사이버 위협이 점점 더 잦아지고 복잡해지면서, 기업의 평판과 재무 성과에 눈에 보이고 측정 가능한 피해를 주고 있다. 그러나 문제는 여기서 끝나지 않는다. 실제 보안 침해 사고뿐 아니라, 그러한 사고의 위협 자체가 기업의 정보기술 및 보안 인력의 정신 건강에 영향을 미치고 있다.
최근 자료에 따르면, 정보기술 및 보안 인력은 사실상 심각한 정신 건강 위기에 직면해 있다. 데이터 보호 기업 오브젝트 퍼스트가 정보기술 및 보안 전문가 500명을 대상으로 실시한 최근 설문조사에 따르면, 응답자의 84%가 정보보안 위험으로 인해 직장에서 불편할 정도의 스트레스를 느끼고 있다고 답했다. 또한 78%는 상황과 관계없이 보안 사고가 발생하면 개인적으로 책임을 지게 될 것이라고 두려워하고 있다고 밝혔다.
이런 수치는 기업의 시스템을 사이버 위협으로부터 보호하는 책임을 지는 직원들을 관리하는 모든 최고보안책임자에게 경각심을 불러일으켜야 한다. 기업은 직원들이 성장하고 최상의 성과를 낼 수 있도록 긍정적이고 생산적인 문화를 조성하는 데 가치를 두고 있다. 그러나 이번 데이터는 정보기술 및 보안 인력이 보안 침해가 초래할 수 있는 결과에 대해 극도로 불안해하고 있음을 보여준다.
같은 설문조사에 포함된 다른 수치는 더욱 강력한 경고 신호를 보낸다. 사이버 보안 및 정보기술 종사자의 약 60%는 자신의 역할에서 오는 압박 때문에 이직을 고려했거나 이미 구직 활동을 시작했다고 답했다. 또한 응답자의 거의 절반은 보안 사고 이후 경영진으로부터 “모든 문제를 해결하라”는 압박을 느낀다고 밝혔다. 한편 다섯 명 중 한 명에 가까운 비율인 18%는 사고 중이거나 사고 이후에 “절망감과 압도당한 느낌”을 경험한다고 답했다.
보안 팀과 긴밀히 협력하며 성공적인 환경을 구축하는 역할을 맡고 있는 현장 기술 최고책임자의 입장에서, 이런 데이터는 등골이 오싹해질 정도다. 사이버 스트레스로 인해 많은 유능한 전문가가 회사를 떠날 만큼 위협을 느끼고 있다. 이는 단순한 인사 관리의 악몽이 아니라, 기업의 회복탄력성에 대한 심각한 도전이다.
번아웃은 점점 심화 중
사이버 보안 분야에서 번아웃이 새로운 주제가 아니라는 점은 모든 최고보안책임자나 최고정보보안책임자가 잘 알고 있다. 사이버 보안이 하나의 공식적인 전문 분야로 자리 잡기 시작한 2000년대 초반부터, 업계 리더들은 보안 전문가가 항상 대기 상태를 유지해야 하는 데서 오는 스트레스를 공개적으로 논의해 왔다. 이후 20여 년 동안 진행된 설문조사에서도, 보안 인력의 대다수가 번아웃을 느끼고 있으며 많은 이가 이 분야를 떠나는 것을 고려하고 있다는 결과가 반복적으로 나타났다.
문제가 새로운 것은 아니지만, 최근 보고서들은 이 현상이 더욱 심각해지고 있음을 확인해 주고 있다.
전직 업계 애널리스트 존 올트식은 “모든 직급의 사이버 보안 전문가가 번아웃 상태에 있으며, 우리의 연구는 이 상황이 계속 악화되고 있음을 보여준다”고 말했다.
정보시스템보안협회의 설문조사는 사이버 보안 인력의 업무가 점점 더 어려워지고 있다고 밝히며, 그 주요 원인으로 업무의 복잡성과 업무량 증가, 위협의 증가와 공격 대상 범위 확대, 규제 준수 압박, 인력 부족을 꼽았다. 또한 스트레스를 느낀다고 답한 응답자의 대다수인 81%는 정기적으로 이직을 고려하고 있다고 밝혔으며, 현재 역할에 만족한다고 답한 응답자 중에서는 그 비율이 17%에 불과했다.
시장조사기관 가트너 역시 올해 초 사이버 보안 번아웃을 2025년을 대표하는 여섯 가지 주요 사이버 보안 동향 중 하나로 지목했다. 가트너의 수석 책임 애널리스트 알렉스 마이클스는 “사이버 보안 번아웃과 그것이 기업에 미치는 영향은 반드시 인식되고 해결되어야 하며, 그래야 사이버 보안 프로그램의 효과를 유지할 수 있다”고 말했다. 또한 “가장 효과적인 보안 리스크 관리 리더들은 자신의 스트레스 관리뿐 아니라, 개인의 회복탄력성을 실질적으로 향상시키는 팀 전체의 웰빙 이니셔티브에 투자하고 있다”고 덧붙였다.
한편, 숙련된 사이버 보안 인력을 확보하는 일은 여전히 매우 어렵다. 새로운 정보기술 또는 보안 인력을 채용하는 데에는 일반적으로 이전 직원 연봉의 1.5배에서 2배에 이르는 비용이 든다. 또한 보스턴컨설팅그룹의 「2024 사이버 보안 인력 보고서」에 따르면, 전체 사이버 보안 직무의 최대 28%가 공석으로 남아 있다.
신뢰할 수 있고 유능한 보안 전문가가 보유한 기술을 대체하는 것만으로도 충분히 어렵지만, 그 인력이 오랜 기간 기업 내부에서 축적한 기업적·제도적 지식을 단기간에 대체하는 것은 사실상 불가능하다.
근본 원인은 다양해
많은 사이버 보안 종사자들은 피싱, 랜섬웨어, 사회공학 공격을 탐지하기 위해 항상 경계 상태를 유지해야 한다는 압박을 느낀다. 또한 자신이나 동료의 단 한 번의 실수가 회사 전체를 위협하고 자신의 직업을 위험에 빠뜨릴 수 있다는 두려움을 갖고 있다. 다른 이들은 반복적인 비밀번호 변경, 다중 인증 절차, 보안 인식 교육 등을 처리해야 하는 이른바 ‘규제 준수 과부하’를 느끼고 있다.
오브젝트 퍼스트 설문조사 응답자의 절반 이상은 과도한 업무량과 인력 부족이 가장 큰 스트레스 요인이라고 답했으며, 그다음으로 사이버 공격에 대한 우려와 시스템 가동 시간 및 서비스 가용성을 유지해야 한다는 압박을 꼽았다. 응답자의 거의 대부분인 85%는 일정 수준 이상의 보안 관련 스트레스를 경험했으며, 31%는 최소 주 1회 이상 지속적인 스트레스를 겪고 있다고 밝혔다.
이처럼 지속되는 스트레스는 동기를 약화시키고 정신적 피로를 유발하며, 신체적 건강 문제를 일으키고, 전반적인 목적의식까지 저하시켜 업무 성과에 부정적인 영향을 미친다. 스트레스와 피로에 시달리는 직원일수록 실수를 저지를 가능성이 높아지고, 이는 기업을 더 큰 보안 위험에 노출시킨다.
직원의 복지와 정신 건강을 우선시하는 기업이 이 문제를 해결할 가능성이 가장 높다. 그러나 모든 기업이 그렇게 하고 있는 것은 아니다. 오브젝트 퍼스트 설문조사에 따르면, 정보기술 및 보안 인력의 50%는 회사가 점점 심화되는 정신 건강 위기에 충분히 대응하지 않고 있다고 느끼고 있다.
최고보안책임자 혼자서 번아웃 문제를 해결할 수는 없다. 기업은 사이버 보안 번아웃을 이사회와 최고경영진 전체가 다뤄야 할 우선 과제로 인식해야 한다. 그럼에도 불구하고 최고보안책임자와 최고정보책임자는 중요한 역할을 맡고 있으며, 다음과 같은 조치를 통해 직원들이 느끼는 압박을 줄일 수 있다.
첫째, 안전한 기업 문화를 구축해야 한다. 사이버 사고로부터 기업을 보호하는 일은 본질적으로 두려움을 동반하며, 직원들은 사고가 확대되고 자신이 비난받을 가능성을 끊임없이 걱정한다. 최고보안책임자는 문제 보고와 상향 공유가 장려되는 프로세스를 마련하고, 사고 이후 논의가 개인에 대한 책임 추궁이 아니라 팀 전체의 개선에 초점을 맞추도록 해야 한다. 사고를 완전히 차단한 경우뿐 아니라 조기에 위협을 발견한 경우를 인정하고 칭찬하는 문화는 성과를 높이고 긴장을 완화하는 데 도움이 된다.
둘째, 불필요한 업무 소음을 줄여야 한다. 번아웃은 종종 구조적인 문제에서 비롯된다. 과도한 업무량, 부족한 인력, 걸러지지 않은 경고 알림, 불완전한 시스템, 상시 대기 근무로 인한 압박 등이 대표적이다. 최고보안책임자는 직원들이 과도한 업무에 시달리거나 사후 대응 업무에 지나치게 집중하고 있지는 않은지 운영 전반을 점검해야 한다.
셋째, 적절한 자원을 제공해야 한다. 스트레스는 정신 건강에 큰 영향을 미친다. 인사 부서는 정신 건강 및 회복탄력성 프로그램을 주도해야 하지만, 최고보안책임자 역시 방향을 제시하고 개별적인 도움이 필요한 신호를 지속적으로 살펴야 한다.
넷째, 팀 구성원이 ‘존중받고 있다’고 느끼게 해야 한다. 상이나 공식적인 인정, 혹은 잘 수행된 업무에 대한 공유만으로도 장기적이고 집단적인 스트레스를 크게 줄일 수 있다. 일부 최고보안책임자는 정기적인 일대일 면담이나 그룹 세션을 통해 보안 인력이 업무 중 겪은 스트레스 상황을 공유하도록 장려하고 있다. 직원이 번아웃에 가까워지고 있다고 판단될 경우, 휴식과 재충전을 권유하는 것만으로도 스트레스를 관리 가능한 수준으로 낮출 수 있다.
사이버 보안 분야의 정신 건강 위기는 분명히 존재한다. 사이버 방어의 최후선에 서 있다는 압박은 전문가의 정신 건강과 업무 성과에 심각한 부담을 주고 있다. 이제는 이들에게 더 많은 지원을 제공해야 할 시점이다. 최고보안책임자는 웰빙이 선택 사항이 아니라, 점점 더 빈번하고 복잡해지는 사이버 위협 속에서 기업이 회복탄력성을 유지하기 위한 필수 요소임을 분명히 전달해야 한다.
dl-itworldkorea@foundryco.com
Sterling Wilson editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.