블로그 | CTO 사무실

사이버 보안 인재 부족을 재구성하다

샘 비스비 썸네일
샘 비스비
2022년 10월 20일 게시

오늘날 사이버 보안 인력 부족에 대한 대화는 활동을 일으키고 있지만 결과는 제한적입니다. 일주일이 지날 때마다 위기를 한탄하는 기사, 연구, 소셜 미디어 스레드가 잇따라 등장하지 않는 경우는 거의 없습니다. 초급 직책 공고에는 시장 가격 이하의 보상에 대한 달성 불가능한 유니콘 수준의 요구 사항이 적혀 있고, 지원자들은 대학을 졸업한 첫 해에 무엇을 할지에 대한 비현실적인 기대를 가지고 있으며, 전반적인 기술 인력 시장과 함께 직장을 옮길 때의 번아웃 현상이 계속됩니다. 한편 대학, 엑셀러레이터, 멘토십 프로그램은 이 시장 기회에 뛰어들어 그 어느 때보다 더 많은 "특수 목적" 인재를 시장에 유입하고 있으며, 종종 "흥미롭고 수익성 있는" 경력에서 그들의 기술에 대한 수요가 급증할 것이라는 약속을 내걸고 있습니다. 인재 시장은 수년간 관심과 투자를 받아왔기 때문에 조정 신호를 보내야 하지만 대부분의 경우 그렇지 않습니다.

이는 보안에 있어서 실존적 문제입니다. 왜냐하면 기술은 보안 프로그램에 대한 새롭고 효율적인 솔루션을 제공하는 데 중요한 역할을 하지만, 보안 프로그램이 이러한 기술을 평가하고, 투자하고, 운영화하는 능력은 적절한 위치에 있는 우수한 인력의 가용성에 달려 있기 때문입니다. 기술 및 보안 공급업체는 시장을 앞서나가며 매년 더 큰 발전을 이루었고, 이는 인재를 유지하고 기술 확산에 발맞추기 위해 노력하는 고객으로부터 더 많은 투자를 요구합니다. 보안 공급업체가 자사 제품과 함께 관리형 서비스를 제공하고, 양쪽 모두에게 이익이 되는 방식으로 고객에게 즉시 비용 효율적으로 서비스를 제공하는 추세가 지속되면서 이러한 경향은 완화되고 있습니다. 그러나 기업은 여전히 이러한 투자를 합리화하고 환경이 변화함에 따라 적용 범위를 지속적으로 재평가해야 하는 과제에 직면해 있으며, 전적으로 관리형 서비스로 구성된 프로그램을 관리하는 소규모 보안 팀에 불과하더라도 전문성이 필요합니다.

"절대 잠들지 않는 건강에 해로운 스트레스를 받는 보안 책임자"라는 기괴한 농담이 여전히 통하지만, 고급 위협 행위자나 할리우드 스토리라인이 잠을 방해하는 경우는 드뭅니다. 팀이 괜찮은지, 팀이 필요한 것을 가지고 있는지, 적합한 사람이 적합한 역할에 있는지, 어떤 새로운 역할이나 사람이 필요한지, 동료 조직에서 팀의 신뢰성은 어떠한지, 임원 동료에서 리더의 신뢰성은 어떠한지 등과 같은 인간적인 질문입니다. 이는 보안 리더십에만 국한되지 않는 리더십 비용입니다. 이는 시장의 이야기에 어긋나고, 제가 보안 리더들이 기술 서적이나 보안 서적보다 비즈니스 및 관리 서적을 서로 추천하는 것을 더 자주 본다고 말하면 사람들은 놀랍니다. 네, 마지막으로 과장된 침해나 동료들이 기술 문제를 해결하는 방법에 대한 논의가 있지만, 성공적인 새로운 프로세스, 팀 구조 또는 커뮤니케이션 방법을 공유하는 것에 대한 흥분은 동등하거나 더 큽니다.

우리에게는 보안 기술과 리더십이 부족한 것이지, 보안 분야의 인재가 부족한 것은 아닙니다. 이는 모든 기업에서 회복성을 높이기 위해 반드시 확인해야 하는 광범위한 보안 인재 시장 조정을 늦추는 것이며, 1% 보안 프로그램의 기존 사일로에만 국한되지 않습니다. 예를 들어:

  • 빠르게 성장하는 보안 인력의 파이프라인은 리더가 그 인재를 인식하고 성장시킬 경우에만 긍정적인 결과로 활용될 수 있습니다. 특히, 병행 분야에 종사하는 초중반 경력 전문가 중 다수가 보안 분야로 경력을 전환하여 더 폭넓은 인재 풀과 더 높은 직장 성숙도를 확보하고자 하기 때문에 이 점이 매우 중요합니다.
  • 보안 프로그램은 비즈니스 맥락에 맞게 합리화되어 성공을 가능하게 하고 이에 기여할 수 있는 경우에만 성장이 허용되어야 하며, 일반적으로 고정관념에 얽매인 깊은 도메인 리더에게 기대되는 것보다 더 광범위한 비즈니스 이해와 커뮤니케이션 기술이 필요합니다. 이러한 기능이 없으면 프로그램과 그 효과는 제한됩니다.
  • 중간 및 고위 개인 기여자의 경우, 비즈니스 내에서 성공할 수 있는 비전을 가지고 프로그램을 구축하는 공감적인 리더에게 더 끌릴 가능성이 높으며, 불과 과장된 광고에 반응적으로 휘둘려 또 다른 "위험 수용 사무실"을 구축하는 것은 아닙니다. 팀의 업무를 위해서는 다양한 책임과 연공서열이 필요하지만, 주니어 인재를 멘토링하고 성장시키는 데도 도움이 필요합니다. 특히 프로그램이 확장됨에 따라 보안 리더는 이 작업을 혼자 수행해서는 안 됩니다.
  • 보안 조직이 지속적으로 인력을 너무 많이 교체하지 않고도 주니어, 중급, 시니어 레벨의 인재를 유지한다면 새로운 기회가 생길 것입니다. 지속 가능한 조직은 조직이 "1%'er"에 가까워짐에 따라 고급 전문 기술을 갖춘 인재를 기회주의적으로 타겟팅하기 시작할 수 있습니다. 애플리케이션 및 클라우드 보안, 위협 사냥 및 모델링과 같은 기술을 갖춘 숙련된 전문가는 이러한 광범위한 인재 육성을 통해 이러한 전문가가 생겨날 때까지 계속해서 부족할 것입니다.

지난 5년 동안 우리는 규제 강화, 오픈 소스와 클라우드, BYOD(Bring Your Own Device)와 같은 기술 트렌드에 대한 기업 지출 급증, 랜섬웨어 사업의 호황, 기업 데이터 관리자의 심각한 데이터 오용 및 안전하지 못한 관행 등으로 인해 기업 내 보안 리더의 임원 역할이 강화되는 모습을 지켜봐 왔습니다. 이는 유명 기업 및 금융 스캔들에 대한 대응으로 Sarbanes-Oxley(SOX)법이 제정된 이후 기업이 재무 책임자와 함께 진행한 과정을 연상시키며, 이를 통해 임원진과 이사회에서 고유한 관점이 강화되었습니다. 보안 분야에서 제정된 조치는 아직 SOX의 엄격성을 달성하지 못했습니다. 향후 2년은 보안 및 개인정보 보호 규정의 지속적인 글로벌 확대와 이사회의 관심에 힘입어 보안 리더의 진전이 지속되는지, 아니면 거시경제적 환경으로 인해 기업이 기술 및 보안 투자를 재평가함에 따라 진전이 둔화되거나 후퇴하는지에 대해 알려줄 것입니다.

역사를 반복한다면 기업의 보안 및 안전 투자는 일반적으로 시장 상황과 상관관계가 있지만 그 영향은 일반적으로 상관관계가 없기 때문에 감속 또는 역전이 일어날 가능성이 높습니다. 이러한 비대칭성의 한 예는 방어자의 예산이 회사의 최고 수익이나 최저 수익에 따라 줄어든다는 것입니다. 이는 합리적일 수 있지만(수탁 책임), 공격자의 자금과 인센티브는 그렇지 않습니다. 문제는 보안 리더의 역할 정의, 기업 책임 및 개인 책임이 공개적으로 조사되는 동안 이런 일이 발생한다는 것입니다. 이러한 질문에 대한 바람직하지 않은 답변으로 인해 감속이나 퇴보가 심화되고, 보안 리더십 부족이 심화되어 더 넓은 보안 인재 풀에 파장이 생기면 보안 리더 중 일부는 회사나 역할에서 물러날 것이라고 예상하는 것이 합리적입니다. 보안 리더와 회사는 역풍이 가장 거세질 때가 아닌 지금 이러한 과제에 대해 논의하여 보안 리더십의 역할과 조직이 어떻게 발전할 수 있는지, 그리고 그것이 프로그램과 직원의 지속 가능성에 어떤 의미를 갖는지 이해해야 합니다.