과도한 업무와 책임, 하지만 받침이 되지 못하는 자원...스트레스 늘어나
대기업 기피하기 시작하는 해외 CISO들...연봉은 최소한의 예의일 뿐

[보안뉴스 문가용 기자] CISO의 1/4이 업무에 대한 중압감 때문에 심적, 신체적 고통을 겪고 있다는 연구 결과가 발표됐다. 가장 큰 스트레스의 요인이 되는 건 직업 자체의 불안정성(언제 해고될지 모르는 불안감), 부적절한 예산과 자원, 회사 임원들로부터의 지원 부족인 것으로 나타났다.


도메인 이름 등록 서비스 업체인 노미넷(Nominet)은 최근 영국과 미국의 중견기업 및 대기업 CISO 408명을 대상으로 연구를 진행했다. 응답자의 91%가 중간급 및 높은 수준의 스트레스를 받았다고 답했다. 그 중 26%는 이 스트레스 때문에 정신적 및 신체적 장애를 경험했다고까지 답했다. 17%는 스트레스 때문에 음주양이 늘었거나 약을 먹기 시작했다고 답했고 23%는 사적인 관계마저 망가지기 시작했다고 답했다.

노미넷의 조사에 의하면 CISO들 사이에서 일주일에 40시간 근무는 거의 지켜지지 않고 있는 것으로 나타났다. 22%는 “사실상 1분 대기조에 가까운 형태로 근무하고 있다”고 답했고, 미국 CISO들 중 90%는 “최소 2주 동안 휴일 없이 일하는 게 예사”라고 답하기도 했다.

기업전략그룹(Enterprise Strategy Group, ESG)의 수석 분석가인 존 올트식(Jon Oltsik)은 “전혀 놀랄 것이 없는 결과”라고 말한다. “어느 조직에서나 CISO에게 요구되는 역량과 결과는 빠르게 늘어나는데, 공급되는 자원은 전혀 늘어나지 않거나 늘어나도 미비한 수준에 그치고 있습니다.” 임원진들은 매번 더 많은 책임을 CISO에게 부여하지만 사람을 늘려주거나 프로세스의 자동화를 제공하거나 도구를 최신화시켜 주는 경우가 거의 없다는 것이다.

ESG도 노미넷과 비슷한 연구를 진행했는데, 응답자의 70%가 “조직을 보호하는 데 있어 스킬 부족이 가장 큰 문제”라고 짚었다. 25% 정도는 “스킬 부족 때문에 현재 인원들의 번아웃이 찾아오고 있으며, 결국 이직으로 이어진다”고 답했다. 올트식은 “많은 CISO들이 대기업을 점점 기피하고 있다”며 “CISO로서 권한이 보장되는 작은 조직이나 ‘가상 CISO’로 가는 경우가 많아졌다”고 말한다.

노미넷의 연구 결과에도 올트식의 이러한 주장이 보이는 듯한 내용이 포함되어 있다. 57%의 응답자가 “보안을 강화할 수 있는 방법을 알고 있어도 자원과 지원이 부족해 도입하지 못해 허탈하다”고 답했으며, 63%는 “괜찮은 사람을 발견해도 자원과 지원이 부족해 영입하지 못할 때 무기력함을 느낀다”고 답했다. 직원으로서 이런 느낌을 가질 경우 일을 제대로 하고 싶은 동기와 열정이 조금씩 깎여 나간다.

노미넷의 CEO인 러셀 하워스(Russell Haworth)는 “CISO가 싸워야 하는 환경(즉 위협들)은 계속해서 변하고 커지는데, 그 싸움을 위한 지원이 모자라니 아무리 열심히 해도 구석에 몰리는 느낌만 들고, 그게 무기력감과 스트레스가 되는 것”이라고 말한다. “공격 기법이 자꾸만 변하는데, 방어체제가 그대로 남아서 효력을 발휘할 수는 없습니다. 이걸 CISO말고는 아무도 몰라주는 겁니다.”

기업들이 관리하고 있는 데이터셋은 보통 ‘방대하다’는 것으로는 설명이 안 될 정도로 큰 규모다. 트래픽도 엄청나다. 따라서 악성 행위와 관련된 트래픽도 큰 부분을 차지한다. 하워스는 “많은 데이터와 트래픽을 검사하는 것도 그렇고, 많은 악성 트래픽을 걸러내는 것도 그렇고, 사실 전부 자원이 드는 일”이라고 말한다. “여기서 말하는 자원은 주로 사람입니다. 인재 부족 현상도 CISO의 스트레스를 가중시키는 요인 중 하나입니다.”

이런 CISO들을 도와줄 수 있는 건 조직의 운영진들이다. 하지만 CISO들 중 임원진과 이야기가 통한다고 느끼는 건 얼마 되지 않는 것으로 알려져 있다. 노미넷의 조사에서 응답자의 20%가 “임원진이 보안에 관심이 없고, 방해거리로 여긴다”고 답했다. “보안을 수익 사업부와 같은 가치로 대우해준다”는 응답을 한 CISO는 52%였다. 32%는 “임원진의 태도를 보면 언제 해고당해도 이상하지 않을 것 같은 느낌이 든다”고 답했다.

하워스는 “보안이 중요하다는 차원에서 보안을 존중해주는 임원진은 생각보다 많을 것”이라고 말한다. “하지만 보안을 사업의 전략적 요소로 인식하는 사람은 거의 없을 것입니다. 이 두 가지 생각의 차이 사이에서 CISO들이 스트레스를 받고 있는 것으로 보입니다. 다른 사업 전략에 임원진이 쏟는 관심과 투자를 생각해보세요. 보안도 그런 투자를 받기 시작하면 CISO들의 스트레스가 줄어들 것입니다. 지금은 보안이 중요하니까, 존중하는 CISO들이 알아서 맡아주세요, 하는 수준에 있죠.”

가트너의 분석가인 아비바 리탄(Avivah Litan)은 “노미넷의 연구 결과에서 CISO를 ‘보안 전문 업체’로 대체해도 말이 된다”고 말한다. “각종 공격과 사건들을 보면 보안에 대한 투자가 늘어나야 하는데, 사용자 기업들이 보안업체를 찾아 돈을 내고 파트너십을 맺는 건 아까워하죠. 그래서 내부 CISO나 IT 담당자들만 닦달하는 거고요. 보안의 중요성을 조직과 기업의 임원들도 인정하고는 있지만, 아직 단시안적입니다.”

리탄은 “그렇기에 CISO들이 지고 있는 짐이 너무 무거워질 수밖에 없다”고 말한다. “혹자는 그래서 CISO들에게 연봉을 많이 주고 있다고 주장할 수 있습니다. 하지만 돈으로 모든 걸 보상할 수 있다거나, 돈만 주면 얼마든지 부릴 수 있다고 생각하는 건 어떠한 직군에서건 올바른 접근법이 아닙니다. CISO들이 받는 연봉이 높은 건, 그들이 받는 스트레스 대한 최소한의 예의일 뿐입니다.”

3줄 요약
1. CISO들에게 요구되는 건 많고, 지원되는 건 적다.
2. 이는 스트레스로 이어져 CISO들은 요즘 정신적, 신체적 고통을 심하게 겪고 있다.
3. 보안도 수익성 사업을 위한 전략의 하나로 보는 시각이 부족한 것이 근본 문제.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>