여러 계층과 방면에서의 공격에 대한 방어 때문에 생긴 인력난

‘보안’은 시장원리를 그대로 대입하기에는 조금 다른 성격의 산업

[보안뉴스 문가용] 보안 사업에 관심이 있었다면 지금이 딱 시작할 때다. ‘나 보안인이오’하기 낯 부끄럽게 하는 사고들이 매일 같이 터지고 있고 오래되다 못해 곰팡이까지 슨 듯한 디도스 공격은 지금 이 순간에도 더 커져만 가고 있다. 안전하다고 믿었던 플랫폼들에 숭숭 바람구멍이 발견되는가 하면, 피 냄새를 맡은 매체들은 이를 대서특필한다. 보안 시장이 죽으려야 죽을 수 없는 때인 것이다. 그런데 왜 우리는 늘 미간을 찌푸리고 있는가?

시장의 수요는 커져만 가는데 우리가 ‘보안’을 파는 방법이 구식이기 때문이다. 2010년부터 보안의 기술은 눈부시게 발전했다. 그리고 그때는 그런 보안 관련 기구나 툴이 새롭게 출시될 때마다 잘 팔리기도 했다. 방어에는 여러 측면과 층위가 존재한다는 개념인 ‘계층방어’의 일부만 충족시켜도 시장에서 나머지 부족한 계층을 채워주는 제품이 존재했기 때문이다. 여러 가지 제품 혹은 소프트웨어를 구비하면 더 안전해진다는 개념이 뒷받침되어 있었다. 개발자로서는 굳이 ‘방어’ 혹은 ‘안전’의 총체적인 면을 고려할 필요가 없었던 것이다. 그래서 포리스터(Forrester)의 분석가인 릭 홀란드(Rick Holland)는 이를 두고 “계층 소비”라고 비꼬았다. 투자 대비 최소의 이득을 거두기 위한 겹겹의 장치들일 뿐이라는 의미였다.

그런데 요즘은 어떤가? 비슷한 개념으로 제품을 하나 마련해 CSO에게 보여준다면 어떤 반응이 나올까? “와, 정말 좋은 제품이군요. 그런데 구입하기는 좀 곤란합니다. 그걸 운영할 사람이 지금 회사에 없어서요.” 나라와 국경도 없이 퍼지고 있는 전염병, 보안 인력 부족 때문이다. 현재 시장에는 보안을 강화할 혹은 담당할 인원의 품귀현상이 벌어지고 있다. 지난 5년간 정보보안 분야에서 실직율은 2% 이하였다. 심지어 0%을 찍을 때도 있었다.

수요는 높은데 공급이 낮아지면 어떤 일이 발생하는가? 가격이 올라간다. 보안 인력의 몸값이 치솟기 시작했다. 2014년 통계에 의하면 미국의 보안 전문가들이 받은 연봉은 평균 십 2만 달러였다. 소프트웨어 개발자의 평균 연봉보다 50% 이상 높은 수치다. 간호사들에 비하면 300%를 웃도는 금액이고 말이다. 그러니 보안 기술을 가진 사람들은 더 높은 연봉을 바라게 되고, 충분하지 못하다고 생각하면 자리를 박차고 나가 사업체를 차리고 있다. 여기저기서 스카웃 당하는 것도 부지기수다. ESG의 존 올트식(Jon Oltsik)은 2015년을 전망하며 첫 손에 “인력 부재로 인한 악영향을 경험하는 한 해가 될 것”을 꼽았다.

물론 시장의 보이지 않는 손이 이를 자연스럽게 수정해나갈 것이다. 연봉이 높으니 사람이 몰릴 것이고, 경쟁이 심화되고, 수요와 공급의 비율이 맞춰지는 식으로 말이다. 그러나 보안은 이런 보통의 시장원리를 적용하기에는 조금 애매한 분야다. 보안은 기술이 아니라 마음가짐이며 생활습관이기 때문이다. 더 거창하게 말해 시대정신이라고도 볼 수 있고 종교에 가까운 경우도 있다. 그런데 문제는 이런 ‘마음가짐’을 갖춘 사람은 발견하기도 고용하기도 어렵다는 것이다. 시인이면서 코딩도 잘 하는 사람을 찾기가 무척 어려운 것처럼 말이다. 얼마나 어렵냐면 최근 마스터카드(MasterCard)가 자신들의 고객사인 나이키에게 5백만 달러를 주고 사이버 보안 전문가 두 명을 영입했을 정도다.

그렇다면 어떻게?

이런 상황에서 CSO는 무엇을 해야 하는가? 닷컴의 몰락과 같은 일이 발생하지 않는 한 떠나버린 보안 전문가들이 돌아올 리는 없다. 일손이 없으니 일거리를 줄이는 수밖에 없다. 그래서 똑똑한 CSO들은 보안 플랫폼을 통합하기 시작했다. 그걸 알아챈 개발사들 역시 통합된 플랫폼들 중 가장 널리 사용되는 것에 맞추어 제품을 내놓았다. 방화벽 제조사들이 ‘차세대 방화벽’이라고 내놓은 제품들은 한 마디로 말해 네트워크 방화벽과 아웃바운드 웹 보안을 하나의 플랫폼으로 합쳐놓은 것이다. 그렇게 되니 침입탐지 시스템 제조업체 역시 이런 방화벽의 움직임을 따라야 했다. 시장이 점점 하나의 ‘통합’을 향하고 있는 것이다.

사용자 기업들의 움직임도 사뭇 비슷하다. 편리가 아니라 보안을 위해 클라우드 사용을 늘리고 있는 것이다. 그래서 보안 인재를 고용해 클라우드를 사용하고 있는 수많은 기업의 데이터를 보호해야 하는 건 클라우드 업체의 몫이 되었다. 클라우드는 비교적 신개념에 속한다. 오래된 기업들이 가지고 있는 네트워크와는 근본부터 다르다. 그러나 사용자 기업이 클라우드로 모이다보니 그런 차이를 메울 필요가 없어졌다. 기존의 네트워크와 굳이 통합하거나 고려할 필요가 없어지니 그 오래된 시스템에 있던 수많은 취약점이 자동으로 해결되기도 했다.

‘계층방어’를 해야만 안심할 수 있는 사람들이 가까운 시일 내에 ‘통합을 통한 보안’을 받아들일 거라고 생각하지는 않는다. 그러므로 인재난은 당분간 계속될 것이다. 그리고 이는 더 빠른 통합과 더 높은 클라우드 사용률이라는 결과로 이어질 것이다. IT 기업들은 새로운 기술을 개발해야 할 압박에 시달릴 것이고 말이다. 그리고 그로 인해 ‘계층방어’라는 개념은 점점 없어질 것이다. 그리고 그때부터 보안은 본격적으로 변할 것이라고 본다.

“사이트나 제품, 혹은 서비스를 쪼개서 그 안을 속속들이 들춰낼 수 있는 기술을 가진 사람이 그 어떤 툴보다 귀한 때입니다. 혹시 그런 사람이 회사에 있습니까? 당신은 행운입니다. 절대 놓치지 마십시오.” FBI 인프라가드(FBI Infragard) 행사에서 강연자로 나선 켄 아타나시우(Ken Athanasiou) 오토네이션(AutoNation) CSO가 강대상에서 한 말이다. 하지만 인력난을 해결할 수 있는 실제 변화 - 통합보안 - 가 발생하려면 아직 시간이 좀 남았다. 그때까지는 이 시기의 변화를 하루하루 파도타기 하는 수밖에 없다.

글 : 데이비드 홈즈(David Holmes)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>