사이버보안 인력 시장의 중심 이슈가 단순한 인원수에서 역량 격차로 이동하고 있다는 분석이 나왔다. 국제 비영리 사이버보안 단체 ISC2가 발표한 ‘2025 사이버보안 인력 연구(2025 Cybersecurity Workforce Study)’에 따르면, 전 세계 1만 6,029명의 사이버보안 종사자를 대상으로 조사한 결과, 예년과 달리 예산 삭감과 구조조정 여파는 다소 진정된 반면, 보안팀이 체감하는 압박은 오히려 커진 것으로 나타났다.

ISC2는 사이버보안 조직의 예산 제약이 여전히 인력 부족의 핵심 원인이라고 짚었다. 응답자의 33%는 자사 보안팀을 “적절하게” 운영할 만큼의 인건비 예산이 부족하다고 답했고, 29%는 조직을 “충분히 안전하게 보호할” 수준의 역량을 갖춘 인력을 채용할 재정적 여유가 없다고 했다. 응답자의 72%는 보안 인력을 줄이면 자사에서 침해사고가 발생할 위험이 “크게 높아진다”고 인식하고 있었다.

한편 2025년 기준 사이버보안 예산에 영향을 미치는 거시경제 환경은 다소 안정되는 흐름을 보이고 있다. 예산 삭감을 경험했다는 응답은 36%로 2024년보다 1%p 줄었고, 구조조정을 겪었다는 답변도 24%로 1%p 감소했다. 그럼에도 근본적인 인력 및 역량 문제는 해소되지 않은 상태다.

ISC2 COO 케이시 마크스는 “데이터와 전 세계 종사자들의 정서를 종합해보면, 2026년에 예산 삭감이나 인력 감축이 다시 급격히 확대될 조짐은 보이지 않는다. 경제 상황이 인력 개발과 역량 강화에 중요한 변수인 것은 맞지만, 전반적인 전망만 놓고 보면 2026년에 악화된다고 보기는 어렵다”라고 말했다.

역량 격차가 부르는 보안 후폭풍

특히 보고서는 역량 격차가 실제 보안 사고로 이어지고 있다는 점을 강조했다. 응답자 88%는 자사에서 역량 부족 때문에 의미 있는 수준의 사이버보안 사고를 최소 한 번 이상 겪었다고 답했고, 이 가운데 69%는 두 번 이상 경험했다고 밝혔다. 역량 수요의 심각성도 커졌다. 응답자의 95%가 최소 한 가지 이상의 보안 역량이 부족하다고 느낀다고 답해 전년 대비 5%p 늘었고, 59%는 그 격차가 “치명적이거나 상당한 수준”이라고 평가한 비율은 전년보다 15%p 증가했다.

ISC2의 직무대행 CEO 겸 CFO인 데브라 테일러는 “지금 변화가 일어나고 있다. 올해 데이터는 사이버보안 조직이 가장 우려하는 요소가 단순 인력 규모가 아니라 ‘역량’임을 분명히 보여준다. 역량 부족은 사이버보안 위험 수준을 높이고 기업 회복탄력성을 흔들어 놓는다”라고 말했다.

조직은 이러한 역량 부족으로 인해 다양한 문제를 겪고 있다. 2025년 조사에 따르면 보안 프로세스·절차 상의 누락이 발생했다는 응답이 26%였고, 25%는 역량이 부족하거나 경험이 충분하지 않은 인력을 어쩔 수 없이 배치했다고 답했다. 또 25%는 사이버보안 인력을 제대로 교육할 시간이나 자원이 부족하다고 밝혔으며, 24%는 시스템 설정 오류에 직면했다고 응답했다. 또한 조직 일부가 충분히 보호받지 못하는 상황이 발생한다는 응답이 24%였으며, 신흥 사이버보안 기술을 제대로 활용하지 못한다는 응답도 24%로 나타났다.

이번 연구는 특정 기술 영역과 사고를 직접적으로 연결하지는 않았지만, 결과적으로 확인된 다양한 문제는 단순히 인력을 늘리는 것보다 역량 개발의 중요성이 훨씬 커지고 있음을 보여준다.

마크스는 “AI와 클라우드 보안은 채용 관리자와 사이버보안 전문가 모두에게 가장 시급한 역량 수요로 꾸준히 꼽히고 있다. 이번 조사 대부분이 최소 한 가지 이상의 역량 수요를 언급했으며, 상당수가 이를 중대한 수준으로 평가했다. 이는 단순히 인력을 추가하는 것보다 역량을 갖춘 인재를 육성하는 일이 훨씬 중요해졌다는 점을 보여준다”라고 설명했다.

보안 운영에 빠르게 통합되는 AI

AI 도입은 빠르게 확산하고 있다. 조사에 따르면 응답자 28%는 이미 AI 도구를 보안 운영에 통합했으며, 69%는 통합·활성 테스트·초기 평가 등 어떤 형태로든 AI 도입 과정에 참여하고 있는 것으로 나타났다.

마크스는 “주목할 점은 AI가 실험 단계를 지나 일상적인 운영으로 얼마나 빠르게 이동했느냐는 것이다. 응답자 2/3 이상이 이미 보안 프로그램에서 AI 도구를 사용하거나 테스트하거나 평가하고 있다. 현재 AI를 활용하고 있는 조직 상당수가 이미 생산성 향상을 수치로 확인하고 있다. 이는 AI가 ‘미래 기술’이 아니라 실제 보안 업무 방식의 일부로 빠르게 자리 잡고 있음을 보여준다”라고 말했다.

조사 결과, 사이버보안 전문가들은 AI 기술을 경력 성장의 기회로 보고 있다. 전체 응답자의 73%는 AI가 보다 전문화된 사이버보안 역량을 만들어낼 것으로 예상했으며, 72%는 전략적 관점의 보안 사고방식을 요구하게 될 것으로 봤다. 또한 66%는 직무 전반에서 더 넓은 범위의 역량이 필요해질 것이라고 응답했다.

AI는 2024년에 이어 올해도 가장 필요한 역량 중 하나로 꼽혔다. 이번 조사에서 41%는 AI를 핵심 역량으로 지목했으며, 그다음은 클라우드 보안(36%)이었다. 보고서 집필팀은 응답자 48%는 이미 범용 AI 지식과 역량을 쌓기 시작했으며, “35%는 취약성과 악용 기제를 더 잘 이해하기 위해 위험 기반 AI 솔루션 학습에 나서고 있다”라고 밝혔다.

마크스는 “AI 도구 활용 확대와 AI가 사이버보안 경력에 도움이 될 것이라는 인식은 전문가가 미래의 경력 경쟁력을 확보하기 위해 지식과 역량을 적극적으로 확장하도록 만들고 있다. AI는 새로운 전문 역량, 더 전략적인 역할, 더 넓은 경력 경로를 촉진하는 동력으로 받아들여지고 있다”라고 덧붙였다.

사이버보안 직무 만족도 상승

사이버보안 직업 만족도는 전반적으로 높은 것으로 나타났다. 조사에 따르면 응답자의 87%는 사이버보안 전문 인력 수요가 지속될 것이라고 예상했고, 81%는 이 분야의 전망이 견고하다고 평가했다. 현재 직무에 만족한다는 비율은 68%로, 2024년 대비 2%포인트 증가했다. 또한 80%는 자신의 업무에 열정을 느낀다고 답했다.

마크스는 “조직이나 리더십에 대한 만족도는 편차가 있지만, 직업 자체에 대한 신뢰는 매우 높은 수준이며 이 같은 소명의식은 강력한 안정 요인으로 작용한다. 사이버보안은 사명 중심의 분야로, 80%가 업무에 열정을 느끼고 있으며 71%는 일상적인 직무 경험에도 만족하고 있다. 상당수는 이 직업이 장기적으로 필수적일 것이며 자신의 역할에 대한 열정도 지속될 것으로 보고 있다”라고 전했다.

하지만 피로감도 적지 않았다. 조사에 따르면 응답자의 48%는 최신 위협과 신기술을 따라잡기 위해 지치는 경험을 하고 있으며, 47%는 과도한 업무량에 압박을 느끼는 것으로 나타났다. ISC2는 이런 결과가 지속적인 역량 개발 투자, 특히 AI 관련 교육 강화, 현실적인 업무량 조정, 근무시간 중 지속 학습을 지원하는 제도가 필수적임을 시사한다고 분석했다.

사이버보안 종사자가 조직에 남을지 결정하는 데는 경력 개발이 중요한 요소로 나타났다. 응답자의 약 31%는 승진 또는 성장 기회를 핵심 요소로 봤으며, 23%는 예측하지 못한 재정적 보상이나 복리후생이 경력 유지에 중요한 요인이라고 답했다. 2025년 조사 기준, 향후 1년 안에 현재 조직에 남을 가능성이 높다는 응답은 75%였지만, 이를 2년으로 확장하면 66%로 감소했다. ISC2의 마크스는 이런 지표가 조직이 사이버보안 인력 육성 방식 전반을 재고해야 한다는 점을 보여준다고 설명했다.

마크스는 “AI 역량 강화에 대한 개인 차원의 에너지가 상당히 크다는 점이 데이터에서 확인된다. 응답자의 절반 가까이가 이미 스스로 AI 역량을 쌓고 있으며, 많은 이가 AI 관련 자격을 취득할 계획을 세우고 있다. 조직은 교육 예산, 사내 교육, 교차 교육 등을 통해 역량 개발에 투자하고 있지만 AI 역량 수요의 규모는 매우 크다. 연구 결과, 개인과 조직 모두에서 AI 역량 강화에 대한 투자가 폭넓게 이뤄지고 있으며 수요는 계속 증가하고 있다”라고 강조했다.
dl-itworldkorea@foundryco.com