Home > 전체기사

사건 대응, 연습만 잘 해도 보안 담당자들의 스트레스 감소 가능하다

  |  입력 : 2022-10-05 23:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
사이버 보안 사고는 심각한 일이다. 당연히 대응을 하다 보면 스트레스를 받는다. 하지만 그 스트레스가 한 사람에게 쏠리는 건 문제가 될 수 있고, 막아야 한다. 그렇지 않으면 귀한 인재를 잃을 수 있다.

[보안뉴스 문가용 기자] 사이버 보안 전문가들 중 실제 사이버 공격에 대응해야 하는 위치에 있는 사람들은 스트레스와 번아웃, 그리고 각종 정신 건강 문제에 시달린다는 연구 결과가 나왔다. 하는 일이 일인만큼 당연한 결과라고 할 수 있는데, 진짜 문제는 조직원들이 평소 침해 사고 대응 훈련을 충분히 하지 않아서 모든 일을 보안 팀에서 처리하다 보니 스트레스 등이 과중된다는 것이라고 보고서는 지적하고 있다.

[이미지 = utoimage]


IBM의 보안 자회사인 IBM시큐리티(IBM Security)가 발표한 이 보고서에 의하면 사건 대응 담당자의 67%가 자신의 일을 수행하는 과정 중에 적잖은 스트레스를 경험했다고 했으며, 44%는 일상생활과 지인/가족들과의 관계를 어느 정도 희생해야만 했다고 답했으며, 42%는 번아웃을 호소했다. 또한 68%는 한 번에 한 사건이 아니라 여러 사건을 담당하는 경험을 했었다고 답하기도 했다. 이런 경우 스트레스가 훨씬 더 오른다고 한다.

IBM시큐리티의 연구 수석인 존 드와이어(John Dwyer)는 “사건 대응을 전 조직이 훈련하고 연습함으로써 사건 대응 담당자의 스트레스를 크게 줄일 수 있다”고 강조한다. “조직들이 사이버 보안 사고에 대한 대응을 계획할 때, 사실 담당자에게 모든 걸 맡길 생각만 하지 조직 전체를 동원할 생각은 하지 않는 게 보통입니다. 사건이 터지고, 그것을 수습하는 과정들이 당연히 스트레스를 유발하지만, 그 수위가 불필요할 정도로 높을 필요는 없습니다. 연습을 하지 않음으로써, 원래는 충분히 낮출 수 있는 스트레스를 담당자들에게 과도하게 맡기는 것입니다.”

보안 담당자가 과도한 스트레스에 노출될 때 조직들에 좋은 영향이 있을 리 없다. 업무가 제대로 되지 않을 수 있고, 무엇보다 보안 담당자 한 명 구하기가 힘든 시대에 있는 사람마저 놓칠 수 있다. 그래서 최근 보안 담당자들의 정신 건강이 화두가 되는 것이다. 이미 VM웨어(VMware)가 작년 8월 이 주제로 연구를 실시해 결과 보고서를 발표한 바 있고, 여러 보안 행사를 통해서도 담당자들의 정신 건강이 꾸준히 강조되어 왔었다.

“여러 기업들의 사건 대응을 담당한 적이 있었는데, 훈련이 잘 되어 있는 곳도 있었고 아닌 것도 있었습니다. 당연하지만 업무 난이도의 차이가 극심했습니다. 훈련이 잘 되어 있는 회사와 사건 대응을 같이 한다는 건 스트레스는커녕 보안 전문가로서 자긍심을 충분히 느끼게 해 주는 일이었습니다. 보람이 뭔지 이해가 갈 정도였습니다. 하지만 아무런 준비를 하지 않았던 기업들이라면 정 반대였습니다. 업무 난이도가 높아진 것 이상으로 스트레스가 매우 컸습니다.” 드와이어의 설명이다.

보안 전문가로서의 자긍심 이야기가 나왔는데, 사건 대응 담당자들이 그러한 직업을 선택한 것은 왜일까? 이번 조사를 통해 여러 가지 이야기가 나왔는데, 36%가 다른 사람/조직을 보호해야 한다는 책임감이라고 꼽았다. 19%는 문제 해결 과정이 흥미로워서 사건 대응 담당자가 되었다고 답했다. 19%는 계속해서 학습할 수 있는 기회가 제공되기 때문이라고 밝혔다.

반대로 보안 전문가들에게 스트레스를 주는 것은 무엇일까? 흥미롭게도 48%가 사람/조직을 보호해야 한다는 스스로의 책임감이라고 답했다. 34%는 하루에 13시간 넘게 근무해야 하는 ‘업무 강도’를 꼽았다. “보안 전문가들이 꽤나 오랜 시간 높은 강도로 일을 해야 한다는 걸 대부분 일반인들은 모릅니다. 그런 노력이 있기 때문에 오늘 하루가 안전하고 평온하게 지나갔다는 것도 상상하지 못하죠.”

연습, 연습, 연습
이번 연구와 조사에 참여한 건 10개국의 사건 대응 담당자들이었다. 호주, 브라질, 캐나다, 프랑스, 독일, 인도, 일본, 스페인, 영국, 미국에서 조사가 진행됐다. 번아웃 비율이 가장 높았던 건 스페인(69%)이었고, 관계에서 가장 큰 어려움을 겪었다는 건 인도였다. 불면증에 가장 많이 시달렸던 건 브라질의 사건 대응 담당자들이었다. 39%는 사건 발생 후 첫 3일 동안 가장 스트레스가 심했다고, 29%는 첫 24시간이 가장 심했다고, 20%는 첫 1주가 가장 심했다고 밝혔다.

드와이어는 “대응 계획을 수립하는 것만으로는 아무런 도움이 되지 않는다”고까지 말한다. “연습과 훈련이 반드시 수반되어야 합니다. 사건이 터지면 자동으로 패닉에 빠지고, 패닉 상태에 접어들면 아무런 행동도 할 수 없거든요. 몸이 저절로 반응해서 움직여 주어야 겨우 필요한 일을 해낼 수 있습니다. 그러니 보안 대응책들을 몸으로 익히는 게 중요합니다.”

그러면서 드와이어는 예를 든다. “감염이 의심되면 24시간 안에 모든 시스템에서 스크립트를 실행해야 한다는 정책이 수립되었다고 할 때, 이걸 한두 사람이 할 수 없습니다. 심지어 보안 담당자들은 오히려 다른 곳에서 일 처리를 해야 할 수도 있습니다. 이걸 반쯤 자동으로 즉각 실행할 수 있는 사람이 있어야 합니다. 그럴 때 보안 담당자들에게 얼마나 큰 힘이 될까요? 기업으로서도 빠른 조치를 취할 수 있으니 이득이고요.”

사건 대응은 경험을 필요로 하는 일이다. 그 경험이 없을 때 누군가의 정신 건강이 크게 악화된다. 지금은 그 누군가가 바로 보안 담당자들이다. “사건 대응이라는 것 자체가 결코 쉬운 일이라고 할 수 없습니다. 하지만 어느 정도 스트레스 관리가 가능한 영역이 존재합니다. 그렇다면 관리를 최대한 해 주어야 합니다. 조직 전체의 협조로 보안 담당자의 과도한 짐을 나눠질 수 있습니다.”

3줄 요약
1. 사건 대응은 스트레스가 많이 유발되는 일.
2. 그런데 그 스트레스를 보안 담당자가 자꾸만 혼자서 짊어지게 됨.
3. 사건 대응 계획을 세우는 것도 좋지만 훈련과 연습을 통해 몸으로 익혀야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)