CISO들의 스트레스가 극에 달하고 있다. 팬데믹으로 인해 촉발된 재택 근무 환경이나, 러-우 전쟁으로 인한 사이버전 행위의 급증 때문이 아니다. 보안이라는 일 자체가 잘못된 기대와 대우를 받고 있기 때문이다. 근본적인 변화가 없다면 우리는 보안 인재들을 대거 잃을 수 있다.

[보안뉴스 문가용 기자] 향후 약 2년 동안 사이버 보안 담당 부서에서는 인력과 관련해서 꽤나 여러 가지 일이 벌어질 것이라고 가트너가 예측했다. 보안 담당자들의 번아웃을 시급히 해결해 주지 않는다면 말이다. 가트너는 2025년까지 사이버 보안 분야 리더들의 절반 가까이가 직장을 바꿀 것이라고 보고 있으며, 그 절반인 25% 정도는 아예 보안 업계를 떠날 수도 있다고 한다.


가트너의 분석가 딥티 고팔(Deepti Gopal)은 “CISO들은 참기 힘든 정도의 스트레스에 노출되어 있다”고 말한다. 보안을 유지하는 것도 그렇지만 보안 사고가 나면 제1선에서 책임을 져야 한다는 부담감이 CISO들을 괴롭히고 있다고 한다. 이는 CISO의 이직으로 이어진다는 점에서도 위협적이지만 다른 곳으로 적을 옮기지 않더라도 업무 효율을 능률도 저하시키기 때문에 기업으로서는 손해가 될 수밖에 없다는 게 고팔의 설명이다.

“CISO들은 항상 누군가의 공격을 기다리면서 방어 자세를 유지해야 하는 입장에 있습니다. 그 공격이라는 게 어디서부터 어떤 형태로 올지도 모른 채 말이죠. 게다가 그 불안과 노력의 결과는 단 두 가지입니다. 아무 일도 일어나지 않거나, 해킹을 당하거나. 전자는 일반적으로 너무나 당연하게 받아들여져서 보안이 쓸모 없는 것처럼 느껴지게 만들고, 후자는 CISO가 큰 책임을 지도록 만듭니다. 이런 심리적 압박 속에서 가장 효율적인 결정을 내릴 수 없습니다.”

지속되는 인재난과 번아웃
사이버 보안 산업은 그 어느 나라에서나 ‘인력이 충분히 늘어나지 않은 채’로 유지되고 있다. 이 현상은 장기화 되고 있기까지 한다. 통계를 내는 주체에 따라 숫자가 조금씩 달라지고 있기는 하지만 대략 300만~400만 명이 보안 업계에 더 있어야 한다는 게 중론이다. 테크 분야에서는 연이은 대량 해고로 일자리가 모자란 게 현재 상황인데, 사이버 보안에서만큼은 반대의 현상이 나타나고 있는 것이다. 올해 보안 담당자들을 해고할 계획을 가지고 있는 업체는 10%도 되지 않는 것으로 조사되고 있기도 하다.

직업으로서의 보안 담당자에게는 좋을 수밖에 없는 현상이다. 하지만 그런 현상 속에서 실제로 매일 업무를 수행해야 하는 CISO들로서는 전혀 좋은 소식이 아니다. 한 사람이 두세 사람의 몫을 담당해야 한다는 소리이기 때문이다. 이것이 번아웃으로 이어지고, 직업에 대한 불만족 속에서 출퇴근을 하게 만든다. 직업 때문에 번아웃을 겪고 있다고 응답하는 보안 전문가는 어떤 조사에서나 절반 이상으로 나타난다.

사이버 보안에서 ‘번아웃’이라고 하면 주로 ‘너무 많은 경보’라거나 ‘업무의 불균형’과 같은 주제에서 등장하는 이야기다. 그것도 관제센터에서 근무하는 사람들에 대한 이야기일 때가 많다. 25%의 CISO들이 보안이라는 업계에서 영원히 떠나고 싶다는 조사 결과가 나온 건 처음이다. 이 조사 결과는 마그넷포렌식(Magnet Forensic)에서 진행하고 집계해 발표한 것이다.

CISO의 만족도가 낮은 이유
CISO들은 왜 떠나고 싶어할까? 너무 많은 경보에 시달리는 건 주로 CISO의 통솔 아래 움직이는 직원들이지 CISO들은 아닌데 말이다. “CISO들에겐 또 다른 업무 부담감이 있죠. 일단 경영진들과 고객들의 기대치가 너무 높습니다. 아무런 사고도 일어나지 않는 게 그들 모두가 바라는 것이죠. 그런데 이게 보안의 시선으로 보자면 대단히 높은 기준입니다. 모든 게 맞아떨어져야 나타날 수 있는 그런 결과라는 것이죠. 항상 최고의 목표를 달성해야만 만족하는 사람들을 상사와 고객으로 두고 있다는 건 상상도 못할 스트레스가 됩니다. 심지어 업무에 사용할 도구도 항상 부족한 상황에서 말입니다.” 고팔의 설명이다.

게다가 아무 일도 일어나지 않는 상황이라는 최선의 결과를 냈을 때, 그것을 모두가 당연한 것으로 받아들인다. 보안 담당자라면 당연히 그렇게 해야 되는 것이라고 생각하고, 그런 생각으로 보안을 바라보니 별 다른 지원을 하지 않게 되고, 단순 보안을 넘어 각종 위험 관리의 필요성을 아무리 설파해도 들어주지 않는다. “그러니 CISO들은 규정만 겨우 지키는 일만 하게 됩니다. 더 이상적이고 보람 찬 일을 할 수가 없게 되죠. 이것이 불만으로 쌓이고 쌓이게 됩니다.”

사이버 보안 인력 관리 전문 업체 사이브라이즈(Cybrize)의 창립자 다이아나 켈리(Diana Kelley)는 “그렇지만 CISO들이 경력을 포기할 생각을 하도록 만드는 결정적인 요인은 공포”라고 말한다. “보안 사고에 한 번 휘말려들면 쌓아왔던 모든 것이 한 번에 날아갈 것을 두려워 할 수밖에 없는 위치에 있습니다. ‘전에 있던 회사에서 보안 사고가 나서 해고됐다’는 꼬리표는 영원히 CISO들을 따라다니며 두 번째 기회를 얻기란 하늘의 별 따기보다 어렵지요. 심지어 사고에 따라 법적인 책임을 물어야 할 때도 있습니다.”

여기에다가 봉급이라는 부분도 일정 부분 CISO들을 실망시키고 있다고 켈리는 덧붙인다. “CISO를 C레벨로 승격시켜야 한다는 주장이 산업 내에서는 오래 전부터 나왔는데, 현장에서 실제 CIO와 같은 레벨로 올라간 CISO를 본 적은 거의 없습니다. 그런 경우는 매우 드뭅니다. 그러다 보니 C레벨 급의 봉급을 받지도 못합니다. 매체들에서는 CISO와 보안 담당자들의 봉급이 매우 좋다는 식의 기사들이 자꾸만 나오는데, 이건 극소수의 이야기입니다. 일반적인 CISO들 대부분 매체가 말하는 수준에 미치지 않는 급여를 받고 있습니다.”

돈이 많고 적고를 떠나, 기대가 채워지지 않는다는 면에서 치명적으로 작용한다고 켈리는 설명한다. “그런 뉴스들을 접하면 CISO가 되어서 큰 급여를 받을 수 있을 거라고 기대하게 되죠. 이게 어려움을 견디는 원동력이 될 수도 있습니다. 하지만 기껏 CISO에 올라갔더니 현실은 다를 때, 얼마나 실망이 크고 회의감이 들까요? 다 그런 건 아니겠지만, 이게 실망의 한 요인이 될 수 있음은 사실입니다. 새벽 3시에 일어나 상황 처리하고, 토요일에도 출근해 시스템 업데이트를 한 대가가 사실 별 거 아니었다면 누구라도 직업을 포기하고 싶을 겁니다.”

3줄 요약
1. CISO들 중 1/4이 보안 업계를 떠나고 싶어 함.
2. 충족시켜야 하는 기대치는 높고, 사용할 수 있는 자원은 부족하고.
3. 심지어 실제 현장에서 CISO가 받는 대우도 좋다고 하기 힘듦.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>