기업의 데이터 로그에 문제를 일으키 는 패턴을 인식할 수 있는 프로그 램은 존재하지 않는다. 있어서는 안 되는 것이 무엇인지 파악할 수 있는 전문가 도 없기는 마찬가지다. 그렇지만 모두가 최 고의 재능을 다투는 시대에 필요한 전문가 가 충분하지 않다는 것이 말이 될까?
미국의 비즈니스 컨설팅 기업인 프로스트 앤 설리번은 관리 및 기술 컨설팅 기업인 부즈 앨런 해밀턴과의 협업을 통해 매년 "글 로벌 정보 보안 인력 연구" 보고서를 발간한 다. 이 연구 보고서는 2013년 한 해에만 전 세계적으로 약 332,000여 개의 사이버 보안 관련 일자리가 새로 생겨나 이 분야에 종사 하는 사람이 320만 명에 달할 것으로 예측 했는데, 이것은 10% 이상 성장한 규모다.
아르헨티나 부에노스 아이레스에 위치한 보 안 연구 및 대응 기업인 코어 시큐리티 (CORE Security)의 프로그램 관리 이사인 알베르토 솔리뇨(Alberto Soliño)는 진정한 전문가란 다년 간의 보안 테스트 경험이 있 고, 침해 문제를 처리할 수 있으며, 블랙 햇( 해커)이 사용하는 최신 기술을 이해하고 또 한 보안 업계에 대한 이해가 깊은 사람이라 고 말했다.
알베르토 솔리뇨는 "이런 이력의 소유자는 매우 드물고 일반 중소기업에서 채용하기에 는 몸 값이 매우 높다"고 했다. 알베르토 솔 리뇨는 기업 내부에 여러 명의 보안 전문가 를 두고 특화된 보안 제품을 구입해 사용하 는 방식은 초대형 기업을 제외한 일반 기업 에 가장 적합한 최상의 해결책이라고 덧붙 였다. "상용 테스트 툴이 찾아낼 수 있는 취 약성을 확인하기 위해 (컨설턴트에게) 돈을 쓰고 싶은 기업은 없습니다."
이론 대 실제
미국의 연구 및 교육 기관인 샌스 연구소 (SANS Institute)의 연구 책임자 앨런 팰러 (Alan Paller)는 현재 대부분의 "전문가들"에 게 실무 보안 교육 경험이 거의 없다는 것이 진짜 어려운 문제라고 지적하면서, 위협이 존재한다는 사실을 파악한다 하더라도 내일 이뤄질 지도 모르는 공격에 대비하여 대응 체계로 전환할 수 있는 능력을 지닌 전문가 는 더더욱 드물다고 말했다.
“이런 이력의 소유자는 매우 드물고 일반 중소기업이 채용하기에는 몸 값도 매우 높습니다.”
알베르토 솔리뇨
프로그램
프랑스 파리에 위치한 캐시디언 사이버시큐 리티의 컴퓨터 보안 사고 대응팀장인 데이 비드 비젤(David Bizeul)은 대부분의 소규모 기업들은 보안 인력의 인건비를 감당할 수 없다고 말했다. 데이비드 비젤은 이런 기업 들은 사이버 보안 전문업체를 아웃소싱하는 것이 바람직하다고 조언한다.
데이비드 비젤은 "자기 말을 외계어 취급하 는 동료들 사이에서 일한다는 것 자체가 사 이버 보안 전문가에게는 고역일 수 있다"고 했다. 보안 전문가가 드물기 때문에 보안업 계에 속하지 않은 기업들이 보안 전문가를 고용하기란 더욱 어려워질 것입니다."
버지니아주 알렉산드리아에 위치한 보안 컨 설팅 기업인 맨디언트(Mandiant)의 CSO인 리처드 베틀리히(Richard Bejtlich)는 클라우 드 보안 제공업체를 세심하게 살펴볼 것을 촉구한다. 리처드 베틀리히는 요건에 대한 체크리스트를 하나 만든 뒤에 이것을 클라 우드 보안 제공업체가 어떻게 평가하는지 파악해보라고 조언한다. ( http://bit.ly/17ITP4C에서 "클라우드 제어 매트릭스 (Cloud Controls Matrix)" 참고)
리처드 베틀리히는 "IT 분야의 기업이 아니 라면 괜찮은 클라우드 제공업체를 선택해서 보다 나은 서비스를 받는 것이 바람직하다" 는 의견이다. "하지만 어떤 제공업체를 선택 하느냐에 따라서 서비스 품질이 달라질 것 입니다." 라고 덧붙였다.
보안 전문가 육성
그렇다면 진짜 실력 있는 전문가를 구하는 방법은 무엇인가? 앨런 팰러에 따르면, 기존 의 정책 분석가를 재교육하는 것으로는 이 러한 물음에 대한 해답이 나오지 않는다. 그 는 "영리한 젊은이들을 교육하여 많은 전문 가를 빨리 양성하는 것이 한층 쉬운 방법이 될 수 있습니다." 라고 말했다.
앨런 팰러가 말하는 것처럼, 이미 미국의 몇 몇 주에서는 해킹 대회 우승자 열 명에게 장 학금을 제공하는 육성 프로그램을 발표했다. 내년에는 미국의 50개 주 모두에서 이와 같 은 육성 프로그램이 발표될 것으로 예상된 다. (www.cyberaces.org)
귀하의 조직에 적절한 수의 정보 보안 담당 직원이 있습니까?
Source: 2013 Global Information Security Workforce Study, Frost & Sullivan and Booz Allen Hamilton