사이버 보안 인재 부족, 백악관의 대처

바이든 행정부는 사이버 보안 경력을 장려하는 이니셔티브를 시작하며, 기업들은 공석인 IT 보안 직무를 채우기 위해 새로운 전략을 시도하고 있다.

 

출처: PICRYL

 

미국 전역에서 50만 개 이상의 사이버 보안 일자리가 공석인 상황에서, 민간 기업과 연방 정부 모두 채용 전략을 변경하고 IT 보안 경력을 장려함으로써 이 격차를 해소하기 위해 노력하고 있다. 이번 주에 백악관 국가 사이버 국장실(ONCD)은 예산관리국(OMB)과 협력하여 "미국을 위한 서비스" 이니셔티브를 발표했으며, 이는 국가 사이버 인력 및 교육 전략(NCWES)의 일부이다.

 

주요 목표는 미국인들을 사이버 보안, 기술 및 인공지능(AI) 관련 직업에 채용하고 준비시키는 것이다. 이 이니셔티브는 학위 요구 사항을 제거하고, 역량 기반 채용을 강조함으로써 접근 가능한 경력 경로를 만드는 데 중점을 두고 있다. 이를 위해 프로그램은 등록된 견습과 같은 일터 기반 학습을 촉진한다. 이러한 프로그램을 통해 개인은 새로운 기술을 배우는 동안 수입을 얻을 수 있다. AI 분야에서는 AI가 일부 인력 부족 문제를 해결할 잠재력이 있는 것으로 보이지만, 대부분의 AI 및 관련 도구에서는 여전히 인간 요소가 의사 결정에 필수적이기 때문에 사이버 보안 인력의 중요성은 계속 유지될 것으로 보인다.

 

이번 발표는 미국이 심각한 사이버 보안 인재 부족에 직면한 상황에서 나왔으며, CyberSeek의 6월 보고서에 따르면 47만 개의 일자리 중 22만 5,200명의 인력이 추가로 필요하다고 한다.

 

교육 및 훈련 프로그램이 늘어나고 있음에도 불구하고, 국가 사이버 국장 해리 코커 주니어는 이 이니셔티브에 대한 블로그 게시물에서 "많은 미국인들이 사이버 경력이 자신에게 열려 있다는 사실을 인식하지 못하고 있다"고 말했다. "컴퓨터 과학 학위와 깊이 있는 기술 배경이 있어야 사이버 직업을 얻을 수 있다는 인식이 있다"고 덧붙였다.

 

연방 정부는 또한 신경다양성을 가진 후보자와 시각 장애인을 지원하기 위한 이니셔티브를 진행 중이라고 한다. 그리고 올해 초, 행정부는 사이버 보안을 포함한 성장 산업을 위한 견습에 2억 4,400만 달러를 투자한다고 발표했다. 이 이니셔티브는 고용주, 교육 기관 및 정부 간의 협력을 통해 지역 사회 중심의 인력 수요를 해결하는 노력을 지원한다.

 

 

비전통적인 배경을 가진 사이버 전문가들

KnowBe4의 보안 인식 옹호자 에리히 크론은 컴퓨터 과학과 관련 없는 분야에서 일하는 많은 사람들이 사이버 보안에 관심과 열정을 가지고 있음에도 불구하고 자신에게는 경로가 없다고 생각하는 것에 동의한다고 말했다.

 

"제가 알고 있는 가장 놀라운 사이버 보안 인재 중 일부는 보험, 예술, 연극 등 겉보기에는 관련이 없어 보이는 분야에서 왔습니다."라고 그는 말했다.

 

크론은 사이버 보안 세계에서 이 재능의 원천을 활용하는 것은 비전통적인 사고방식과 경험을 산업에 주입하는 이점이 있다고 덧붙였다.

 

"이는 방어를 강화하고 신선한 관점을 통해 사이버 범죄자들에 대한 방어 방안을 개발하는 데 도움이 됩니다."라고 그는 설명했다.

 

한편 RunSafe Security의 CTO인 셰인 프라이는 기업, 특히 대기업들이 학위를 가진 고도로 숙련된 사이버 인력을 선호하는 경향이 있다고 말했다.

 

"이는 훌륭한 후보자를 유치할 수 있지만, 학위가 없어도 사이버에 대한 열정이 넘쳐서 독학으로 기술을 익힌 많은 사람들을 소외시킬 수 있습니다."라고 그는 말했다.

 

그는 자신의 경력에서 함께 일했던 가장 뛰어난 사이버 보안 전문가들 중 일부는 대학 캠퍼스에 한 번도 발을 들여놓은 적이 없으며, 학위를 마친 적도 없다고 덧붙였다.

 

"기업들이 직무 교육 및 외부 교육 과정을 제공하여 사이버 보안의 경계에 있는 사람들을 사이버 보안 영역으로 끌어들일 수 있는 많은 기회가 있습니다."라고 프라이는 말했다.

 

SANS Institute와 GIAC의 5월 설문 조사 보고서에 따르면, 사이버 보안 및 HR 관리자는 전통적인 학위보다 자격증 기반 교육을 2:1 비율로 선호하는 경향이 있다고 밝혔다.

 

출처: Flickr

 

견습, 지역사회 참여

최근 설문 조사에 따르면, 이른바 '인력 부족'은 자격 요건에 대한 비현실적인 요구와 낮은 급여에 부분적으로 기인할 수 있으며, IT 보안 전문가들 사이에서 높은 수준의 번아웃이 지속적으로 발생하는 구조적인 문제도 있다.

 

이 문제를 보여주는 한 예로는, 사이버 보안 전문가들이 경제적 어려움, 번아웃, 또는 해고로 인해 사이버 범죄에 손을 대는 사례가 있다. 예를 들어 SANS 보고서는 사이버 보안 인재 부족 수치는 인력 격차에 의해 발생하며, 적절한 기술을 가진 후보자의 수를 반영하지 않는다고 밝혔다.

 

그리고 실제로 SANS 조사 응답자의 대다수(71%)는 다양한 후보자를 채용하는 데 헌신하고 있다고 말했지만, 내부적인 혼란, 표준화된 경력 경로의 부족, 특히 중급 직무에 맞지 않는 기술 세트 때문에 채용 노력이 방해받고 있다고 밝혔다.

 

조사 결과는 또한 많은 조직이 HR과 사이버 보안 팀 간의 조정 부족을 겪고 있음을 나타내며, 관리자의 37%는 HR이 사이버 직무에 대한 더 깊은 이해가 필요하다고 제안했고, 46%는 더 나은 협력을 촉구했다.

 

출처: Wikimedia Commons

 

사이버: 보람 있는 직업, 하지만 현실적인 인식이 필요

크론은 사이버 보안이 스트레스가 많지만 동시에 매우 보람 있는 경력 분야임을 이해하는 사람들에게 교육과 경력 전환을 가속화하는 프로그램을 확인하는 것이 중요하다고 언급했다.

 

"사이버 보안 경력을 고려하는 사람들이 주말이나 저녁 시간에도 사건이 발생하면 신속하게 대응해야 하는 요구 사항과 같은 이 경력 경로의 일부 도전에 대해 이해하는 것이 중요합니다."라고 크론은 설명했다.

 

프라이의 관점에서 보면, 너무 많은 기업들이 교육이나 기술 개발에 돈을 쓰는 것을 꺼려하고 있다고 한다. 하지만 이는 지속 가능한 입장이 아닐 것이다.

 

"그러한 조직들과 그 조직의 고객들에게 미치는 영향은 계속해서 사이버 보안 공격에 취약할 것이라는 점입니다."라고 그는 말했다. "그러한 조직들이 사이버 보안을 우선시하고 사이버 보안 인재 파이프라인을 구축하는 것을 늦출수록, 그들은 더욱 뒤처지게 될 것입니다."

 

따라서 기업들은 어쩔 수 없이 연방 이니셔티브를 받아들일 수밖에 없는 상황이 될 것이다.

 

 

 

출처: Nathan Eddy | Dark Reading (2024년 9월 7일)