개인정보 보호 전문가에 대한 수요가 급증하고 있지만, 전문가를 채용하는 것은 상당한 도전 과제로 드러나고 있다. ISACA의 2025년 개인정보 보호 현황 조사에 따르면, 기업의 73%가 “전문가 수준”의 개인정보 보호 전문가를 채용하기가 가장 어렵다고 응답했다. 전 세계 1,600명 이상 개인정보 보호 전문가가 이번 조사에 참여했다. 개인정보 보호 전문가 부족의 원인은 비현실적인 직무 기대치, 예산 제약, 그리고 진화하는 개인정보 보호의 본질 등 매우 복합적이다.

개인정보 보호 전문가의 업무

기업의 구조와 산업에 따라 개인정보 보호 전문가가 지는 책임과 역할이 다양하다. 채용이 어려운 이유도 같다. ISACA의 개인정보 보호 전문가 실무 책임자 사피아 카지는 일부 개인정보 보호 전문가가 GDPR과 같은 규정을 준수하는지 확인하고, 개인정보 영향 평가를 수행하고, 개인정보 보호 정책을 개발하고, 수집, 사용 또는 공유할 수 있는 데이터와 수집, 사용 또는 공유할 수 없는 데이터에 대해 조언하는 등 법률 및 규정 준수에 중점을 둔다고 설명한다. 데이터 과학 분야에서 더 기술적인 역할을 맡는 사람도 있다. 이들은 어떤 데이터가 개인정보로 분류되는지 평가하고, 개인정보 보호 기술을 구축하거나, 데이터 수집을 최소화하는 시스템을 설계한다.

카지는 또한 소프트웨어 개발 팀에 포함될 수 있는 개인정보 보호 전문가도 있다고  말했다. 개인정보 보호 전문가는 개인정보 보호 원칙을 제품과 시스템에 처음부터 통합하는 일을 담당할 수 있어야 한다. 사용자 경험과 사용자 인터페이스 디자인 분야에서 개인정보 보호 전문성은 점점 더 중요해지고 있다. 전문가는 개인정보 보호 선택이 명확하고 기만적인 패턴이 없는지 확인한다. 카지는 대다수의 경우에 기술적 또는 법적, 규정 준수적 개인정보 보호 중 하나 또는 모두에 해당된다고 말했다.

개인정보 보호 업무의 성격은 국가마다 다르기 때문에 복잡성이 더 커진다. IIS의 관리 파트너 마이클 트로바토는 “개인정보 보호 영역에서는 국가마다 지켜야 할 법률이 다르다. 반면에 사이버보안은 기술에 관한 것이기 때문에 더 보편적이고 객관적”이라고 말했다. 예컨대 호주와 미국의 사이버보안 전문가는 사이버보안이라는 주제 하에서 말이 통할 것이다. 그러나 개인정보 보호에 관한 논의는 상당히 다르며, 실질적인 단절이 존재한다.

개인정보 보호 전문가를 고용하기 어려운 이유

카지는 고도로 숙련된 개인정보 보호 전문가를 찾는 것은 유니콘을 쫓는 것과 같다고 설명한다. 물론 개인정보 보호는 중요하지만 기업은 변호사, 기술 전문가, 사용자 인터페이스와 사용자 경험에 대한 지식이 있는 사람을 원한다. 윤리 분야와 AI 전문가이기도 해야 하지만 보수는 많지 않다. 카지는 “심각한 도전 과제”라고 표현했다.

문제는 43%의 기업이 개인정보 보호 예산이 부족하다고 응답했고, 48%는 2025년에 예산 삭감을 예상하고 있다는 것이다. 개인정보 보호와 보안을 혼동하는 기업이 많다는 것도 문제다. 개인정보 보호에 대한 투자가 보안 투자라고 생각하는 것이다. 특히 사이버보안 전문가들이 지쳐 있고 인력이 부족한 상황에서 카지는 이러한 오해에 대해 경고했다. ‘우리는 보안에 투자하고 있다. 개인정보 보호도 기본적으로 보안과 같지 않은가?’라고 생각하는 기업이 많다는 것이다.

카지는 보안과 개인정보 보호 교육을 결합하는 기업이 얼마나 많은지 언급하면서, 이러한 책임의 혼합이 교육 관행에 반영된다고 말했다. 기본적으로는 문제가 되지 않지만 분명 위험을 수반한다.

설문조사의 질문 하나는 ‘보안 교육과 개인정보 보호 교육을 병행하고 있습니까?’였다. 꼭 나쁜 것만은 아니지만 보안 교육은 하되 개인정보 보호 교육은 하지 않는 경우가 종종 있다. 카지는 보안 없이는 개인정보 보호가 불가능하지만, 개인정보 보호를 고려하지 않고도 보안 교육을 잘 수행할 수 있다는 점을 특히 우려했다.

트로바토는 “사이버보안 전문가는 화성에서, 개인정보 보호 전문가는 금성에서 온 경향이 있다”라고 강조했다. 그러나 또한 개인정보 보호 전문가와 사이버보안 전문가가 종종 한 그룹으로 묶이는 경우가 많다며, 어떤 기술이 진정으로 필요한지가 혼란을 가중시키고 있다. 트로바토는 “개인정보 보호에 대해 논의하는 사람들은 보안 영역에 있는 경향이 있기 때문에 기밀성을 개인정보 보호와 동일시하지만, 두 가지는 사실 같지 않다”라고 말했다.

개인정보 보호에는 우리가 데이터를 어떻게 사용하고 있는지, 어떻게 수집하는지, 누구와 공유하는지, 어떻게 저장하는지 등이 포함된다. 이 모든 것은 더 미묘한 구성 요소이며, 고객과 규제 기관의 요구 사항을 충족하고 있는지 확인해야 한다. 따라서 모든 것을 보호하고 안전하게 유지해야 하는 것보다 훨씬 더 외부적인 비즈니스 중심 활동이다.

개인정보 보호 전문가 채용에 대해 CISO가 알아야 할 사항

기업이 자격을 갖춘 개인정보 보호 전문가를 찾았다고 해도, 안정적인 인력을 보유하는 것은 또 다른 도전 과제다. ISACA 보고서에 따르면, 개인정보 보호 전문가의 63%가 5년 전보다 더 스트레스가 많다고 답했다. 급속한 기술 발전(63%), 규정 준수 문제(61%), 자원 부족(59%)이 주요 스트레스 요인으로 꼽혔다.

어떻게 하면 개인정보 보호 전문가를 성공적으로 채용할 수 있을까? 카지는 기업이 좀 더 전략적인 접근 방식을 취해야 한다며, 개인정보 보호 전문가라는 역할에서 가장 필요한 것을 파악해야 한다고 주장했다.

카지는 “우리 회사의 애플리케이션을 정말 잘 아는 사람이 필요한가? 그렇다면 기업 내에 애플리케이션을 개발하거나 획득하는 데 도움을 준 사람이 있을 것이다. 그들에게 현장 교육을 제공하고 개인정보 보호 관련 인증을 취득하도록 장려해 보라”라고 조언했다. 이 방법으로는 애플리케이션 관련자가 기업이 원하는 기술적 전문성을 갖추게 되고, 개인정보 보호에 대해서도 배울 수 있다. 외부에 공고를 내서 적합한 사람을 찾으려고 오랜 시간을 허비하지 않아도 된다. 카지는 이렇게 내부에서 인재를 키우고 찾는 것이 도움이 될 것이라고 조언했다.

내부 협력, 즉 개인정보 보호 부문의 운영을 개선하는 것뿐 아니라 인재를 유치하고 유지하는 협력도 중요하다. ISACA의 보고서에 따르면, 개인정보 보호 전문가 중 정기적으로 제품이나 비즈니스 개발팀과 협력하는 사람은 1/3에 불과했다.

카지는 “가능한 한 빨리 개인정보 보호를 설계에 반영하라”라고 조언한다. 새로운 이니셔티브를 시작한다면 개인정보 보호 팀을 회의에 포함해야 한다. 프로젝트에 개인정보 보호가 더 잘 반영되면 이후 작업이 훨씬 쉬워진다. 마지막 순간에 참여해서 “할 수 없다” 또는 “수정해야 한다”라는 의견을 내는 일이 사라지고, 다른 비즈니스 목표와 개인정보 보호가 더 잘 통합되고 조율되기 때문이다.

트로바토 역시 동의하며 개인정보 보호 전문가가 개인정보 보호의 운영 측면”을 구축하는 데 도움을 줄 수 있는 기회가 있다고 말했다. 또한 개인정보 보호 전문가가 단순히 규정 준수 집행자로서만 간주되어서는 안 되며, 기업은 정책과 프레임워크를 넘어 리더십, 문화, 기업의 회복력에 영향을 미치고, 비즈니스 프로세스와 광범위한 보안 노력에 개인정보 보호가 통합되도록 노력해야 한다고 강조했다.
dl-itworldkorea@foundryco.com