직무 만족도가 하락하면서 현 직장에 남기로 결정한 사이버 보안 전문가가 3명 중 1명(34%)에 그쳤다. 최고정보보안책임자(CISO) 인력 유지 전략의 중요성이 그 어느 때보다 커지고 있다.

IANS와 아르티코 서치(Artico Search)가 사이버 보안 전문가 500명을 대상으로 실시한 설문에 따르면, 급여는 여전히 중요하지만 유지의 주요 동인은 아닌 것으로 나타났다.

반면 유연근무 모델은 직무 만족도와 유지 사이에 강한 연관성을 보였다. 특히 주 1~2일만 출근하는 하이브리드 근무 방식은 유능한 사이버 보안 인력의 이직 욕구를 줄이는 효과가 있다는 IANS 보고서 결과도 있다.

연구진은 절대 보수액보다 임금 상승폭이 직원 이직 방지에 더 중요하다는 것을 발견했다.

IANS 선임 연구 이사 닉 카콜로스키는 “사이버 팀에 대한 압박이 급증하는 만큼, 멘토십과 코칭, 경력 발전에 투자하는 CISO들은 직원의 번아웃을 피하고 목적 의식과 성장감을 심어줄 수 있다”라고 말했다.

보안을 우선순위로 여기는 기업에 근무한다고 생각하는 직원(73%)이 보안 지원이 거의 또는 전혀 없다고 인식하는 기업 직원(19%)보다 현 직장에 남을 가능성이 훨씬 높다.

IANS 펠로우이자 아르티코 서치 파트너인 스티브 마르타노는 “시장에서의 가시성, 경력 성장, 보안 리더십의 지원이 고성과자를 유지하는 데 필수”라고 덧붙였다.

사이버 보안 교육 및 자격증 기관 ISC2는 전 세계 사이버 보안 인력 부족 규모가 2024년 480만 명으로 정점에 달했다고 추정했다. 지난해 예산 삭감으로 미충원 사이버 보안 직책 수는 줄었지만, 고용 시장은 여전히 팽팽하고 경쟁이 치열하다. CIO.com의 ‘최고정보담당자 현황’ 설문에서 사이버 보안은 AI(42% 대 38%)와 함께 채우기 가장 어려운 기술로 꼽혔다.

경력 발전과 직무 자율성

유연성과 함께 CSO와 인터뷰한 채용 전문가는 사이버 보안 전문가가 지속적으로 기술 개발 기회, 업무 방식에 대한 권한, 전문성에 대한 존중을 찾는다고 지적했다.

칼텍 스태핑(CalTek Staffing) 사장 아치 페인은 “채용 지원자가 명확한 경력 경로, 지속적인 자격증과 교육 기회, 전략에 대한 가시성, 최신 보안 스택 접근성을 본다면 그 역할이 매력적으로 느껴진다”라고 말했다.

원격근무나 최소한 하이브리드 근무를 제공하지 않는 기업은 상당한 규모의 인재풀을 놓칠 것이다.

페인은 “우리는 정기적으로 경직된 근무지 요건 때문에 강력한 제안을 거절하는 지원자들을 본다”며 “다시 한 번 말하지만, 상위 인재들은 자신들이 수요가 많다는 것을 알고 있으며 업무-생활 균형을 지원하지 않는 직책은 수용하지 않을 것”이라고 덧붙였다.

기술 개발이 핵심

온라인 금융 커리어 플랫폼 카나리 워프(Canary Wharfian)의 창립자이자 CTO(CTO) 리처드 데메니는 신입 및 초급 전문가는 입직 단계에서도 인재 부족으로 자신들이 주도권을 쥐고 있다는 것을 알고 있다고 말했다.

데메니는 “[신입 인력은] 급여가 헤지펀드 같은 고급 금융 분야를 제외하고는 대체로 동일하기 때문에 기회와 학습을 우선시한다”라고 지적했다.

또한 이직률 상승과 관련해 “이들 전문가는 같은 기업에 오래 머물면 직업 발전이 크게 제한된다는 것을 안다. 종종 지식과 기술, 인맥을 급격히 키우는 최고의 방법은 단순히 직장을 옮기는 것”이라고 덧붙였다.

아드리아 솔루션(Adria Solutions) 이사 데이비드 버윅은 CISO가 사이버 보안 근로자 유지를 더욱 일관되게 시도해야 한다고 주장했다.

버윅은 “명확한 경력 경로, 현실적인 업무량, 리더십의 가시적 지원, 합리적인 범위 내에서의 유연성”이라며 “이런 기본 사항을 제대로 챙기는 기업이 급여만 의존하는 기업보다 인재를 훨씬 더 효과적으로 유치하고 유지한다”라고 말했다.

번아웃 방지도 중요

사이버 보안 채용업체 아스피론 서치(Aspiron Search) 공동 창립자 올리버 레그는 직원 번아웃이 보안팀을 관리하는 CISO들의 커지는 문제라고 말했다.

레그는 “시장에서 우리가 보는 것은 유지가 급여를 넘어 기업이 만드는 환경, 제공하는 지원, 점점 복잡해지는 위협 상황에 어떻게 대응하는지에 크게 좌우된다는 것”이라고 말했다.

보안팀은 적대 세력에 대항하는 것과 팀의 참여와 효율성을 유지하는 데 모두 필수적인 최신 도구를 갖춰야 한다.

레그는 “구식 도구나 순수 대응형 프로세스로 업무하는 사이버 보안 전문가는 업무에 흥미를 잃고 다른 곳을 찾을 가능성이 훨씬 높다”라고 경고했다.

성장과 위상 제고

사이버 보안 직원에게 학습 기회를 제공하는 것은 참여와 유지의 강력한 동인이 될 수 있다.

레그는 “업계 컨퍼런스 참석 또는 발표 기회 제공과 신규·갱신 자격증 지원은 팀의 동기 부여를 유지하고 발전을 계속하도록 돕는다”라고 조언했다.

칼텍 스태핑의 페인은 사이버 보안 전문가가 “고도로 전문화되어 있으면서 동시에 수요가 높다”며 “근로자들은 지속적으로 자신의 재능을 원하는 기업으로부터 접근을 받고 있으며, 자신의 기술이 부족하다는 것을 충분히 인식하고 있다”라고 지적했다.

페인에 따르면 채용 지원자들은 급여에만 집중하기보다는 경력 경로가 어떻게 될지, 보안 전략에서 자신의 목소리가 반영될지에 대해 더욱 예리한 질문을 던지고 있다.

직원 참여 확보가 우선

유지는 불만족을 방지하는 것에서 지속적으로 참여를 확보하는 것으로 진화했다.

페인은 “이직의 가장 큰 동인은 채용 과정 중 후보자에게 약속한 것과 기업 내부에서 실제 지원되는 것 사이의 불일치”라며 “많은 기업이 보안을 ‘미션 크리티컬(mission-critical)’이라고 말하지만 만성적으로 보안팀이 부족 인원 상태로 운영되거나 CISO에게 예산 권한을 주지 않는다”라고 말했다.

페인은 “우수한 인재는 이런 문제를 매우 빠르게 감지할 수 있으며, 그만큼 빠르게 떠난다”라고 결론지었다.
dl-itworldkorea@foundryco.com