사이버 보안 인력 부족이 우리 모두에게 미치는 영향은 무엇일까요?

최근 사건들이 분명히 보여준 것은 어떤 기관도 사이버 보안 침해로부터 안전하지 않다는 점입니다. 2013년 연휴 기간 중 발생한 타겟(Target) 데이터 유출 사건은 기업들이 사이버 보안 위협의 심각성을 깨닫게 하는 계기가 되었습니다. 이후 러시아 해커들이 오바마 대통령의 비공개 이메일을 열람했다는 소식과 같은 추가적인 정보 공개로 인해 기업과 정부 기관들은 경험 많은 보안 전문가와 효과적인 보안 분석 및 보고 솔루션을 필사적으로 찾고 있습니다.

해커들이 대통령의 이메일을 읽을 수 있었다는 사실은 범죄자들이 어떤 중요 시스템들을 해킹할 수 있을지에 대한 수많은 의문을 제기합니다. 예를 들어 다음과 같은 시스템들이 있습니다.

• 전력망
• 정부 시설 보안 조치
• 무기 시스템

이러한 우려에 직면하여 조직들이 사이버 보안을 점점 더 강조하는 것은 당연한 일입니다. 예를 들어, 투자은행 파이퍼 재프레이(Piper Jaffray)가 최근 CIO들을 대상으로 실시한 설문조사에 따르면 응답자의 75%가 2015년에 IT 보안 지출을 늘릴 계획이라고 밝혔습니다. 과거에는 사이버 보안을 강화하는 기본 전략으로 보안 운영 센터(SOC)에 인력을 추가하는 방식이 일반적이었습니다. 그러나 이러한 전략은 점점 더 어려워지고 있습니다. 사이버 보안 인재 수요는 많지만 공급은 부족합니다.

우수한 IT 보안 인재를 유치하는 것은 앞으로 더욱 어려워질 전망입니다. 실제로 RSA 컨퍼런스와 ISACA가 공동으로 실시한 IT 및 사이버 보안 관리자 대상 설문조사에 따르면 응답자의 52%가 필요한 기술을 갖춘 지원자는 4분의 1에도 미치지 못한다고 답했으며, 53%는 현재 채용에 3개월에서 6개월이 소요된다고 밝혔습니다. 더욱이, 최고 수준의 인재는 구글이나 페이스북 같은 대기업에 먼저 빼앗기는 경향이 있습니다. 따라서 중요 인프라를 관리하는 정부 및 민간 기관들이 보안 문제를 해결하기 위해 인력 충원에만 의존한다면, 우리 모두 심각한 문제에 직면하게 될 것입니다.

공격의 빈도와 복잡성이 계속 증가함에 따라 조직은 "인력 충원"이라는 사고방식에서 벗어나야 합니다. 우수한 인재가 부족한 상황에서 조직이 이미 보유하고 있는 인력, 특히 그들의 시간은 이제 매우 귀중한 자원이 되었습니다.  보안 자동화 이는 전문가들이 핵심 업무에 더 많은 시간을 할애할 수 있도록 함으로써 조직이 해당 자원을 절약하는 데 도움이 됩니다.

오늘날 IT 보안 전문가를 더 많이 양성하기 위해 교육 정책을 바꾼다 하더라도, 그 변화의 효과가 나타나기까지는 수년이 걸릴 것입니다. 인재 부족은 현실이며, 당분간 지속될 것으로 예상됩니다. 이제 문제는 이 문제를 어떻게 해결하느냐입니다.