사에서 근무하고 있는 응답자들도 증가를 예측한다고 답했다. 이러한 낙관적인 결과는 프로스트 앤 설리반의 또 다른 연구에서 관찰했던 것을 입증한다. 즉, 보안은 앞으로도 대형 기업뿐만 아니라 모든 규모의 기업들에 있어 중요하다는 것이다. 또한 대부분의 기업들이 보안을 추가적이고 지속적인 교육이 필요한 전문 기술로 인식하기 시작하고 있는 것으로 보인다.

<에디터·김동빈(foreign@boannews.com)>

자료제공·프로스트 앤 설리반(Frost&Sullivan), (ISC)2

(The 2008 (ISC)2 Global Information Security Workforce Study)

[정보보호21c 통권 95호(info@boannews.com)]

        <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>