[IT 소식] 모자라고 또 모자란 사이버 보안 인력, 어떻게 채워야 하나

모자라고 또 모자란 사이버 보안 인력, 어떻게 채워야 하나

제대로 된 사이버 보안 인력을 찾는 게 점점 어려워지고 있다. 그래서 여러 기업들이 내부로 눈을 돌리고 있는데, 그런 과정에서 탄생한 여러 채용 전략들이 새롭다.

[보안뉴스 문정후 기자] 빅테크라고 하는 아마존, 구글, 마이크로소프트, 메타 등에서 대량으로 직원들을 해고하고 있지만, 여전히 좋은 실력을 갖춘 IT 인력들은 모자라기만 한 상황이다. 특히 보안 전문가들을 구하는 건 하늘의 별 따기라고 기업들은 울상을 짓는다. 하지만 울상만 짓고 있어서는 아무런 문제도 해결되지 않는 법. 일부 기업들 사이에서 보안 인재를 확보하기 위해 여러 가지 방법들이 고안되고 있기도 하다.

[이미지 = utoimage]

컨설팅 업체 ISG의 사이버 보안 부문 국장인 더그 글레어(Doug Glair)는 “2023년에도 그렇고 그 후 몇 년 동안 사이버 보안 인재들의 수요가 계속해서 높을 것”이라고 말한다. “많은 기업들에 있어 이는 당면과제입니다. 해결하기 위해서는 이전과 다른 인재 채용 절차를 도입해야 할 것입니다. HR의 새로운 전략이 필요하다는 것이죠.” SaaS 개발사 아미스(Armis)의 부회장 존 버넷(John Burnet)의 경우, “좋은 인재가 있으면 이제 회사가 그 인재와 항상 연락을 유지해야 한다”고 말한다. “이제 회사와 인재의 관계가 고용과 피고용으로만 맺어지지 않습니다. 좀 더 지속적일 수 있는 관계를 생각해내야 합니다.”

사이버 보안과 밀접한 타 분야에서 인재를 찾는 것도 좋은 방법이라고 IT 업체 레이시온(Raytheon)의 사이버 보안 솔루션 부문 국장인 존 체크(Jon Check)는 설명한다. “사이버 보안 내에서 다른 분야로 전향하고자 하거나, 다른 IT 분야에서 보안 쪽에 관심을 두고 있는 사람들이 있기 마련이죠. IT에 대한 기본적인 지식과 실력을 갖추고 있기 때문에 보안도 더 빨리 배울 수 있고, 따라서 빠르게 현장에 투입시킬 수 있습니다.”

자격과 자격증

늘 그렇지만 기업들이 인재를 찾을 때 가장 많이 보는 건 자격증이다. 전문 서비스 자문 및 컨설팅 기업인 PA컨설팅(PA Consulting)의 사이버 보안 전문가 리차드 왓슨브런(Richard Watson-Bruhn)은 “취득하기 어렵고, 업계에서 인정을 받는 자격증인 CISSP이나 CISM 등을 보유하고 있다면 당연히 긍정적으로 작용한다”고 말한다. “무엇보다 그런 자격증을 위해 많은 시간과 노력을 투자할 만큼 자신의 일에 진지하다는 걸 입증해주는 것이니까요.”

하지만 자격증을 고집하는 건 요즘 같은 때에 그리 현명하지 않은 전략이 될 수 있다. “지난 수년 동안 자격증 없이도 보안 전문가로서 성공하는 사례들을 많이 봐왔습니다. 오히려 자격증을 가지고도 잘 못하는 사례들도 있었고요.” 체크의 설명이다. “자격증으로 증명하지 못하는 것들이 있기 때문입니다. 사람과 사람 사이의 소통 능력이라든가 하는 ‘소프트 스킬’들의 경우 자격증이 따로 있지 않죠. 하지만 보안에 있어서는 이 소프트 스킬이 은근히 중요한 역할을 합니다. 가장 희귀한 자격증을 가지고도 이 소프트 스킬이 없어 현장에서 어려움을 겪는 경우들이 있을 정도입니다.”

버넷은 “자격증을 보유하지 않았지만 실력 자체가 뛰어난 사람들이 곳곳에 숨어 있는데, 회사가 자격증만을 채용의 기준으로 둔다면 훌륭한 후보들을 스스로 많이 놓치게 되는 것”이라고 강조한다. “자격증도 중요한 평가 기준이 될 수 있습니다. 하지만 그것과 더불어 그 사람의 가치관과 현재까지의 경험과 인간성, 특정 상황에서의 행동 패턴들도 같이 중요하게 봐야 합니다. 모든 것을 다 갖춘 사람은 드물고, 어느 정도 잠재력이 보이면 회사 현장에서 교육을 시켜야 하는 것이 요즘의 채용 상황이기 때문입니다. 그렇다면 현재 보유한 실력보다 잘 배울 만한 사람을 찾는 게 나을 수 있습니다.”

후보들을 찾는 새로운 방법들

사이버 보안이라고 했을 때 대부분의 사람들은 IT의 하위 분야, 그러므로 기술적인 지식과 실력이 뒷받침 되어야 하는 어려운 전문 분야라고 생각한다. 그러므로 채용할 만한 사람들의 후보군을 추릴 때, 지식과 실력이라는 점에 초점을 맞추는 게 보통이다. 여기까지는 틀리지 않는다. “하지만 마냥 광범위한 지식과 실력을 갖춘 사람을 찾는 건 그리 효율적이지 않습니다. 현재 운영하고 있는 팀에 없는 지식과 없는 기술을 보유한 사람을 찾는 게 더 나은 고용 전략입니다. 틈새 공략을 하라는 것이죠. 모든 걸 다 잘 알고 다 잘 하는 사람은 찾기도 힘들고 몸값도 비쌉니다. 보다 범위를 좁혀 사람을 찾는 게 나을 수 있습니다.” 글레어의 설명이다.

그런 사람들은 어떻게 찾아야 할까? 글레어는 “왕도가 있는 건 아니고 여러 웹사이트나 소셜미디어를 통한 검색을 활발히 진행해야 한다”고 말한다. “최근 ‘사이버 보안 아카데미’를 회사 내부적으로 신설해 운영하는 기업들이 생겨나고 있습니다. 즉 사람을 내부적으로 키워내겠다는 최근 기업들의 움직임이 반영된 모습 중 하나인 것입니다. 이곳에서 필요한 기술을 가르치기도 하지만 소통의 방법과 리더십 등을 교육하기도 합니다.”

왓슨브런은 “사이버 보안이라는 분야가 비교적 새롭게 탄생했다는 것을 간과하면 안 된다”고 지적한다. “사이버 보안이라는 걸 몰라서 이쪽 분야로 오지 않은 사람들이 생각보다 많습니다. 아직 우리는 학생들이나 사회 초년생들에게 ‘사이버 보안이라는 분야가 있다’는 걸 더 알려야 합니다. 회사에서 교육도 해야 하고, 비슷한 IT 계열에 있는 사람들을 보안 분야로 유도하는 것도 중요하지만, 이제 막 전공을 선택하거나 경력의 첫 단추를 꿰고자 하는 사람에게 사이버 보안이라는 선택지가 있음을 알리는 것도 놓치지 말아야 할 일입니다.”

유의해야 할 것들

사이버 보안 담당자로 삼을 만한 사람들을 1차로 뽑을 때 ‘유연성’이 중요한 가치가 된다. 왓슨브런은 “인재의 기준을 분명히 정해두고, 모든 항목을 충족시키는 사람을 고집하다 보면 십중팔구 한 사람도 채용하지 못하는 결과를 낳게 된다”고 말한다. “그러니 접수가 된 후보군들에 따라 유연하게 채용 기준을 바꿀 필요가 있습니다. 특정 분야에서만큼은 그 누구도 흉내 낼 수 없는 뛰어난 실력을 갖춘 사람을 뽑는다거나, 소프트 스킬에서 유달리 강력한 면모를 보이는 사람을 채용한다거나 하는 식으로 말입니다. 그랬을 때 전혀 상상치 못한 성과를 거둘 수 있습니다.”

학위나 교육적 배경에 너무나 많은 가치를 두는 것도 요즘과 같은 상황에서는 그리 유리하게 작용하지 않는다는 게 체크의 설명이다. “이제 유명 대학들에도 사이버 보안과 관련된 학과들이 있고, 졸업생도 적잖이 배출됩니다. 기업들 중 이런 유명 대학의 학위를 가진 사람들부터 고용하려는 태도들이 나타나기도 합니다. 하지만 보안이라는 분야의 특성 상 대학 교육만으로 보안과 관련된 사항들을 다 배울 수 없습니다. 현장에서 경험을 쌓고, 무섭도록 빠르게 생겨나는 신기술도 연구해 가면서 지식과 실력 모두를 확장시켜야 하죠. 그러니 좋은 대학을 우수한 성적으로 졸업한 게 보안 분야에서는 그리 큰 장점이 되지 않습니다.”



글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
 https://www.boannews.com/media/view.asp?idx=114858