사이버보안 분야에서 일하는 것은 점점 더 어려워지고 있다. 보안팀이 공격 전술과 기법을 따라잡기 위해 분투하는 가운데 사이버 범죄자가 계속 게임의 수준을 업그레이드하기 때문이다. 기업은 보안 부서에 거의 불가능한 수준의 요구를 하고 있으며, 지원은 거의 없다시피 하다.

사이버보안 분야에서 SOC 애널리스트부터 사고 대응, CISO에 이르기까지 많은 역할이 지닌 ‘항상 깨어 있어야’ 하는 특성 때문에 보안 전문가가 숙면을 취하거나 양질의 휴식 시간을 보장받는 경우는 거의 없다. 많은 CISO들은 다음번 보안 사고로 해고될 것이라고 걱정하고 있으며, 보안 침해가 계속해서 빠르게 발생하고 있다.

업무 스트레스 요인이 증가함에 따라 번아웃도 늘었는데, 긴장된 노동 시장에서는 보안 부서의 자원 부족이 반복적으로 발생해 모든 보안 전문가에게 주요 스트레스 원인이 된다.

ISSA의 7번째 연례 ‘보안 전문가의 삶과 시대’ 보고서의 저자이자 전직 업계 애널리스트 존 올츠익은 “사이버보안 전문가라면 경력을 가리지 않고 모두 지쳐가고 있다. 문제는 점점 더 악화되고 있다”라고 진단했다. 또한 ”스트레스의 상당 부분이 기술 부족과 관련이 있다. 10명의 직원이 13명의 직원의 일을 하고 있는 것이다. 2025년에서 기업의 예산 삭감과 긴축을 목격되는데, 기존 문제를 영속화할 뿐”이라고 경고했다.

ISSA 설문조사에 응한 369명의 응답자 중 거의 65%가 업무가 점점 더 어려워지고 있다며, 업무의 복잡성과 부담의 증가, 더 많은 위협과 더 큰 공격 표면, 규제 준수 압박, 인력 부족 등을 가장 큰 스트레스 요인으로 꼽았다. 보고서는 또한 스트레스를 받는다고 답한 사람의 대다수(81%)가 사직을 빈번히 고려하고 있다고 답한 반면, 자신의 역할에 만족한다고 답한 응답자는 17%에 불과했다고 밝혔다.

번아웃과 스트레스의 악순환을 끊는 4단계

다행히도 보안 책임자는 적은 자원으로도 악순환을 끊고 자신과 팀의 직무 만족도를 향상시킬 수 있다. 그러나 이런 노력은 능동적이어야 한다. 즉, 소통, 경청, 포용, 권한 부여, 보안 팀원의 동기 부여 등이 포함되어야 한다.

그러나 사이버보안 리더가 스트레스를 받는 팀을 치유하기 위해서는 우선 자신의 스트레스 수준을 줄여야 한다. 두 가지 모두 함께 진행되어야 한다. 행복한 직원일수록 한 직장에 오래 머무르는 경향이 있으므로 CISO의 주요 스트레스 요인을 줄일 수 있다.

전문가가 기업의 추가적인 자원 없이 사이버보안 팀 내 모든 계층과 역할에서 사기를 향상시키는 팁을 공유한다.

1. 동료와 의견 공유하기

관리자와의 파트너십 강화, 기업 문화의 변화, 잘못된 직원에 대한 시정 등 어떤 상황에서도 동료의 의견은 매우 중요하다. 다른 보안 리더가 유사한 상황을 처리했을 가능성이 높기 때문에 그들의 의견, 공감, 조언은 매우 중요하다.

넷플릭스에서 정보 보안 책임자로 일했고, 차기 국제 ISSA 회장인 지미 샌더스는 “번아웃 방지 방법 하나는 동료와 지속적으로 소통하는 것이다. 왜냐하면 모든 문제는 비교적 일관적으로 일어나기 때문”라고 말했다.

샌더스는 큰 스트레스 요인 하나로 AI를 꼽았다. AI를 도입한 후 관리자가 현실적인 기대치를 설정하는 방법, AI가 지금도 업무를 수행할 수 있는데도 직원을 해고할 것이라고 말하는 등의 상황을 말한다. 그러면서 관리자는 결과를 기대하고, 실제로 보안 리더와 팀원 모두에게 번아웃이 일어날 수 있다.

그래서 샌더스와 동료들은 비즈니스 리더가 AI 등 새로운 기술을 도입할 때 가치와 비용, 정확성, 새로운 위험과 관리 비용, 솔루션 설치와 유지에 필요한 인력 등 다양한 측면을 고려해 현명한 결정을 내릴 수 있도록 돕는 템플릿을 개발하고 있다.

샌더스는 “비즈니스 리더에게 ‘동료들과 이야기를 해봤는데, 솔루션 수익률이 40%에 불과했다’라고 말할 수 있어야 한다. 이것이 바로 동료 집단이 존재하는 이유다. 근거가 있으면 비즈니스 성과 달성을 위해 혁신적 기술을 도입하고 있음을 보여줄 수 있다”라고 설명했다.

2. 비즈니스 리더와 공유하기

많은 것을 잘 아는 리더일수록 새로운 이니셔티브에 보안을 포함시키고 옹호할 가능성이 높다. 보안이 골칫거리로 여겨지는 문화에서 보안을 중요한 비즈니스 도구로 받아들이는 것은 중요한 변화이다. 이런 변화가 일어나면 CISO의 또 다른 주요 스트레스 요인인 관리 지원 부족을 크게 줄인다.

보안 중심의 기업에서는 모든 팀원이 자원이나 지원 없이 기적을 만들어야 한다는 압박을 덜 받는다. 리더와 자원을 놓고 싸우지 말고, CISO는 직원을 파악하고 관리하는 데 더 많은 시간을 할애할 수 있다.

3억 달러 이상의 매출을 올리는 AI 기반 영업 최적화 플랫폼 프로스 홀딩(PROs Holdings)의 CISO 수전 시노프는 보안이 최우선인 회사를 만난 것이 행운이라고 생각한다. 동시에 과거의 일부 직책에서 경험했던 유해한 경영진 리더십에도 익숙해 있다.

시노프는 이전 회사에서 멘토의 추천을 받아 CISO로 승진될 예정이었지만 경영진이 거부하고 자격이나 경험이 덜한 남성을 그 자리에 앉힌 후 보좌 역할을 배정받은 기억이 있다. 오래지 않아 다른 회사로 옮겼다. 이후 모든 것이 잘 풀리고, 역시 멘토의 추천을 받아 현재 직책에 오른 후 강력한 보안 문화를 바탕으로 경영진의 지원을 받을 수 있었다.

3. 팀과 공유하기

시노프의 진정한 도전은 번아웃된 상태에서 문제가 생긴 잠재력 있는 팀원을 지속 가능한 형태의 고성과자 팀으로 변화시키는 것이었다. 시노프가 합류했을 때, 과도한 근무로 지친 팀원 모두가 퇴사를 계획하고 있었다. 애사심과는 별도로 보안 업무는 끔찍했다. 재능 있는 팀원이 많았지만 함께 일하는 데 어려움을 겪었다. 시노프는 팀에 신경을 쓴 것이 큰 성공 요인이라고 말했다.

시노프는 매주 일대일 회의를 열어 직원의 스트레스 요인을 파악하면서 개인을 알아가고 역할을 이해하며 직원의 목적 식별을 도왔다.

시노프는 “팀원은 실수를 저지르는 것을 두려워했다. 역할이 뒤섞여 있어서 서로가 발을 밟고 있었고 내부 경쟁이 일어났다. 개인을 알게 된 후 각각의 역할과 레인을 지정하고 리더가 지지하고 있음을 보여주었다”라고 말했다.

일대일 미팅에서는 직원에 적극적으로 공감하고, 가능한 한 스스로 문제를 해결할 수 있도록 힘을 실어준다. 예를 들어 다른 직원이 자신을 괴롭힌다고 생각하는 직원에게 리더가 직접 그 팀원과 소통해 문제 해결에 조언을 주고 필요할 경우 개입하겠다고 말했지만, 직원이 문제를 해결할 수 있다는 확신이 있었다. 시노프는 강력한 지원과 문제를 해결해주는 상급자의 존재는 직원의 번아웃 방지에 도움이 된다고 말했다.

또한 팀원에게 빠르게 실패하라고 강조하며 실패에 대한 두려움에 사로잡히지 않도록 하고 있다(팀원들은 이 말을 좀 더 긍정적인 말로 바꾸려고 노력하고 있다). 시노프는 보안이 어렵고 모호하며 새로운 문제를 해결해야 하는 분야이므로 제대로 해결하지 못해도 괜찮다며 “성공은 시도하고 배우고 발전하는 것”이라고 요약했다.

4. 보상, 인정, 휴식 시간 공유하기

시노프는 기업 경영진으로서 보안팀을 옹호하고, 회사 리더에게 팀의 성과를 알린다. 그러면 리더는 팀원에게 직접 또는 시노프를 통해 인정하고 보상한다. 인정은 개인과 팀의 사기와 동기를 향상시킨다.

개인적인 스트레스 요인도 번아웃에 영향을 미치기 때문에, 팀원이 일대일 면담이나 그룹 회의에서 개인의 스트레스 요인을 공유할 것을 권장한다. 잠시 휴식을 취할 시간이 필요한데도 24시간 깨어 있어야 한다는 보안 분야의 고정관념 때문에 정당한 휴가를 누리지 못하는 경우가 많다. 시노프는 스트레스를 받는 직원이 번아웃되지 않도록 충분한 휴식과 재충전을 자주 권유한다.

ISSA 설문조사에 따르면, 행복한 직원은 일반적으로 더 오래 근무하며, 이는 궁극적으로 보안 리더의 번아웃을 방지하는 데 도움이 된다.

vCISO 르네 거트만은 통제할 수 없는 팀과 상황을 다루어야 하는 CISO의 경우 인력 충원이 큰 스트레스 요인일 것이라며 ”CISO로서 통제할 수 있는 것, 즉 인재 채용과 공정한 팀 보상 보장에 집중하는 것이 중요하다. 그래야 압박을 줄이고 장기적인 성공을 거둘 수 있다”라고 설명했다.
dl-itworldkorea@foundryco.com