사이버보안 업계는 현재 유례없는 도전에 직면해 있다. 사이버 위협이 날로 증가하는 상황에서 숙련된 전문가를 확보하고 유지하는 것이 점점 더 어려워지고 있다. 이에 따라 기업 간 인재 확보 경쟁이 치열해졌으며, 인력을 확보하지 못하면 심각한 보안 위험에 노출될 수 있다.
포레스터가 지난 12월 발표한 조사에 따르면, 직원 관리에 소홀할 경우 결근률이 증가하고 업무 환경이 악화되며, 궁극적으로 보안 위험이 높아질 수 있다고 전했다. 높은 수준의 번아웃과 업무 이탈을 경험하는 보안팀은 건강한 조직 문화를 유지하는 팀보다 내부 보안 사고가 거의 세 배 더 많이 발생하는 것으로 나타났다. 또한, 직원이 조직의 보안 리스크와 관련된 문제를 제기하는 것에 부담을 느끼고 심리적 안전감을 확보하지 못할 경우, 내부 사고 위험이 글로벌 평균보다 3.5배 증가하는 것으로 조사됐다.
이러한 문제를 해결하기 위해 조직은 사이버 보안 전문가의 회복력과 직무 만족도를 높이는 환경 조성 등 전략적 조치를 취해야 한다.
사이버 보안 기업 테너블(Tenable)의 CSO이자 책임 연구자인 로버트 후버는 “사이버 보안 전문가의 업무 내용과 수행 방식 사이의 균형을 유지하는 게 중요하다”라고 설명했다. 그는 “사이버 보안 전문가에 대한 수요는 증가하고 있지만 예산이 이를 따라가지 못하는 경우가 많다”라며 “이런 상황에서 CISO는 사이버 위험의 우선순위를 효과적으로 설정하여 팀이 과도한 위협에 압도되는 것을 방지하고, 업무 부담을 줄이며, 번아웃을 예방해야 한다”라고 강조했다.
후버는 리더로서 가장 중요한 일은 직원들이 조직에 중요한 일에 우선순위를 두고 집중할 수 있도록 돕는 것이라고 설명했다. 그에 따르면, 서비스 제공이 핵심이라면, 어떤 요소가 서비스에 영향을 미치는지를 고려해야 한다. 수익 창출이 중요한 기업이라면, 수익에 영향을 줄 수 있는 요소가 무엇인지 파악해야 한다. 리더가 어디에 집중해야 하는지를 명확히 제시하지 않으면 직원은 무한히 많은 보안 위협을 해결하려다가 지칠 수밖에 없다. 후버는 “모든 취약점과 리스크를 전부 해결하는 것은 불가능하다는 점을 명심해야 한다”라고 설명했다.
사이버 사고 때 챙겨야 할 팀원의 정신 건강
보안 인력을 유지하는 또 다른 중요한 요소는 정신 건강 관리다. 후버는 특히 고압적인 상황에서 팀원이 적절한 휴식을 취할 수 있도록 리더가 신경 써야 한다고 강조했다.
후버는 “사이버보안 사고가 발생하면 직원은 몇 시간씩, 심지어 주말까지 쉬지 않고 일하기 쉽다. 책임감을 느끼고, 문제를 해결하고, 리스크를 줄이고 싶기 때문이다”라며 “하지만 리더의 역할은 이런 상황에서 직원이 한 걸음 물러나 휴식을 취하도록 돕는 것이다. 최소한 정신적인 휴식을 보장해야 한다”라고 말했다.
후버는 미국 크라우드스트라이크가 2024년 7월 IT 중단 사태 해결을 도운 파트너와 팀원에게 10달러 상당의 우버이츠 기프트카드를 제공한 사례를 언급했다. 후버는 “적절한 보상이었는지는 논란이 있을 수 있지만, 최소한 팀원이 오랜 시간 강도 높은 업무를 수행하고 있다는 점을 인식하고 커피나 식사, 휴식을 제공하려는 노력이 있었다. 리더는 이런 부분을 직접 챙겨야 한다”라고 강조했다.
포레스터의 부사장이자 수석 애널리스트인 지나 버지는 번아웃을 방지하고 팀을 유지하기 위해서는 기대치, 리소스, 인식이라는 세 가지 핵심 요소를 관리해야 한다고 말했다.
그녀는 “CISO는 팀의 역량에 맞는 현실적인 기대치를 설정해야 한다”고 강조하며, 보안팀에 대한 투자는 기술적인 부분(예: 보안 솔루션, 추가 인력 확보)에만 집중할 것이 아니라, 직원이 정신적으로 지치지 않고 장기적으로 업무에 몰입할 수 있도록 지원하는 다양한 복지 프로그램도 함께 제공해야 한다고 설명했다. 버지는 “사이버마인즈(CyberMinds, 사이버보안 전문가의 정신 건강과 회복력을 강화하기 위해 설립된 비영리 단체)와 같은 곳에서 제공하는 워크숍이나 복지 프로그램을 활용해도 좋다”라고 조언했다.
또한, 후버는 보안 전문가에게 AI 등 신기술을 탐색할 기회를 주는 것이 중요하다고 강조했다. 이는 일상적인 업무에서 벗어나 새로운 기술을 배우고, 더 나아가 이러한 기술이 보안 위협이 될 가능성을 사전에 탐색할 수 있도록 돕는다.
후버는 “직원이 관심 있는 주제를 자유롭게 탐색할 수 있도록 지원해야 한다. ‘매주 또는 매월 일정 시간을 새로운 기술이나 교육 과정에 투자해도 괜찮다’고 리더가 직접 말해주어야 한다”라고 말했다.
역량 개발과 성장 기회 제공
역량 강화를 위한 교육 투자도 인력 유지 전략에서 중요한 역할을 한다. 후버는 테너블이 신기술과 보안 역량 강화를 위해 팀 전체를 대상으로 교육을 제공한다고 설명했다. 이를 통해 직원이 충분한 역량을 갖추고 있다는 자신감을 느낄 수 있도록 한다는 것이다.
KPMG 역시 보안 분야에서의 다양성과 경력 개발을 지원하는 프로그램을 운영하고 있다. 특히 ‘사이버 우먼 리드(Cyber Women Leads)’ 프로그램을 통해 중간 관리자급 여성 보안 전문가가 리더십 역량을 체계적으로 개발할 수 있도록 돕고 있다.
또한 KPMG는 창의적인 채용 전략을 도입해 보안 인력 부족 문제를 해결하고 있다. 기존의 보안 전문가 채용 방식에 의존하는 대신, 특정 직무에서 직접적인 경험이 없더라도 비슷한 기술이나 지식을 갖춘 인재 발굴해 다른 직무나 역할에 필요한 기술과 지식을 배우도록 교육하거나, 경력 전환을 원하는 인재나 육아 후 복귀하는 부모 등을 대상으로 보안 교육을 실시해 인재 풀을 확대하고 있다.
도미니카 제르베-앤더스는 KPMG 호주 지사에서 사이버 인적 리스크 파트너이자 솔루션 책임자로 활동하고 있다. 그녀는 사이버보안 분야에서 오랜 경력을 유지하는 데 있어 성장 기회가 결정적인 역할을 했다고 말했다. KPMG에서 제르베-앤더스는 몇 년마다 새로운 도전 기회를 얻었고, 이는 직업 만족도와 전문성 향상에 큰 영향을 미쳤다.
제르베-앤더스는 “이런 점이 제 관심을 계속 유지하게 만든다. KPMG에서 3~4년마다 마치 새로운 직업을 가진 것 같은 기분이 든다”라고 설명했다. 실제로 제르베-앤더슨은 3년 전 함께 일했던 뛰어난 리더 중 한 명과 함께 사이버보안에서 인간 리스크 관리 분야가 충분히 다뤄지지 않고 있다는 사실을 깨달었다. 그래서 이 분야에서 새로운 서비스를 도입할 수 있도록 자금을 요청했고 실제로 예산 확보에 성공했다. 이후 이 서비스는 글로벌 시장으로 확장됐고, 현재 시장에서 성공적으로 자리 잡았다. 제르베-앤더스는 “해당 분야에서 아직 기업이 적극적으로 대응하지 않고 있다는 점을 깨닫고, 스스로 나서서 새로운 프로젝트를 주도하겠다고 제안했으며, 회사는 적극 나를 지원했다”라고 말했다.
제르베-앤더스는 “지난해에도 저는 조금 다른 접근 방식을 시도했다. 사이버 팀을 성장시키고 영향력을 확대하기 위해 부서를 이동했다. 같은 일을 반복하기보다 지속적으로 새로운 방향을 모색하고, 성장하며, 새로운 인재를 유입하는 것이 중요하다고 생각한다”라고 밝혔다.
재정적 혜택만으로는 부족하다
포레스터의 버지는 일반적으로 급여가 보안 인력을 유지하는 전략처럼 보일 수 있지만, 실제로는 장기적인 동기 부여 요인이 되지 않는다고 강조했다. 특히 젊은 세대에게 급여는 중요한 요소지만, 지속적인 동기 부여를 위해서는 목적 지향적인 업무가 필수적이라고 말했다.
버지는 “보안팀 구성원은 목적과 동기를 원한다. 우리가 조직에 어떤 영향을 미치는지, 비즈니스 가치에 기여하는지, 궁극적으로 기업의 성과에 어떤 변화를 가져오는지를 알고 싶어 한다. 단순히 경영진에게만 보안팀의 성과를 보고하는 것이 아니라, 팀원에게도 우리가 어떤 변화를 만들고 있는지 효과적으로 전달하는 것이 중요하다”라고 설명했다.
버지는 “리더라면, 경영진과 시간을 보내는 만큼 팀원과도 시간을 보내야 한다. 직원이 목적과 동기로 움직인다는 점을 고려하면, 그들이 실제로 일하는 현장에서 소통하는 것이 필수적이다. 보안 업무는 단순한 직무가 아니다. 대부분의 보안 전문가는 조직과 비즈니스, 나아가 사회 전체를 보호한다는 사명감을 가지고 이 일을 한다”라고 말했다.
보안팀의 조직 내 역할과 리더십의 중요성
후버는 사이버보안 전문가가 조직의 다양한 부서와 협업하는 것이 또 다른 효과적인 전략이 될 수 있다고 제안했다. 그는 보안팀이 다른 부서와 긴밀히 협력할 때 비즈니스 운영을 더 깊이 이해할 수 있으며, 이를 통해 조직 목표에 보다 효과적으로 기여할 수 있다고 설명했다.
그는 리더십의 역할이 매우 중요하다고 강조했다. 보안의 가치를 조직 내부에서 강화하려면, 경영진이 보안팀과 적극적으로 소통해야 한다는 것이다. 경영진이 보안 관련 논의에 직접 참여하고, 보안 전략이 기업 목표에 얼마나 중요한지를 강조하는 것이 필요하다.
후버는 “경영진이 보안팀의 가치를 이해하고 이를 지원하면, 보안팀뿐만 아니라 다른 부서의 목표 설정에도 긍정적인 영향을 미칠 수 있다. 리더급 인사의 적극적인 지지가 보안팀의 역할을 조직 전체에서 더 효과적으로 자리 잡게 만든다”라고 설명했다.
지역별 문화적 차이와 맞춤형 접근 필요
버지는 동기 부여 방식과 리더십 스타일이 지역별로 다를 수 있다는 점도 강조했다. 예를 들어, 호주의 경우 사이버보안 전문가 중 상당수가 STEM(과학, 기술, 공학, 수학) 분야 외의 배경을 가지고 있어 리더십 스타일이 더 다양하다는 특징이 있다.
반면, 인도와 같은 지역은 STEM 전공자 비율이 높아 경력 개발 경로가 다르게 형성되는 경향이 있다. 또한, 각국의 데이터 보호 규제 수준에 따라 사이버보안 문제를 인식하고 해결하는 방식도 다르다. 데이터 보호 규제가 오래전부터 확립된 국가에서는 보안 접근 방식이 보다 성숙한 반면, 새롭게 규제를 도입한 국가에서는 여전히 발전 과정에 있는 경우가 많다.
결국, 사이버보안 인재를 유지하려면 업무량의 균형을 맞추고, 정신 건강을 우선하며, 소속감을 높이는 조직 문화를 조성하는 한편, 의미 있는 경력 개발 기회를 제공해야 한다고 후버는 강조했다.
후버는 “결국 핵심은 개인에 있다. 리더는 각 직원이 무엇에 동기를 부여받는지를 이해하는 것이 중요하다”라며 “어떤 사람은 인정받는 것을 원하고, 어떤 사람은 금전적 보상을 기대한다. 추가 교육 기회를 원하는 사람도 있고, 가족이나 친구와 시간을 보내기 위해 더 많은 휴식을 원하는 사람도 있다. 조직 내에서 각 구성원이 무엇에 의해 동기 부여되는지를 파악하는 것이 리더의 과제이며, 이는 결코 쉬운 일이 아니다”라고 설명했다.
[email protected]
Read More from This Article: 연봉 올려도 떠나는 보안 인재··· 글로벌 보안 리더가 밝힌 인력 관리 핵심은 ‘이것’
Source: News