사이버 보안 업계의 인재 부족 현상은 어제오늘 일이 아니다. 그러나 CISO들에게는 단순히 인재를 채용하는 것을 넘어, 기존 인재를 붙잡아 두는 일이 더 시급한 과제로 떠오르고 있다. IANS 리서치와 아티코서치(Artico Search)가 공동 발표한 보고서에 따르면, 사이버 보안 전문가의 60% 이상이 향후 1년 내 이직을 고려 중인 것으로 나타났다. 특히 경력 개발에 대한 불만이 이직을 고민하는 주요 원인으로 지목됐다.
수요가 공급을 앞지르고 전문가들이 끊임없이 스카우트 제안을 받는 상황에서, 인재 유지 전략은 CISO에게 최우선 과제가 되고 있다. 그러나 일부에서는 이 문제의 본질이 ‘인재 부족’이라는 틀로만 해석되는 것에 의문을 제기했다. 사이버 보안 채용 전문 기업 아이스버그(Iceberg)의 공동 설립자이자 이사인 톰 채프먼은 이 문제가 널리 오해되고 있을 가능성이 크다고 지적했다.
채프먼은 “사이버 보안 분야에 역량 격차는 없다고 본다. 진짜 문제는 훈련과 개발 격차다”라고 말했다. 그는 많은 대학 졸업생들이 첫 직장을 구하지 못하는 이유로, 대부분의 기업이 수년간 실무 경험을 쌓은 인재를 우선시하는 채용 관행을 꼽았다. 그는 “기업이 우리에게 신입을 찾아달라고 의뢰하는 경우는 거의 없다. 대부분 오랜 기간 축적된 전문성을 가진 인재를 찾는다. 그런 전문성은 쉽게 얻을 수 없다”라고 설명했다.
이런 채용 구조로 인해 특히 6~10년차의 중간 경력직이 가장 구인난을 겪는 분야로 꼽힌다. 채프먼은 “이들은 이미 유능한 조직에 몸담고 있고, 영향력 있는 프로젝트를 수행하고 있을 가능성이 높다”라고 분석했다.
OP사이버탤런트(OPCyberTalent) 공동 설립자이자 리더인 제시카 캐시디 역시 중간 경력직 공백이 가장 큰 압력 지점이라며, 이 때문에 인재 부족 현상이 실제로 존재한다고 봤다. 캐시디는 소프트웨어 엔지니어링처럼 성숙한 분야와 달리, 사이버 보안 업계가 아직 성장 과정에 있어 필요한 인재층을 제대로 형성하지 못했다고 설명했다.
캐시디는 “보안 업계가 뒤늦게 따라잡고 있는 상황이라 인재가 부족하다. 전체 인력 풀이 한정돼 있기 때문에 생기는 문제다”라고 말했다. 이어 “초급 전문직 인재는 늘었지만, 동시에 더 큰 문제들이 나타났다. 오랫동안 업계에 몸담았던 고경력 인재들이 은퇴를 준비하거나 스트레스가 적은 직무로 옮기고 있는 반면, 3~8년 경력 인재층에는 공백이 있다는 것이다. 지금 기업들이 가장 필요로 하는 인재가 바로 이들이다”라고 분석했다.
중간 경력직은 경험이 충분하면서도 열정적이고, 비교적 합리적인 급여로 고용할 수 있으며 변화에 유연하게 대응할 수 있다는 점에서 특히 중요하다. 캐시디는 “이들은 이미 꽤 좋은 보상을 받고 있고, 조직도 그들을 놓치지 않으려 최선을 다한다. 하지만 새로운 직위가 늘어나고 보안 문제가 더 많이 발생하고 있다. 이 격차를 어떻게 신입 직원으로 메꿀 것인지가 기업 인사팀과 리더들이 고민하는 지점”이라고 설명했다.
사이버 보안 인재는 왜 떠날까?
인재 유출을 막기 위해선 먼저 그들이 떠나는 이유를 파악해야 한다. 캐시디는 사이버 보안 전문가들을 이직하게 만드는 주요 요인으로 ▲사전 대응보다 사후 대응에 치우친 조직 문화 ▲리더십 부재 ▲영향력 행사나 승진 기회의 부족 ▲급여 체계 등을 꼽았다.
채프먼은 조직 내에서 성장 기회를 제공하지 않는 것 역시 인재 유출의 주요 원인 중 하나라고 지적했다. 그는 한 보안관제센터(SOC) 분석가의 사례를 들며, 해당 인재가 조직 내에서 ‘보이지 않는 존재’처럼 느꼈다고 전했다.
채프먼은 “이 분석가는 3년 가까이 같은 직무에 있었지만, 묵묵히 성과를 내며 불평 한마디 하지 않는 유형이었다. 그는 스스로 역량을 키워가는 중이었으며 배우고 싶어하는 열정이 있었다. 위협 헌팅이나 퍼플 팀 작업 등 새로운 영역에 관심을 보였지만, 조직 내 누구도 그가 어떤 방향으로 성장하고 싶은지, 어떤 기회에 관심 있는지, 어떤 기술을 배우고 싶은지 물은 적이 없었다. 우리가 연락했을 때 그는 큰 관심을 보이며 ‘그런 걸 질문해도 되는지조차 몰랐다’라고 털어놨다”라고 설명했다.
채프먼은 사이버 보안 전문가들이 문제 해결을 우선시하고 경력 계획은 그다음 순서인 경우가 많다고 지적하며, 이 때문에 정기적인 경력 상담이 필수적이라고 강조했다. 그는 “성장과 동기에 대한 정기적이고 선제적인 대화가 없다면, 결국 인재 이탈의 문은 활짝 열릴 수밖에 없다”라고 경고했다.
내부 인재로 팀을 키운다
채프먼은 조직 내부 인재, 심지어 전통적인 IT 역할에 종사하는 직원을 재교육해 보안 인력으로 전환하는 방식이 실제로 효과를 보이고 있다고 전했다. 그는 “CISO들에게 항상 ‘내부에서 먼저 살펴봤는가?’라고 묻는다”라고 말했다.
그는 한 산업 기업의 CISO가 OT 보안 엔지니어를 구하지 못해 어려움을 겪다가, 외부 채용 대신 공장 내 제어 엔지니어를 재교육하는 방법을 택한 사례를 소개했다. 그는 “해당 CISO는 ‘이 환경을 가장 잘 아는 사람이 누구인가? 보안에 호기심 있는 사람은 누구인가?’라는 질문에서 시작해 내부 직원에게 기회를 열어줬다. 사이버 보안에 관심은 있었지만 경로를 몰랐던 직원 몇 명을 발굴해 냈다”라고 설명했다.
이어 “단순한 교육이 아니라, 핵심 보안 개념과 실무 역량을 다루는 교육 및 개발 프로그램을 만들고, 기존 보안팀의 멘토를 붙이고, 워크숍과 외부 강사 교육까지 포함한 체계적인 과정이었다”라고 덧붙였다.
이 접근 방식은 높은 인재 유지율, 더 탄탄한 팀, 부서 간 이해 증진이라는 결과로 이어졌다. 채프먼은 “이 방식의 가장 인상적인 점은 포용적이었다는 것”이라며 “사이버 보안 커리어를 꿈도 못 꿨던 엔지니어들이 새 길을 열 수 있었다. 특히 이전에 제어 엔지니어였던 한 여성이 지금은 모든 공장의 취약점 진단을 총괄하고 있다”라고 설명했다.
또한 그는 “기존에 OT 환경을 위한 전통적인 보안 엔지니어가 있었지만, 이제는 OT 엔지니어도 보안 업무를 맡고 있어 양측이 서로에게서 시스템에 대한 통찰을 배우고 있다”라고 강조했다.
캐시디 역시 이 같은 전략에 공감하며 승계 계획의 중요성을 언급했다. 그는 인턴십과 견습 프로그램 같은 경로가 사이버 보안 직무로 전환을 희망하는 인재를 찾는 데 필수적이라고 분석했다.
캐시디는 “헬프데스크에서 일하지만 보안 업무를 원하거나, 소프트웨어 엔지니어지만 코딩에 염증을 느껴 다른 일을 하고 싶어하는 사람 등 조직 내 다양한 곳에 전환을 희망하는 인재가 존재한다. 중요한 건 그런 열정을 가진 인재들이 있다는 사실을 인식하고, 어떻게 그들의 격차를 메울 것인가에 대한 답을 찾는 일”이라고 설명했다.
자율성과 자격증 지원으로 성장 촉진
전문가들은 산업 인증 취득을 지원하는 것이 인재 유지와 성장 모두에 긍정적인 영향을 줄 수 있다고 조언했다.
톰 채프먼은 “자격증은 그 자체로 큰 가치를 지닌다. 1만 달러가 넘는 비용을 조직이 지원하는지 여부가 잔류 결정에 큰 영향을 미칠 수 있다”라고 설명했다.
캐시디는 자격증 외에도 사이버 보안 부트캠프, 온라인 자율 학습 프로그램, CoE(Center of excellence) 등록, 보안 담당자와의 동행 실습 등 다양한 역량 강화 경로가 존재한다고 언급했다.
이들이 공통적으로 강조한 핵심은, 전문가가 성장할 수 있다고 느낄 수 있는 환경을 조성해야 한다는 점이다. 예를 들어 새로운 팀을 직접 구축하거나, 보안 툴 선정에 영향력을 행사하거나, 맞춤형 솔루션을 개발할 수 있는 기회를 제공하는 방식이 될 수 있다. 채프먼은 “중간 관리자급 인재를 채용할 때, 기존 팀을 물려주는 게 과연 매력적인 제안일까? 처음부터 팀을 구성할 기회를 준다면 훨씬 흥미로울 것”이라고 말했다.
캐시디는 개인 성장과 점진적인 재정적 보상을 연계하는 방식이 효과적이라고 조언했다. 이는 직원의 헌신과 진전에 보상을 주는 방식이다. 그는 “직원 교육과 함께 특정 목표, 예를 들어 8~12개월마다 또는 KPI 달성 시 소정의 보상을 제공하면 실제로 차이를 만들어낼 수 있다. 매번 10%씩 인상할 필요는 없고, 단순한 보너스여도 된다. 사람은 재정적 동기에 반응하기 마련이다”라고 덧붙였다.
결국 인재 유지와 성장은 형식적인 절차를 밟는 것이 아니라, 실제 관계를 구축하고 보안 전문가와 관리자 모두가 얻을 수 있는 실질적인 이익을 이해하는 데 달려 있다.
채프먼은 “이는 공동의 과정이며 정형화된 해법은 없다”라며 “그래서 직원과 대화를 나누고 내부적으로 고민하는 일이 중요하다. ‘이 직원의 동기는 무엇인가? 그들의 성장 여정을 어떻게 지원하고 있는가?’라는 질문을 던져야 하는데, 아직도 이 질문을 스스로에게 하지 않는 리더가 많다”라고 지적했다.
dl-ciokorea@foundryco.com
Read More from This Article: 중간 경력을 잡아라··· CISO들의 사이버 인재 확보 전략은?
Source: News