사이버 보안 인력 부족

배경

오늘날 조직이 직면한 가장 복잡한 보안 문제를 해결하기 위해서는 기업, 정부와 학계에서 업계의 사이버 보안 전문가 수를 지속적으로 늘려야 합니다. 다양한 배경을 가진 재능있는 사람들이 증가하고 있는 IT 및 사이버 보안 인력 부족 현상을 해소할 수 있도록 업계의 진입 장벽을 철폐하고 교육 기회를 확장해야 합니다. 숙련된 전문가 부족 현상을 보완하려면 자동화 솔루션은 보다 정교해져야 합니다.

사이버 보안 인력의 부족이 조직의 점점 복잡해지는 정보 네트워크 보안 관리 능력에 영향을 미치고 있다는 것은 잘 알려져 있습니다. McAfee와 CSIS(Center for Strategic and International Studies)의 2016년 연구인 "”Hacking the Skills Shortage"에 따르면 사이버 인력 부족은 지역 또는 국가 차원의 문제가 아니라 전 세계적인 문제입니다. 세계 전역에서 82%의 응답자가 조직 내 사이버 보안 기술이 부족하다고 답했으며 71%는 인재의 부족으로 인해 조직이 공격에 더 취약해짐을 인정했습니다.

이 문제는 앞으로 점점 더 심각해질 것입니다. 2017년 2월 (ISC)2Global Information Security Workforce Study에 따르면 2022년에 인력 부족은 180만 명에 달할 것으로 예측되었습니다. 이러한 부족 현상을 해소하기 위해 정책입안자는 상당수의 인구가 기술 관련 직종, 특히 사이버 보안 직종에서 일하도록 장려해야 합니다.

사이버 보안 인력 부족은 연방 정부에서 특히 두드러집니다. 전임 미국 최고 기술 책임자인 Tony Scott에 따르면 연방 정부에서 사이버 전문가를 위한 일자리는 1만 개에 달하지만, 자격을 갖춘 사람의 수는 자리를 채울 만큼 충분하지 않았다고 합니다. 미국 국방성과 국토안보부가 정보기관으로서 미국을 보호하는 데 차지하는 중요한 역할을 생각해보면 이러한 기술 인력 부족으로 인해 불안감이 조성될 수 있으며 정책입안자들의 관심이 필요합니다.

2017년 5월 Donald Trump 미국 대통령은 상무부 및 국토안보부 장관에게 미래의 미국 사이버 보안 인력을 교육하고 훈련하기 위한 행정부 차원의 노력에 대한 범위 및 정도를 평가하기 위해 사이버 보안 행정 명령을 발표했습니다. 이 행정 명령은 초등교육부터 고등교육에 이르는 교육과정과 훈련 및 수습 프로그램을 대상으로 합니다.

McAfee에 가지는 중요성

모든 수준에서 재능 있는 사이버 보안 전문가가 늘어나도록 하는 것은 McAfee의 최고 이니셔티브 중 하나입니다. 당사는 정책 옹호와 학교 및 대학교와의 파트너십을 통해 장기적이고 체계적으로 사이버 보안 기술 격차를 줄이기 위해 공공 및 민간 부문 이해당사자와 최선을 다해 협력했습니다. 기술 격차를 해소하는 데 적극적으로 참여하면서 당사는 지역사회와 강한 유대감을 구축할 수 있으며 이는 회사의 성장과 번영에 필요한 유형의 인재를 모집하고 보유하는 데 도움이 됩니다.

선도적인 사이버 보안 업체인 McAfee는 기술 인력 부족을 완화하고 이를 보완하기 위해 최선을 다하고 있습니다. 당사는 통합 환경에서 제공되는 지능형 자동화를 활용하여 일상적인 작업을 수행하는 데 필요한 인적 자원을 대체해야 한다고 생각합니다. 이는 조직을 더 잘 방어하는 데 도움이 되며, 지능형 컨텍스트 기반 자동화를 추구하는 조직적으로 구성된 정책을 통해 사람은 가장 잘 하는 일, 즉, 사고와 행동을 할 수 있게 됩니다.

핵심 포인트

공공/민간 부문 교차수분

공공 및 민간 부분에서 특히 중대한 사이버 보안 사태 동안 인재를 공유할 수 있도록 창의적인 접근법을 개발해야 합니다. 사이버 보안은 급속도로 변화하는 분야로 오늘 유효한 사항이 내일이면 대체될 수 있습니다. McAfee는 공격자가 대개 민간 부문에서 개발된 새로운 방어 기술에 대응하면서 끊임없이 혁신하고 경로를 변경한다는 것을 알고 있습니다. 정부의 사이버 실무자가 민간 부문의 도움 없이 급속하게 변화하는 환경에 적응할 수 있다고 생각하는 것은 비현실적입니다. 사이버 전문가, 특히 분석가 또는 분석가가 되기 위한 교육을 받고 있는 사람들이 공공 부분과 민간 부문을 오가며 활동할 수 있는 메커니즘을 설계하여 정부 조직이 계속 새로운 전문 지식을 공급받을 수 있도록 해야 합니다.

이를 달성하기 위한 한 방법은 DHS가 기업 및 대학과 같은 기타 조직과 파트너 관계를 맺고 운영자, 분석가, 연구원과 같은 사이버 보안 전문가가 공공 부문과 민간 부문 서비스를 자유롭게 오갈 수 있도록 인증하여 인력을 확보하는 것입니다. 이러한 전문가들, 특히 민간 부문의 전문가들은 영향을 받은 조직의 도움 요청에 응할 수 있으며 정부는 중대한 해킹에 시기적절하게 대응할 수 있습니다. 정부와 민간 부문의 사이버 보안 전문가들은 매년 2~3주 정도의 정기적인 일자리 순환을 통해 혜택을 얻을 수 있습니다. 이러한 유형의 교차수분은 두 그룹의 전문가 모두가 기술, 비즈니스 프로세스, 인적 관리에 관한 모범 사례를 공유하는 데 도움이 됩니다. DHS는 사이버 보안 채용 및 유지 계획을 재작성하려는 계획에 유연한 공공/민간 인증 전문가 풀을 포함해야 합니다. DHS에서 행동할 준비가 되지 않았다면 의회는 공공 및 민간 부문 전문가로 구성된 전문가 집단을 수립하여 유연한 사이버 보안 전문가 체계를 어떻게 시작하고 관리할 것인가에 대해 연구하도록 해야 합니다. 미국의 주 방위군과 마찬가지로 기술 인력 부족에 대처하기 위한 유연한 인력 충원 접근법은 탁월한 모델이 될 것입니다.

 

CyberCorps 프로그램 확장

NSF(National Science Foundation)의 SFS(CyberCorps Scholarship for Service) 프로그램은 정부 시스템과 네트워크를 보호하는 연방 정보 보증 전문가의 수를 늘리고 역량을 강화하도록 설계되었습니다. 지금까지 연방 정부는 SFS 프로그램 지원에 대한 확고한 의지를 표출했으며 2015년에는 4500만 달러, 2016년에는 5000만 달러, 2017년에는 7000만 달러를 지출했고, 행정부의 2018 회계연도에는 4000만 달러의 예산이 요청되어 있습니다. 4000만 달러의 투자는 약 1500명 이상의 학생이 장학 지원 프로그램을 마칠 수 있는 금액입니다. 사이버 기술 인력 부족의 규모와 범위를 고려하면 정책입안자들은 프로그램을 대폭 확대할 필요가 있습니다. 1억 8천만 달러의 투자를 통해 약 6400명의 학생에게 장학금을 지원할 수 있으며 사이버 인력 부족에 대한 단기적인 해결책이 될 수 있습니다.

 

지역 전문대학 프로그램 만들기

지역 전문대학은 최근 고등학교를 졸업한 학생부터 전역한 군인, 타 직종에 종사하다가 직업을 바꾸길 원하는 기타 성인 학생을 포함한 다양한 학생을 유치하는 경향이 있습니다. 공공 및 민간 투자를 통해 지역 전문대학은 IT와 사이버 보안에 중점을 둔 재정 지원을 받는 코스를 만들 수 있습니다. 관심이 있는 학생은 대학교수와 민간 부문 실무자 모두로부터 교육을 받고 사이버 보안에 관한 2년제 교육 수료 증명서를 받게 되며, 4년제 대학으로 편입하거나 바로 취업 시장에 뛰어들 수 있습니다. CyberCorps 프로그램과 마찬가지로 졸업생은 연방 정부에 배치되어 장학금을 지원받은 기간 만큼 보장된 정부 일자리에서 일하게 됩니다. 이러한 프로그램은 이미 존재하고 높이 평가받고 있는 CyberCorps SFS 프로그램을 대체하는 것이 아니라 보완해야 합니다.

 

K-12(유치원~고등학교) 교육

K-12 학생들에게 사이버 보안이 사회에 긍정적인 영향을 미칠 수 있는 매력적인 직업임을 알리는 것은 매우 중요합니다. 최근 Microsoft의 데이터에 따르면 유럽에서 여학생의 STEM에 대한 관심은 11세 무렵에 시작되나 15세가 되면 줄어들기 시작한다고 하며, 이는 중요한 시기에 어린 여성을 계속 유치하고 고무하는 것이 중요함을 시사합니다.

교사의 고용을 늘려야 하지만, 사이버 보안은 매우 독특한 연구 분야이며 그에 따라 독특한 교수법이 필요하다는 점을 기억해야 합니다. 업계 종사자는 효율적인 사이버 보안 전문가가 되는 방법에 대한 대화를 개선할 풍부한 경험을 보유하고 있으며, 분야에서 실제적인 직접 경험을 통해 탁월한 통찰력을 얻게 됩니다.

 

다양성을 크게 증대

사이버 보안 직종은 여러 부문의 다양성에서 큰 이점을 얻을 수 있습니다. 사이버 안전 및 교육 센터(Center for Cyber Safety and Education)와 정보 보안, 위험 관리 및 개인 정보 보호에 관한 실무 여성 포럼(Executive Women’s Forum)에서 발표한  사이버 보안에서의 여성(Women in Cybersecurity) 보고서에 따르면 전 세계적으로 사이버 보안 직종에 종사하고 있는 여성은 11%에 불과합니다. 북미에서는 사이버 보안 전문가의 14%만이 여성입니다. Bureau of Labor Statistics의 자료에 따르면 정보 보안 분석가 직종에서 흑인이 점하는 비율은 3%라고 합니다. 더 많은 여성과 유색인종을 교육하고 고용하는 것은 기술 격차를 줄이는 데 도움이 될 수 있습니다. 흥미롭게도, 사회에서 전통적으로 ‘여성적’이라고 생각해 왔던 협업, 팀워크, 창조성과 같은 특징은 사이버 보안 업계에서는 매우 가치 있는 덕목입니다.

게다가 사이버 보안이 어떻게 사람들에게 도움이 되는지를 더 잘 설명함으로써 더 많은 여성에게 호소하는 동시에 남을 돕고 싶어 하는 사람을 끌어들일 수 있습니다. 예를 들면, 여성 공학 전공자 중에서는 사람에게 도움을 주는 분야와 직접 연관된 분야인 의료생명공학과 환경공학을 전공하는 사람이 가장 많습니다. 사이버 보안이 사람들을 보호하고 돕는 분야라는 사실은 자명합니다. 이 영역을 효과적으로 브랜드화한다면 150만 명에 달하는 인력 부족과 늘어나고 있는 인력 부족을 충당할 수 있는 유능한 여성 청소년 및 성인은 매우 많습니다.

 

반복적인 기능의 자동화

사이버 보안 기술 인력 부족에 대처하는 결정적이고 보다 장기적인 전략은 특히 머신러닝 및 인공지능 등과 같은 고급 기술을 사용하여 시스템의 자동화 지원 비율을 높이는 것입니다. 자동화된 아키텍처는 사이버 보안 및 IT 직원의 반복적인 업무를 줄이고 사람의 개입과 분석이 필요한 개선을 결정하는 데에만 집중할 수 있도록 하여 기술 인력 부족에 대처하는 데 도움이 됩니다. 점점 더 정교해지는 자동화된 솔루션에 의지하는 것은 효율적일 뿐만 아니라 필수적이기도 합니다. 기술은 빠르게 발전하고 있지만, 사이버 기술의 격차를 완전히 메꾸는 데는 시간이 걸릴 것입니다. 더 많은 사이버 보안 전문가를 양성하는 동시에 반복적인 업무를 자동화함으로써 전문가들이 보다 정교한 작업을 담당하도록 하는 두 가지 목표를 동시에 추구해야 합니다.