보안 인재들이 관제 센터에서 오래 근무하지 못하는 이유 2019.07.11

단조로운 업무에 성과라는 것이 눈에 띄지도 않아...책임은 막중
성장의 기회 제공하고 근거 있는 약속으로 미래에 대한 희망 주어야


[보안뉴스 문가용 기자] 사이버 보안 인재는 영입도 어렵고, 계속 붙잡아 두는 것도 어렵다. 그러는 와중에도 우리의 IT 인프라라는 건 계속해서 확대되고 있고, 복잡하게 꼬이고 있다. 그래서 인재 영입은 더더욱 중요한 일이 되어가고 있다. 특히 보안 관제 센터(SOC)에서 근무할 사람들이 무척이나 시급해지고 있는 상황이다.

[이미지 = iclickart]


IT 분석 및 컨설팅 그룹인 ESG가 발표한 “2018년 사이버 보안 전문가들의 삶과 시간(The Life and Times of Cybersecurity Professionals 2018)”이라는 보고서에 의하면 44%의 보안 전문가들이 최소 1주일에 한 번, 76%는 한 달에 한 번 스카우트 제의를 받았다고 한다. 근속이 어려운 환경인 것이다. 필자는 보안 관제 센터 근무자들을 관리하는 입장에서, 이곳의 근무자들이 한 곳에 발을 붙이지 않는 이유를 수없이 들어왔다. 이를 요약하면 다음과 같다.

1. 업무가 단조롭다
똑똑하고 성실한 부하직원들을 관리할 때의 가장 큰 어려움은 그들이 똑똑하고 성실하다는 것이다. 보안 첩보를 분석할 정도의 사람이라면 기본 바탕이 충실하며, 학습 속도도 빠른 편이다. 게다가 어려운 문제를 해결하는 것 자체를 즐긴다. 그런데 이런 사람들이 있는 관제 센터는 생각보다 역동적이지 않다. 단조로운 업무도 많은 편이다. 지적 능력을 발휘해 새로운 도전 과제를 해결하고 싶은 똑똑하고 성실한 사람들을 충족시키기 어려울 때가 많다. 그러므로 보안 관제 센터를 총괄하는 사람이라면 단조로운 업무와 역동적인 도전 과제를 균형감 있게 섞어서 분석가들을 달랠 수 있어야 한다.

2. 번아웃
산더미처럼 쌓인 데이터를 빛의 속도로 읽어내고, 이를 실수 하나 없이 처리하는 최고의 분석가를 보유하고 있다고 치자. 이 능력자는 꾸준하기까지 해 혹시 기계가 아니냐는 의심까지 받고 있다. 그렇다면 관리자들은 이 부하직원에 어떤 보상을 해줄 수 있을까? 보통은 일거리를 더 준다. 그럴 수 있다. 애초에 일을 하라고 고용해서 그 자리에 앉힌 게 그가 능력을 발휘하게 되는 근본적인 이유다.

그러나 그도 사람이라는 걸 기억해야 한다. 누구라도 언젠가는 지치고, 딴 생각이 들 때가 있으며, 따라서 휴식이 필요하다. 일이 계속해서 들어오는 상황이고, 업무량을 스스로 제어할 수 없는 위치에 있는 사람은 더 빨리 지친다. 쳇바퀴에 빠져 있다는 느낌이 드는 순간 사람은 무력해진다. 관리자라면 업무량에 대한 고려가 반드시 필요하다. 아무리 일을 잘 쳐내는 유능한 직원이라도 말이다.

3. 경영진의 지원이 부족하다
똑똑하고 성실해 스스로 능력을 잘 발휘하는 것처럼 보이는 직원이라도, 온전히 혼자일 수만은 없다. 회사 차원에서의 지원이 필요하다. 여기서 말하는 지원이란 여러 가지의 형태로 이뤄질 수 있는데, 핵심은 ‘보안은 외로운 일, 아무도 좋아하지 않는 일’이라는 느낌을 갖지 않도록 하는 것이다. 특히 보안 사고가 터졌을 때 보안 담당자들이 모든 책임을 뒤집어 쓰게 하는 건 최악 중 최악이다. 현대의 네트워크는 너무나 복잡해 한 팀이 전담할 수 없다. 그 점을 회사가 인정하고 있다는 것, 아무 일도 일어나지 않은 것 자체가 보안의 성공이라는 느낌을 팍팍 주도록 고민해야 한다.

4. 돈
수많은 사람들의 애사심을 좌지우지 하는 바로 그것, 돈을 이야기 하지 않을 수 없다. 어렵고 힘든 일이라고 하더라도 월급날의 보상이 충분하다면 모든 것이 뿌듯함으로 변한다. 그렇다고 당장 많은 급여를 주라는 건 아니다(그럴 수 있으면 좋지만). 네가 계속해서 이 방면으로 능력을 발휘하고, 새로운 기술을 익혀나가는 등 발전하는 모습을 보이면 승급과 급여 인상이라는 실질적인 성장을 이 회사에서 이뤄낼 수 있다는 희망을 심어주는 게 중요하다. 이 회사에서 똑똑하고 성실하게 근무하면 보상이 주어지겠다는 근거만 강력해도 부하직원들은 조직을 쉽사리 떠나지 못한다. 물론 약속만 있어서는 안 된다.

5. 훈련의 기회가 불충분하다
위에서 언급한 ESG의 보고서에서 96%의 응답자가 “보안 전문가로서 새로운 기술을 계속해서 계발해나가지 않으면 우리 조직은 위험에 처할 것”이라고 예상했다. 그러나 66%는 “기술 계발을 꾸준히 하는 게 어렵다”고 답했는데, 그 이유로 “관제 센터에서의 일이 너무나 많아 물리적으로 시간이 없다”를 꼽았다. 미술에도 여백의 미라는 개념이 있듯이, 아무리 빡빡하게 돌아가야 하는 관제 센터에서라도 어느 정도 개개인에게 ‘여백’이 보장되어야 한다. 똑똑하고 성실한 사람들일수록 자기 시간을 들여 자기 계발을 하고 싶어 한다는 걸 이해해야 한다. 회사 차원에서 여러 훈련 프로그램을 마련해 제공할 때 관제 센터 근무 환경이 마냥 막막하게만 느껴지지 않는다는 것을 필자는 여러 차례 보아왔다.

보안 업계는 항상 새로운 공격 기술이 등장하는 곳이다. 개인적으로 보안 전문가들을 다루는 관리자들이 왜 이런 소식들을 그냥 묵혀두는지 이해할 수 없다. 똑똑하고 성실한 당신의 부하직원들에게 가끔 새로운 공격 기술을 모방해보라고 한다거나, 그에 대한 방어를 시연해보라고 과제를 내준다면 어떨까? 금세 눈이 반짝반짝하게 빛나는 걸 볼 수 있을 것이다. 필자는 많은 경우 그래왔다. 여기에 적절한 보상까지 더해준다면 그들은 금방 생기를 되찾는다.

지금은 대(大) 데이터 시대다. 데이터를 읽고 해석할 줄 아는 능력이 귀하다. 그리고 이런 사실을 데이터 분석가들도 알고 있다. 자신들의 가치가 높다는 걸 알면서, 굳이 척박한 곳에 오래 있을 사람은 없다. 솔직히 말해 아쉬운 건 기업이지 그들이 아니다.

글 : 에디 알머(Edy Almer), Cyberbit
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


[(ISC)² 시큐어 서밋] 웨슬리 심슨 COO, “보안인력 육성 위해 다양한 교육 필요”

대담하고 뻔뻔한 시 터틀 공격자들, DNS 하이재킹 즐겨해




사단법인 한국정보보호최고책임자협의회
서울시 마포구 마포대로 25 신한디엠빌딩 1302호 ㅣ TEL : 02-701-7037 ㅣ FAX : 715-8245 ㅣ Email : ciso@cisokorea.org
COPYRIGHTⓒCISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보취급방침