기술보다 사고력···AI가 바꾼 신입 보안 인재 채용 공식

사이버 보안 교육 및 인증 기관인 ISC2 보고서에 따르면, 오늘날 신입 보안 인력을 채용할 때 데이터 보안, 클라우드 보안 같은 핵심 기술 역량보다 팀워크, 문제 해결, 분석적 사고가 더 중요한 기준으로 평가되고 있다.

ISC2가 발표한 ‘사이버 보안 채용 트렌드’ 연구는 또한 사이버 보안에서 AI의 역할이 확대되면서 채용 우선순위가 변하고 있으며, 관리자가 인공지능이 대체할 수 없는 인간적 역량을 더욱 중시하고 있다고 밝혔다.

이번 연구는 캐나다, 독일, 인도, 일본, 영국, 미국의 기업 채용 관리자 929명을 대상으로 진행됐다. 보고서는 AI로 인해 변화하는 상황에서도 신입 및 경력 초기 보안 인력이 장기적인 사이버 보안 방어 전략을 수립하고 인력 격차를 해소하는 데 여전히 핵심적이라는 점을 확인했다.

변화하는 채용 기준

CSO와 인터뷰한 전문가들은 채용 담당자가 팀워크, 커뮤니케이션, 문제 해결 역량을 우선시해야 한다는 데 의견을 같이했다. 동시에 업계가 점점 심화되는 인력 격차를 해소하기 위해서는 잠재적 인재를 찾는 채용 범위를 넓혀야 한다고 강조했다.

기술 리크루팅 기업 하비 내쉬(Harvey Nash)의 컨설턴트 모 가이비는 파운드리 산하 언론사 CSO온라인과의 인터뷰에서 “고용주는 기술적 적성과 대인 관계 역량을 함께 갖춘 인재를 원하고 있다”라고 전했다. 그는 “사이버 보안은 더 이상 IT 부서에만 국한되지 않는다”며 “법무, 인사, 마케팅 부서와도 긴밀히 협력해야 하기 때문에 소프트스킬이 필수”라고 설명했다. 이어 “조직 전반에 보안을 내재화할 수 있는 전략적 사고가 가능한 인재를 원한다”고 표현했다.

가이비는 또한 “특히 비기술 이해관계자와의 강력한 커뮤니케이션 역량이 우선순위가 됐다”며 “빠르게 변하는 환경에서의 문제 해결, 부서 간 협업, 적응력, 전략적 사고 역시 주요 평가 기준”이라고 말했다.

산업 채용 트렌드 인사이트 플랫폼 임플로이어스.io(employers.io)의 마케팅 디렉터 그레고리 루벨린은 “기술 역량이 여전히 중요하지만, AI가 많은 일상적 모니터링과 탐지를 맡으면서 기업은 인간 고유의 역량을 더욱 중시하게 됐다”라고 분석했다.

루벨린은 또 “CISO들이 채용에서 학위보다 역량을 중시하는 흐름이 강해지고 있다”며 “신입 인재들은 단순 자격증을 넘어 학습 범위를 넓혀야 한다”고 조언했다. 그는 “이력서에 클라우드 보안 모듈을 나열하는 것만큼이나 실제 현장에서 분석적 사고와 팀워크를 보여주는 것이 가치 있다”며 “기업은 바로 그 균형을 찾고 있으며, 이는 AI가 대체할 수 없는 영역”이라고 강조했다.

자격증 함정과 무너진 인재 파이프라인

전문가들은 이력서와 자격증에 대한 과도한 의존이 사이버 보안 채용 성공을 가로막는 핵심이라고 지적한다. 이는 충분히 자격이 있는 인재조차 배제하는 결과를 낳기 때문이다.

사이버 보안 교육 기업 이머시브 랩스(Immersive Labs)의 커뮤니티 디렉터 키어런 롤리는 “10년 경력을 쌓고 다양한 경험과 시각을 가진 이들도 여전히 자격증을 강조하는 업계 분위기 때문에 채용에서 밀려난다”며 “인력 부족에 시달리는 산업이 단지 ‘올바른’ 시험을 치르지 않았다는 이유로 인재를 외면하는 것은 터무니없다”고 말했다. 그는 또 “사이버 보안 학위가 최적의 인재를 보장하는 것도 아니다”라고 덧붙였다.

사이버 보안 벤더 일루미오(Illumio)의 산업 전략 부사장 라구 난다쿠마라는 교육에서 고용으로 이어지는 명확한 경로 부재가 업계 진입 장벽으로 작용하며 인력 격차를 심화시키고 있다고 지적했다. 그는 “현재 많은 인재가 명확한 진입 경로를 찾지 못해 상대적으로 접근이 쉬운 다른 분야로 흘러가고 있다”며 “우리는 이들을 실제 현장으로 이끌어 줄 후속 지원이 부족하다”고 설명했다.

난다쿠마라는 견습 과정과 인턴십이 가치 있지만, 절대적으로 부족하다고 강조했다. 그는 “소규모 조직은 이런 제도를 운영할 자원이 부족하고, 정부가 더 적극적으로 나서 지원하거나 대규모 기업이 이를 도입하도록 장려할 필요가 있다”고 말했다.

애플리케이션 보안 기업 베라코드(Veracode)의 최고 보안 에반젤리스트 크리스 와이소팔은 “사이버 보안 신입 인력 파이프라인은 이미 무너졌다”고 주장했다. 그는 “잠재력 있는 많은 인재는 대학이 아닌 온라인 커뮤니티에서 활동하는 게이머, 빌더, 사상가들”이라며 “이런 비전통적 인재를 산업이 놓치고 있다”고 강조했다.

와이소팔은 또 해킹 행위를 무조건 범죄화하는 것은 단견이며, 업계가 쓸 수 있는 인재풀을 스스로 줄이는 행위라고 지적했다. 그는 “누군가의 비밀번호를 속여 빼낸 10대 청소년 모두를 평생 범죄자로 낙인찍어서는 안 된다”며 “진짜 사이버 범죄와 단순한 호기심에서 비롯된 해킹을 구분해야 하고, 후자는 오히려 채용 과정에서 적극적으로 발굴해야 한다”고 말했다.

AI의 영향

사이버 보안 인재는 늘 높은 수요가 있었지만, 위협의 빈도와 심각성이 동시에 증가하면서 그 필요성이 한층 커졌다. 전 세계 사이버 보안 인력 격차는 480만 명으로 추산되며, 이는 2024년 대비 19% 증가한 수치다.

가이비는 “이 같은 인력 부족 문제를 해결하기 위해 더 많은 조직이 AI를 활용해 초기 위협 탐지나 요약 등 일부 무거운 작업을 맡기고 있다”며 “이는 보안 인재의 필요성을 대체하는 것이 아니라, 점점 커지는 위협을 효율적으로 관리하는 수단”이라고 설명했다.

하비 내쉬와 업계 전문가들은 AI 활용이 늘어나면서 수요 인재의 프로필 자체가 달라지고 있다고 분석했다. IT 관리 소프트웨어 기업 매니지엔진(ManageEngine)의 최근 조사에 따르면, 반복적인 작업은 AI가 맡게 되면서 IT 역량은 대체되는 것이 아니라 변화할 것이라는 전망이 나왔다.

EY의 글로벌 사이버 보안 컨설팅 리더 리처드 왓슨은 최근 CSO온라인과의 인터뷰에서 “레벨 원 SOC 분석가 역할은 결국 AI에 의해 사라질 것”이라고 내다봤다. 그는 따라서 “CISO와 보안 전문가들은 비즈니스 이해력과 커뮤니케이션 같은 역량을 강조해야 한다”고 조언했다. 왓슨은 “기술이 모니터링, 분류, 격리 등의 역할을 맡으면서 이 직무는 파트너십을 맺고 조언하는 성격으로 바뀌고 있다”고 설명했다.

결국 기술적 역량은 여전히 사이버 보안 인력 격차의 핵심 문제로 남겠지만, AI가 더 많은 기술 업무를 담당하게 되면서 CISO가 부족함을 느끼는 역량은 점점 문제 해결, 분석적 사고, 그리고 조직 전반에 견고한 보안 문화를 뿌리내리게 할 다양한 대인 관계 역량으로 확대될 것으로 보인다.

인재 풀 확대

관리형 탐지·대응 기업 e2e-어슈어(e2e-assure)의 CEO 롭 드메인은 자사의 채용 과정을 보다 포용적으로 바꿨다고 밝혔다. 그 결과 e2e-어슈어 전체 인력의 10%가 신경다양성(Neurodiverse)을 가진 인재로, 사이버 보안에서 종종 간과되는 인재 풀을 포함하게 됐다.

드메인은 “패턴 인식, 창의적 논리, 세밀한 주의력 같은 이들의 강점은 ISC2가 가장 수요가 높다고 밝힌 역량과 직접적으로 맞닿아 있으며, 이는 고객과의 파트너십을 한층 강화하는 요소가 된다”고 설명했다.

사이버 보안 서비스 기업 브라이드웰(Bridewell)의 인재 채용 매니저 한나 루움은 자사가 다양성을 높이고 채용 범위를 확장하기 위해 대학, 업계 단체, 그리고 경력 전환을 원하는 이들과 적극적으로 접촉하고 있다고 전했다.

루움은 “학교, 대학, 대학교, 그리고 SANS, WiCyS(여성 사이버 보안 네트워크·Women in Cyber Security), 테크베츠(TechVets), 군 전역자를 지원하는 커리어 전환 파트너십(Career Transition Partnership) 같은 전문 단체에 워크숍, 프레젠테이션, Q&A 세션을 제공하고 있다”며 “이들 교육기관 중 상당수는 다양한 배경의 저소득층 커뮤니티를 지원한다”고 말했다.

일루미오의 난다쿠마라는 사이버 보안 채용에서 후보자의 기존 기술 지식에 집중하기보다 창의적 사고, 비판적 사고, 학습 의지에 더 주목해야 한다고 강조했다. 그는 “이런 역량은 기술보다 훨씬 가르치기 어렵다”며 “적성과 다양한 경험을 존중할 때 업계는 비전통적 인재를 유치하고, 더 포용적인 인력 생태계를 구축할 수 있다”고 말했다.
dl-ciokorea@foundryco.com