• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

CIO 3000명 중 1/3이 “보안 전문가 없이 일한다” 2018.07.19

각종 표준과 규제, 보안 전문가 영입을 필수 요소로 만들어
문화, 비용, 능력의 3요소가 보안 전문가 영입 방해해

[보안뉴스 문가용 기자] 가트너가 3000명의 CIO들을 대상으로 연구를 실시해 그 결과물을 발표했다. 응답자의 95%가 사이버 위협이 증가할 것이라고 답했으나, 사이버 보안 전문가를 조직이 확보하고 있다고 답한 사람은 65%에 불과했다.

[이미지 = iclickart]


가트너가 발표한 보고서의 이름은 ‘2018 CIO 어젠더 서베이(2018 CIO Agenda Survey)’로, 98개국에서 활동하고 3160명의 CIO들을 대상으로 설문을 실시한 결과물이다. 이들이 속한 조직이 발생시키는 수익 및 공공 예산을 합하면 13조 달러에 달하며, IT 분야의 지출만 2770억 달러라고 한다. 적지 않은 돈을 가진 조직이라도 보안에 대한 염려를 놓을 수는 없다는 게 이번 보고서의 결론이기도 하다.

가트너의 연구 책임자인 롭 맥밀란(Rob McMillan)과 수석 연구 분석가인 샘 올리예이(Sam Olyaei)가 이번 보고서 작성을 주도했는데, “CIO들을 대상으로 한 연구는 매년 진행해온 것이지만, ‘사이버 보안 전문가를 조직 내에 두고 있는가’라고 물은 건 처음”이라고 말한다. 올리예이는 “1/3이 사이버 보안 전문가를 두고 있지 않다고 답한 것은 심각한 사안”이라고 말한다. “이번 설문에서는 특정 세부 분야의 보안 전문가를 하나하나 묻지 않고, ‘사이버 보안 전문가’라는 통칭만을 썼을 뿐입니다.”

그렇지만 마냥 비관할 것만은 아니다. 올리예이는 “65%가 ‘전문가를 보유하고 있다’고 답한 것만도 큰 발전”이라고 설명한다. “아마도 GDPR을 비롯해 여러 나라나 산업에서 보안 전문가 영입을 필수로 정하고 있기 때문일 겁니다.”

그런데도 보안 전문가를 두고 있지 않은 조직은, 왜 그런 걸까? 올리예이는 “문화, 비용, 능력이 가장 큰 요소”라고 꼽는다. “아직도 많은 곳에서 ‘보안’을 IT에 한정된 분야라고 인식하고 있습니다. 당연히 보안 사고의 책임도 IT 담당자가 져야 한다고 이해하고 있습니다. 또한 보안이 그리 우선순위가 높은 분야도 아닙니다. 이런 문화적인 요소가 아직 팽배한 게 현실입니다. 그러니 보안만을 할 줄 아는 보안 전문가를 둘 필요가 없는 것이죠.”

또 적지 않은 응답자가 설문을 보더니 “보안 전문가가 정말 필요하긴 한데, 찾을 수가 없다”고 토로하기도 했단다. “보안은 생각보다 복잡하고 세분화된 분야이기 때문에, 회사 상황과 현실에 맞는 사람을 딱 맞춰서 구하는 게 시장에 따라 굉장히 어려울 수 있습니다. 그런 사람을 구하는 것도 어렵고, 그 사람이 요구하는 돈을 맞춰주는 것도 어렵죠.”

그 돈이라는 게 어느 정도나 될까? 가트너가 이번에 조사한 바에 따르면 CISO의 평균 연봉은 25만 달러였다. “직원 한 명에게 25만 달러를 줄 수 있는 회사가 얼마나 될까요. 제1 금융권의 은행이나 국제적인 제약 회사 정도? 반면 금융조합 같은 곳에서 25만 달러 연봉 맞춰주기는 쉽지 않을 겁니다. 보안 전문가 영입이 꿈만 같은 일인 산업과 회사가 거의 대다수일 겁니다.”

문제는 더 있다. IT 기술이 계속해서 발전 중이고 따라서 인공지능이나 클라우드, 사물인터넷과 같은 신기술에 대한 이해도까지 갖춘 보안 전문가를 찾아야 한다는 것이다. 그렇지 않으면 조만간 다시 한 번 사람을 찾거나 보안 전문가를 두 명 고용해야 하는 일이 발생할 테니 말이다. 그러나 그런 전문가들은, 회사가 몸값을 걱정하기 전에, 구인시장에서도 매우 드물다. “그런 신기술을 다 이해하고 있는 보안 전문가가 있기나 할까요? 아직은 없다고 봐야죠. 필요하긴 한데 말입니다.”

그래서 회사들은 사이버 보안 기술에 투자를 늘리고 있는 분위기다. 응답자의 35%가 디지털 보안 장치를 도입해서 사용 중에 있다고 답했고 36%는 현재 새로운 보안 솔루션을 시험 중에 있다고 답했다. 사람이 비싸고 드무니 기술로 눈을 돌리게 되는 것이다.

또한 금융권이 보안과 신기술 모두에 관심이 대체로 많았다고 가트너 연구원들은 말한다. “금융 조직들은 위협 헌팅, 사기 탐지 기술, 공격자를 속이는 기술, 오픈소스 첩보 등 굉장히 많은 보안 서비스를 활용하고 있습니다. 심지어 다크웹 모니터링을 한다는 곳도 있었습니다. 서드파티 관리는 이미 금융권에서 강조되고 있는 부분이기도 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>