사이버보안 직무 대부분은 단일 역할에 그치지 않는다. 실제로 많은 전문가가 여러 영역의 책임을 동시에 수행한다. IANS와 아르티코 서치(Artico Searc)가 발간한 ‘2025 사이버보안 인력 보수 벤치마크 요약 보고서(2025 Cybersecurity Staff Compensation Benchmark Summary Report)’에 따르면, 전체 보안 전문가의 61%가 직책과 관계없이 정기적으로 복수의 업무를 병행하는 것으로 나타났다. 이 보고서는 2024년 6월부터 12월까지 미국과 캐나다의 사이버보안 전문가 528명을 대상으로 진행된 조사 결과를 기반으로 한다.
예를 들어 보안 운영 담당자를 살펴보면, 22%는 애플리케이션 보안 업무, 27%는 보안 아키텍처 및 엔지니어링, 33%는 ID 및 접근 관리, 41%는 GRC(governance, risk, compliance), 49%는 제품 보안 업무를 함께 수행하고 있다. 이처럼 역할이 뒤섞이는 현상은 사이버보안 전반에서 일반적으로 나타나는 특징으로, 하나의 직책만으로는 보안 전문가의 실제 업무 범위를 제대로 설명하기 어렵다는 점을 보여준다.
그럼에도 불구하고 직책은 여전히 기대 보상의 수준을 가늠할 수 있는 유의미한 지표로 작용한다. IANS와 아르티코 서치에 따르면, 현재 북미의 사이버보안 업계에서 가장 높은 연봉을 받는 상위 직무는 다음과 같다.
보안 아키텍트
보안 아키텍트(Security Architect)는 기본급, 현금 보수, 주식 보상 등 모든 급여 지표에서 가장 높은 수준을 기록했다. 평균 기본급은 17만 9,000달러(약 2억 4,600만 원), 연간 현금 보수는 20만 6,000달러(약 2억 8,000만 원)이며, 연간 주식 보상 수령 비율도 34%로 가장 높았다.
보안 아키텍트 절반 이상은 현재 역할에 도달하는 데 있어 IT 경력이 결정적인 역할을 했다고 답했다. 경력 초반에는 주로 시스템 관리자와 네트워크 관리자 같은 IT 기반 직무를 거쳤으며, 이외에도 보안 분석가, 보안 컨설턴트, 보안 관리자 등 보안 중심의 경력 경로를 거친 사례도 많았다.
보안 아키텍트를 포함한 사이버보안 아키텍처 및 엔지니어링 관련 직무는 특성상 다양한 업무를 병행하는 경우가 많다. 조사에 따르면, 23%는 ID 및 접근 관리, 26%는 애플리케이션 보안, 48%는 제품 보안 업무에 관여하고 있다. 이런 업무는 모두 네트워크, 시스템, 애플리케이션 전반에 걸쳐 안전한 엔터프라이즈 아키텍처를 설계하고 유지하는 핵심 역할의 연장선에 있다.
보안 아키텍트를 지망하는 전문가에게 가장 인정받는 자격은 ISC2가 주관하는 공인 정보 시스템 보안 전문가(Certified Information Systems Security Professional, CISSP)다. 이 자격증은 보안 아키텍처 및 엔지니어링, 보안 및 위험 관리, 통신 및 네트워크 보안, ID 및 접근 관리, 소프트웨어 개발 보안 등 8개 핵심 영역을 포괄한다. 보안 아키텍트는 CISSP가 권장되는 대표 직무다. 보안 매니저, 보안 책임자, CISO와 같은 상위 직책으로의 경력 성장에도 유리하게 작용한다.
클라우드 환경을 전문으로 하는 보안 전문가라면 AWS 공인 보안 전문가(AWS Certified Security — Specialty)나 ISC2가 주관하는 업체 중립형 자격인 공인 클라우드 보안 전문가(Certified Cloud Security Professional, CCSP) 취득도 강력히 권장한다.
보안 엔지니어
보안 아키텍트 다음으로 연간 현금 보수가 높은 직무는 보안 엔지니어(Security Engineer)로, 연간 현금 보수는 평균 19만 1,000달러(약 2억 6,000만 원), 기본급은 16만 8,000달러(약 2억 3,000만 원)로 집계됐다. 또한, 조사에 참여한 보안 엔지니어 가운데 약 31%는 연간 주식 보상도 받는 것으로 나타났다.
보안 아키텍트와 마찬가지로 보안 엔지니어 역시 IT 기반 경력을 매우 중요하게 여긴다. 조사에 따르면 70%는 시스템 관리, 네트워크 또는 인프라 엔지니어링, 일반 IT 분야에서의 이전 경험이 현재 역할에 결정적인 영향을 미쳤다고 답했다. 이외에도 상당수는 보안 분석가나 보안 운영 등 보안 중심 경력에서 출발한 경우도 있었다.
보안 엔지니어는 기업의 IT 시스템을 보호하는 기술적 방어 체계를 설계하고 구현하고 유지하는 역할을 맡는다. 이들은 취약점 식별, 보안 도구 테스트 및 배포, 보안 사고 대응, 방화벽과 침입 방지 시스템 등 주요 보호 장치 관리까지 폭넓은 업무를 수행한다. 일상적인 보안 운영부터 장기적인 사이버보안 전략 수립까지 핵심적인 역할을 담당한다.
보안 엔지니어링은 분야가 광범위한 만큼, 자격증도 전문 분야에 따라 다양하게 나뉜다. 입문자에게는 컴티아 시큐리티+(CompTIA Security+)가 적합하며, 네트워크 보안을 중심으로 활동하는 엔지니어는 시스코 공인 네트워크 전문가 시큐리티(Cisco Certified Network Professional Security, CCNP Security) 자격증을 취득하기도 한다. 또한, 공격형 보안에 집중하는 경우에는 모의 해킹 역량을 키우기 위해 공인 윤리적 해커(Certified Ethical Hacker, CEH) 자격증을 선택하는 사례가 많다.
보안 엔지니어는 애플리케이션 보안, 네트워크 보안 등 특정 영역에서 전문성을 심화하거나, 보안 엔지니어링 매니저 또는 보안 엔지니어링 디렉터와 같은 리더십 역할로 확장될 수 있다.
위험·GRC 전문가
위험·GRC(governance, risk, compliance) 전문가도 높은 수준의 보수를 받는다. 기본급은 평균 14만 6,000달러(약 2억 원), 연간 현금 보수는 17만 3,000달러(약 2억 3,800만 원)에 달한다. 26%는 연간 주식 보상도 함께 수령하는 것으로 나타났다.
GRC 분야는 명확한 경력 성장 경로를 갖춘 직무로, 일반적으로 위험 분석가(Risk Analyst)와 같은 입문 직무에서 시작해 발전해 나간다. 2024년 ISC2가 실시한 IT 보안 관리자 대상 설문조사에 따르면, 채용 관리자 중 27%가 위험 평가·분석·관리 역량을 사이버보안 분야에서 가장 수요가 높은 기술로 꼽았다.
위험 분석가를 지망하는 이들에게 가장 유용한 자격증은 ISACA가 주관하는 공인 정보 시스템 위험 관리 자격증(Certified in Risk and Information Systems Control, CRISC)이다. CRISC는 기업 IT 거버넌스, IT 위험 평가, 위험 대응 및 보고, IT 보안 등 위험 관리의 4가지 핵심 영역에 걸쳐 실무 중심 교육을 제공한다. 이 자격증 보유자는 전 세계적으로 3만 명 이상이며, 이들의 평균 연봉은 15만 1,000달러(약 2억 원)로, IANS와 아르티코 서치의 평균 기본급 데이터와도 일치한다.
위험 분석가로서 기초 경험을 쌓은 후에는, 보다 포괄적인 GRC 직무로 경력을 확장할 수 있다. 채용 관리자 24%가 GRC 역량을 수요 높은 기술로 꼽을 만큼 높은 조직적 가치를 지닌다. GRC 전문가는 기업의 IT 정책 수립을 주도하는 역할을 맡으며, 여기에는 보안 사고 대응 프로토콜 같은 정책 개발이 포함된다. 위험을 관리하는 동시에 AI 등 신기술에 유연하게 대응하고, 산업별·지역별 규제 체계를 준수하는 역할까지 폭넓게 수행한다.
GRC 전문가에게 특히 인정받는 자격증 중 하나는 ISC2가 주관하는 공인 거버넌스·리스크·컴플라이언스 전문가 자격증(Certified in Governance, Risk and Compliance, CGRC)이다. CGRC는 GRC 분석가, 매니저, 아키텍트, 디렉터를 위한 자격증으로 설계됐으며, 보안 및 프라이버시 거버넌스, 위험 관리, 컴플라이언스 프로그램 운영, 보안 통제 구현 및 평가, 지속적인 규제 준수 유지 등 핵심 영역을 포괄한다.
GRC 전문가는 핵심적인 GRC 역할을 넘어 다양한 보안 업무로 활동 범위를 확장하는 경우가 많다. 보고서에 따르면, 16%는 애플리케이션 보안, 18%는 보안 아키텍처 및 엔지니어링, 34%는 ID 및 접근 관리, 40%는 제품 보안 업무에도 관여하는 것으로 나타났다.
보안 분석가
보안 분석가(Security Analyst)는 평균 기본급 12만 4,000달러(약 1억 7,000만 원), 연간 현금 보수는 13만 3,000달러(약 1억 8,300만 원)로 집계됐다. 연간 주식 보상을 받는 비율은 20%로 비교적 낮은 편이다.
보안 분석가는 보안 엔지니어와 업무가 일부 겹치기도 하지만, 일반적으로 전략적 역할보다는 전술적 역할에 더 가깝다. 이 직무는 위협 탐지 및 분석에 초점을 맞춘 실무 중심 포지션으로, 세부 직무로는 보안 운영센터(security operation center, SOC)의 일원으로 활동하는 SOC 분석가가 대표적이다. SOC 분석가는 위협을 모니터링하고 시스템 취약점을 평가하며, 보안 개선 방안을 제안하는 역할을 수행한다.
이처럼 전술적 역할에 집중된 보안 분석가의 직무 특성은 보안 엔지니어와의 평균 기본급 차이에도 반영된다. 보안 엔지니어의 평균 기본급(16만 8,000달러)은 보안 분석가보다 약 35% 높다.
보안 분석가를 목표로 하는 이들에게 가장 적합한 자격증은 컴티아 CySA+(CompTIA Cybersecurity Analyst+)다. 이 자격증은 보안 운영, 취약점 관리, 사고 대응, 보안 보고서 작성 등 핵심 역량을 폭넓게 다룬다. 또한, 사이버보안 분석가, 취약점 분석가, 애플리케이션 보안 분석가, 위협 인텔리전스 분석가 등 다양한 실무 직무와 직접적으로 연계되는 자격으로 평가된다.
경력을 쌓은 보안 분석가는 보안 엔지니어를 거쳐 보안 아키텍트로 성장할 수 있으며, 이는 사이버보안 분야에서 명확하고 높은 보상 수준을 갖춘 장기적 커리어 성장 루트로 꼽힌다.
dl-itworldkorea@foundryco.com
Eric Frank editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.