정보시스템감사통제협회(ISACA)가 실시한 ‘2014 APT 서베이’에 따르면 IT 보안 전문가 5명 중 1명이 자신이 속한 기업이 지능형 지속 위협(APT)의 목표가 된 적이 있다고 밝혔다. 하지만 기업의 62%는 2014년 보안 교육을 늘리지 않은 것으로 조사됐다.
 
이와 별도로 시스코가 수행한 연구에 따르면 100만 개에 육박하는 보안 전문가 일자리가 공석으로 남아있는 것으로 나타났다. 대규모 인력 부족을 보여주는 이들 지표들은 기술은 물론 비즈니스 전략과 커뮤니케이션 전문성을 강조하는 사이버 보안 프로그램이 드문 가운데 기량 격차로 더 악화됐다. 글로벌 IT 기구인 ISACA는 세계적으로 고조되고 있는 기술 위기에 대한 대처를 지원하고자 4월 30일 북미 CACS 컨퍼런스에서 ‘사이버시큐리티 넥서스’(이하 CSX)를 공개했다.
 
세계 주요 기업의 최고정보보안책임자와 사이버 보안 전문가들의 공조로 개발된 CSX는 보안 전문가와 기업이 사이버보안 연구, 가이드, 인증, 보증, 교육, 멘토링, 커뮤니티를 검색할 수 있는 단일한 중앙 창구에 대한 수요를 충족시켜준다. CSX의 모든 자료는 보다 광범위한 비즈니스적 맥락에서 보안 관련 정보를 제공하고자 만들어졌다.
 
ISACA 인터내셔널 대표에 선임된 로버트 스트라우드 CA테크놀로지스 IT 비즈니스 관리 전략 혁신 부사장은 “업계가 지금 시점에 사이버보안 기량 위기에 대처하기 위해 나서지 않는다면 유통 데이터 유출과 하트블리드 버그와 같은 위협이 계속되고 결국 기업의 위협 방어 능력을 넘어서게 될 것이다”며 “ISACA가 사이버보안 전문가들의 경력 등급에 맞춰 전문가 수준의 사이버 보안 자원을 제공하는 종합 프로그램으로 그 격차를 없애는 데 일조한다는 데 자부심을 느낀다”고 말했다.
 
사이버공격의 지속적인 증가는 엄청난 비용을 초래한다. 세계경제포럼 맥킨지 보고서는 사이버보안에 대한 현재의 접근방식을 혁신하지 않을 경우 세계 경제에 3조 달러에 이르는 부담을 지울 수 있다고 추정한 바 있다.
 
CSX(www.isaca.org/cyber)는 경력개발 자원, 프레임워크, 커뮤니티와 더불어 ‘표적화된 사이버 공격에 대한 대처와 코빗5를 활용한 사이버보안 혁신 등의 연구 가이드를 포함하고 있다.
 
CSX 프로그램은 ISACA가 NIST(미국 국립표준기술연구소), ENISA(유럽 네트워크 정보 보안 기구) 등 사이버 보안의 주축을 이루고 있는 글로벌 기관과 추진 중인 지속적인 협력을 반영하고 있다. ISACA는 스페인 바르셀로나에서 열릴 ‘유로CACS/정보 보안 및 리스크 관리 컨퍼런스에서 EC-Council이 운영하는 윤리적 해킹 대회인 사이버림픽스의 세계 결승전도 주최할 예정이다.
 
CSX 프로그램을 통해 ISACA는 45년 역사상 처음으로 보안 관련 인증을 제공하게 된다. 공인 정보 보안 관리자(CISM) 자격증명을 비롯한 ISACA의 4개 인증은 시험과 업무 경력 증명을 함께 요구한다. 최근 대학 졸업자나 분야 변경을 모색하는 IT 전문가에 적합한 ‘사이버보안 기초 인증’의 경우 응시자들이 잠재적 고용주에게 주제에 대한 숙련도를 객관적으로 입증해줄 수 있는 지식 기반 시험을 통과해야 한다.
 
사이버 보안 일자리에 대한 학생들의 관심도 크다. 최근 ISACA 학생 지부 회원을 대상으로 실시한 글로벌 투표에 응한 ISACA 학생 회원의 88%가 일정 수준의 사이버보안 관련 지식이 필요한 직종에서 일할 계획이라고 답했다. 하지만 졸업 시 해당 직무를 수행하는 데 필요한 적절한 기술과 지식을 갖추게 될 것이라고 답한 학생은 절반에도 못 미쳤다.
 
에디 슈워츠 버라이즌 엔터프라이즈 솔루션 글로벌 사이버보안 및 컨설팅 솔루션 담당 부사장 겸 ISACA 사이버보안 태스크포스 위원장은 “보안은 최고정보책임자가 가장 우선으로 여기는 3대 항목에서 빠지는 일이 없다. 하지만 대학의 IT 및 컴퓨터 과학 프로그램은 사이버보안에 적절한 비중을 할애하지 않고 있다”며 “정식 교육과 실제 현장의 필요 간에 상당한 격차가 존재한다. 보안은 즉각 무게를 두어야 할 영역이다. 업계가 사이버위협을 감지하고 완화시키는 역량을 키울 수 있도록 해주어야 한다”고 강조했다.
 
토니 헤이즈 ISACA 인터내셔널 대표는 “기업들은 사이버보안을 가르치는 소수의 대학에만 의존할 수 없다”며 “모든 직원과 부문이 사이버 범죄에 노출될 위험이 있는 상황에서 보안은 모든 이의 문제다. 차세대 보안 담당자들이 사이버보안 교육을 최대로 접할 수 있도록 해야 한다”고 지적했다.
 
사이버보안 넥서스 프로그램에 추가될 항목으로는 멘토링 프로그램, 실무자급 사이버 보안 인증, SCADA 지침, 훈련 코스, NIST가 개발한 미국 사이버보안 프레임워크와 관련된 실행 지침, 교수용 교재 등이 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com