????? ???, ?? ?? ??? ???? ?? ? ??? ??? ??? ??? ???? ??? ???? ??. ??? ??? ?? ??? CISO?? ?? ??? ?? ?? ???? ??? ??? ?? ? ?? ?? ??? ??? ? ?? ??? ??? ? ??. Credit: Tero Vesalainen / Shutterstock 기업 내 보안 부서를 이끄는 핵심 리더들이 현 직무에 대한 불만족을 토로하며 새로운 기회를 모색하고 있다. 특히 최고정보보안책임자(CISO)에게 직접 보고하는 보안 부서장들이 대거 이직을 고려하고 있는 것으로 나타났다. 그러나 고용 시장이 둔화되면서 실제 이탈은 지연되고 있으며, 이는 CISO에게 기존 인력을 붙잡을 수 있는 기회가 될 수 있다는 분석이 나왔다. ‘’에 따르면, 부서장급 리더의 53%가 가까운 시일 내 이직을 고려 중이라고 답했다. 이는 중간 관리자(46%)나 일반 직원(40%)보다 높은 수치다. IANS는 보고서에서 “이 같은 응답이 반드시 실제 퇴사로 이어지진 않지만, 동기 저하와 직무 불만이 잠재돼 있다는 신호”라고 분석했다. IANS의 선임 연구 책임자인 닉 카콜로프스키는 “이직을 원하는 리더들이 많지만, 현재 채용 시장이 정체돼 있어 실제 움직임은 제한적”이라며 “지금이야말로 비교적 적은 비용으로 만족도를 높이고 핵심 인재의 충성도를 확보할 수 있는 시기”라고 설명했다. 이어 “시장 상황이 풀렸을 때 대규모 이탈을 막으려면 지금부터 선제적으로 대응해야 한다”고 전했다. 컴플라이언스 컨설팅 기업 디리스크파트너스(de Risk Partners)의 CEO 라비 드 실바는 CISO가 부서장을 붙잡으려면 사고 방식을 바꿔야 한다고 지적했다. 그는 “부서장을 지키고 싶다면 기능이 아닌 설립자의 마인드로 접근해야 한다. 단순한 감독이 아닌, 실질적인 소유감을 줘야 한다”며 “보람 있는 무언가를 만들어간다는 인식이 있어야 사람들은 자리를 지킨다”고 강조했다. 드 실바는 씨티(Citi)에서 7년간 글로벌 컴플라이언스 테스트 책임자로 재직한 바 있다. 그는 또 “리텐션은 복지가 아닌 목적의 문제”라며 “보안 문화 형성에 구성원이 목소리를 낼 수 없다면, 그 권한을 줄 수 있는 회사를 찾아 떠날 수밖에 없다. 방향 지시보다 자율성이 필요하다”라고 전했다. 업계에서 흔히 지적되는 ‘번아웃’ 문제에 대해서도 그는 다른 시각을 제시했다. 드 실바는 “문제는 번아웃이 아니라 CISO 아래에 있는 병목 현상”이라며 “중간 관리자들이 리스크는 떠안고 있지만 리더십 권한은 없다. 성장 없는 압박만 계속된다면 결국 떠날 수밖에 없다”라고 지적했다. 이어 “핵심 인재에게 클라우드, 사기 방지, 운영 등 다양한 영역을 맡겨야 한다. 이는 신뢰를 보여주고 업무 폭을 넓히며 몰입도를 높이는 효과가 있다. 지루함이야말로 번아웃보다 더 큰 이직 요인”이라고 덧붙였다. 한편, 카콜로프스키는 IANS의 연구 결과를 인용해 “기업 내 CISO가 점점 더 오래 자리를 지키면서 그 밑에 있는 리더들은 CISO 자리를 노리기 위해 더 오래 기다리거나 외부로 눈을 돌려야 하는 상황”이라고 분석했다. 보안 리더가 직면한 고유한 과제 사이버보안 리더 이직을 막기 위한 전략 중 하나로, ‘팀 유대감’의 중요성을 간과해서는 안 된다는 지적이 나온다. 보안 컨설턴트 마이크 피에카르스키는 “팀원 간 관계는 업무 만족도의 핵심 요소이며, 사람들은 서로를 위해 자리에 남기도 한다”라며 “함께 새로운 것을 탐색하도록 독려하면 자연스럽게 팀 분위기가 형성된다”고 설명했다. 피에카르스키는 디즈니와 컴캐스트에서 보안 엔지니어링 팀을 이끈 후 현재는 사이버보안 컨설팅 기업 브리치크래프트(BreachCraft)를 운영하고 있다. 피에카르스키는 과거 보안운영센터(SOC)에서 리소스를 조율하고 기술 프로젝트를 주도하던 한 팀 리더의 사례를 언급했다. 그는 “그 리더는 인력 관리보다는 멘토링과 기술 교육에 더 흥미를 느꼈고, 반복적인 업무에 지루함을 느끼고 있었다”라며 “이후 디지털 포렌식과 사고 대응에 관심을 보이자, 해당 분야 교육 예산과 GIAC 공인 포렌식 분석가(GCFA) 자격 취득을 지원하고 역할을 재조정했다”라고 밝혔다. 이 조치는 지속적인 대화를 유도했고, 그는 행정 업무를 다른 인력에게 넘기고 기술 멘토 역할에 집중할 수 있었다. 피에카르스키는 “그의 의견을 내부 전략 수립에 반영하고, 프로젝트 계획 검토에도 참여시키며 그의 전문성과 의견을 존중하고 있다는 메시지를 전달했다”고 말했다. 보안 인증 및 교육 기관 EC-카운슬(EC-Council)의 회장 제이 바비시는 교육이 리텐션 전략으로 항상 긍정적 효과를 내는 것은 아니라고 경고했다. 그는 “교육은 광범위한 인재 개발 전략의 일환일 때 유지 효과가 있지만, 단독으로 진행될 경우 오히려 시장 경쟁력을 높여 이탈을 유발할 수 있다”라고 분석했다. AI 사이버보안 벤더 할AI(Hal-AI)의 CEO 마르코스 알베스는 업무 범위의 확장을 방치하면 직무 불만으로 이어질 수 있다고 경고했다. 그는 “직무 기술서와 다른 과도한 업무 분장은 금전적 불만뿐 아니라 직업적 좌절감을 초래한다”라며 “성과가 나도 공식적으로 인정받지 못하고, 실수가 생기면 그에 대한 책임만 지게 된다”라고 설명했다. 이어 “실제 업무와 공식 직무 간의 일치를 항상 확인하고, 필요 시 근로계약서를 갱신해 확대된 역할을 명확히 반영하라”고 조언했다. SANS 테크놀로지 인스티튜트(SANS Technology Institute)의 회장 에드 스쿠디스는 “보안 전문가들이 리더 역할로 승진하지만 준비가 부족하거나 관심이 없는 경우가 많다”라며 “더 올라갈 자리가 없는 것도 문제”라고 지적했다. AI 앱 개발 기업 넘버스스테이션(Numbers Station)의 설립자 콜린 케어드는 이직 사유가 개인 역량과 무관하게 결정된다는 점도 불만 요소라고 덧붙였다. 그는 “예산 동결, 인수합병, 오프쇼어링, 이사회 우선순위 변경 등은 모두 성과와 무관하지만 리더의 입지를 위협한다”라고 말했다. 이어 “‘이번 분기에 아무 문제 없었다’라는 말만으론 승진이나 인상 근거가 되기 어렵다”고 덧붙였다. 케어드는 대기업 내 핵심 보안 업무조차 외주화 압력에 시달리고 있다는 점을 강조했다. 그는 “내부 운영 중심이던 포춘 500 기업조차 MDR(관리형 탐지 및 대응) 서비스로 사이버보안 기능을 이전하려는 움직임이 커지고 있다”라며 “이런 흐름은 내부팀의 영향력과 고용 안정성을 약화시킨다”라고 지적했다. dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????