• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

별 만큼 따기 어려운 보안 전문가, “현장 경험이 더 중요” 2017.01.20

보안 전문가, 찾기도 어렵고 붙들어 두는 건 더 어려워
이스라엘과 영국, 필요한 보안 전문가의 1/3도 확보 못해

[보안뉴스 문가용 기자] 보안 전문업체인 트러스트웨이브(Trustwave)에서 최근 보안 전문가를 향한 기업들의 목마름을 정식으로 연구, 조사했다. 그리고 보고서를 발표했는데, 그 이름은 ‘돈, 생각, 대중 : 사이버 보안의 자원적 한계(Money, Minds and the Masses : A Study of Cybersecurity Resource Limitations)’다. 이 보고서를 위해 작년 8월부터 9월까지 147명의 중소 및 대기업 고위급 IT 전문가들을 만나 인터뷰를 진행했다고 한다.


그 결과 가장 많은 고위급 임원들이 “실력 있는 IT 전문가를 찾기가 힘들다”고 대부분 답한 것으로 밝혀졌다. 57%가 “필요한 실력과 경험을 갖춘 적임자와 연이 닿는 게 가장 힘들다”고 답했다. 1/3 이상은 “적임자를 찾았다고 해도 계속해서 회사에 붙잡아두는 건 더 힘들다”고 답하기도 했다.

실력을 갖춘 사람을 찾기 힘들다는 건 가장 위협적인 최신식 공격 방식에 대응할 수 있는 사람이 부족하다는 뜻이다. 응답자의 60% 이상이 오늘날의 복잡한 보안 문제에 제대로 접근할 수 있는 사람이 보안 부서의 반도 되지 않는다고 답했으니, 이 문제가 얼마나 심각한지 알 수 있다. “우리 보안 팀은 APT 및 제로데이 공격에도 안정적인 대처가 가능하다”고 답한 이는 10%도 되지 않았다.

그래서 그런지 ‘교육 과정보다는 현장 경험이 중요하다’고 답한 사람이 83%나 되었다. 소지한 자격증이나 좋은 학교를 나왔다는 사실보다 현장에서 얼마나 근무하고 어떤 일을 했는지에 더 관심이 많다고 한 것이다. 신입사원을 뽑을 때 가장 중요한 게 자격증이라고 답한 이는 25%, 졸업증은 23%, 해킹 대회 등에서 거둔 성적을 꼽은 사람은 18%였다.

트러스트웨이브의 수석 부회장인 크리스 슐러(Chris Schueler)는 “보안 전문가들 중 상당 수가 해당 학과 졸업증을 가지고 있지 않다”고 말한다. “그렇다고 대학 졸업장이 필요 없다는 건 아닙니다. 입사를 위한 필수항목이 아니라는 거죠. 게다가 해당 학과를 전공했다는 게 현장에서 의사소통을 돕는 것 이상의 의미를 가지지는 않는 것 같습니다.”

ISACA의 이사인 에디 슈와츠(Eddie Schwartz) 역시 경험을 더 중시하는 경향이 보인다고 설명한다. “새해를 맞이하는 많은 기업들의 고민거리가 1) 보안 전문가 찾기와 2) 기존 보안 전문가가 이직을 못하도록 하는 겁니다. ‘우리 조직’의 ‘우리 네트워크’에서 장시간 경험을 쌓아온 보안 전문가는 시장에 거의 없죠. 그러니 기업 입장에서는 이런 사람들이 떠나면 안 되는 겁니다. 이런 사람들이 회사에 계속 남아있도록 하기 위해서는 연봉 인상 등 보다 실질적인 혜택을 주어야 합니다.”

위 트러스트웨이브의 연구에서 36%의 응답자가 “IT 보안 업계의 이직률이 다른 IT 분야의 이직률보다 높다”고 응답했다. 슐러는 “기업 입장에서 보자면 ‘적임자’는 구하기도 힘든데, 잘 떠나기까지 하는 부류”라며 “한 사람 찾았다고 구인을 그만 둘 게 아니라, 계속해서 구직 시장을 살펴 필요한 전문가를 확보해두는 게 안전하다”고 조언한다.

보안 관리자들에게 있어 예산도 인력만큼이나 골치 아픈 부분이었다. 위 설문에서 약 25%의 응답자들만이 “보안 예산 운용에 대한 완벽한 결정권을 가지고 있다”고 답했다. 70%는 예산 때문에 선임 및 고위 임원진들과 말다툼을 벌인 적이 종종 있다고 말하기도 했다. 이는 30%의 응답자가 “회사는 IT 보안 부서가 하는 일을 잘 모른다”고 답한 것과 연관이 없지 않은 부분인 것으로 보인다.

세계적으로 봤을 때 보안 인력이 가장 극심한 나라는 이스라엘이다. 최근 발표된 ‘세계 사이버 보안 인력 부족 현황’ 보고서에 의하면, 이스라엘은 필요한 보안 전문가의 28.4%만이 채워진 상태다. 70%가 넘는 공석이 현재 존재한다는 것이다. 영국 역시 사정이 비슷해 현장의 보안 전문가가 33%가 채 되지 않는다고 한다. 그밖에 브라질, 독일, 이탈리아에서도 상당히 심각한 수준으로 보안 인력이 부족한 상태다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>