2024년 CISO 부서의 예산이 소폭 증가했다는 조사 결과가 발표됐다. 그러나 이로 인해 신규 채용이 둔화되면서 기존 직원들의 업무 부담이 가중되고 있는 것으로 드러났다. 전문가들은 향후 채용 시장이 활성화될 경우 과중한 업무에 지친 일부 직원들이 이직을 선택할 가능성이 높아질 것으로 전망했다.
CISO를 대상으로 한 최근 설문조사에 따르면, 글로벌 경제와 지정학적 불확실성으로 인해 2024년 보안 예산이 2023년 대비 정체되거나 소폭 증가에 그친 것으로 나타났다. 이로 인해 보안 인력 채용도 둔화세를 보이는 것으로 조사됐다.
보안 전문 연구 기관 IANS 리서치와 임원 채용 전문 기업인 아티코서치(Artico Search)가 5일 발표한 연례 보안 보고서에 따르면, 응답자의 약 3분의 2가 2024년 예산이 증가했다고 답했다. 평균 예산 증가율은 2023년 6%에서 올해 8%로 상승했다. 그러나 이는 직원들의 원격 근무에 대응하기 위한 디지털 전환이 지출을 견인했던 코로나19 대유행 시기인 2021년(16%)과 2022년(17%)의 성장률의 약 절반에 불과하다. CISO의 4분의 1은 올해 예산이 동결됐다고 답했고, 12%는 예산이 감소했다고 전했다.
IANS 소속 멤버이자 아티코서치 파트너 마르타노는 인터뷰에서 “올해 글로벌경제 불확실성을 이유로 지출을 줄이는 가운데, 보안 관련 예산도 크게 늘지 않고 정체된 상태”라고 설명했다. 또한 마르타노는 “보안 예산의 약 40%가 CISO를 비롯한 고위 보안 인력의 급여와 인센티브에 할당되는 것이 일반적이다. 그러나 경제적 요인으로 인한 예산 긴축으로, 새로운 리더 영입이나 리더십 교체가 활발히 이뤄지지 않고 있는 실정이다”라며 “업계에서는 2023년 4분기부터 보안 예산 감소 추세가 감지되기 시작했으며, 이러한 긴축 기조가 2024년 내내 지속되고 있는 것으로 나타났다”라고 설명했다.
마르타노는 “예산 긴축 현상은 2024년 계속 이어지고 있다. 2025년이 어떨지 예측하기는 아직 이르지만, CISO들이 더 나은 기회나 직업을 찾을 수 있는 여건이 조성되고 있다. 하지만 예산에 어떤 영향을 미칠지는 아직 알 수 없다”라고 분석했다.
이번 조사는 775명의 CISO를 대상으로 진행됐으며, 이 중 681명이 예산과 보안 인력 증가 및 다년간의 예산 추세에 관한 답변을 제공했다. 응답자의 90% 이상이 미국 기업에 소속되어 있었으며, 5%는 캐나다, 나머지 3%는 유럽과 중동에 위치한 기업이었다.
마르타노는 연간 지출이 크게 늘지 않는 이유로 ‘경제 상황’과 ‘디지털 전환 관련 대규모 지출이 더 이상 필요하지 않은 점’을 꼽았다. 응답자들은 CISO가 더 많은 예산을 받는 경우는 주로 데이터 유출 사고, 새로운 규제 도입, 또는 대형 고객 유치 등 조직에 중대한 변화가 있을 때라고 설명했다.
보안 예산이 증가한 분야는 금융 서비스, 기술, 유통, 관광 및 여행, 법률 분야이다. 반면, 감소한 분야는 헬스케어, 비즈니스 서비스, 소비재 및 서비스, 제조 분야다. 보고서는 이들 분야가 인플레이션으로 가장 큰 타격을 입었으며, 보안 예산 뿐만 아니라 전체 지출 줄이고 있다고 밝혔다.
인력 증가 둔화
보안 인력 증원 속도가 눈에 띄게 둔화되고 있다. 올해 보안 인력은 12% 증가할 것으로 예상되는데, 두 자릿수 성장을 보이고 있지만 이는 지난해 16%, 2022년의 31%에서 감소한 수치이다. 응답자 중 52%의 CISO가 올해 인력을 추가할 계획이라고 밝혔다. 이는 2023년 55%, 2022년 68%에서 크게 감소한 수치다.
보고서에 따르면 지난 12개월 동안 CISO들은 필요성이 있음에도 직원을 추가하는 데 어려움을 겪었다. 보고서에 따르면, 많은 팀이 적은 자원으로 더 많은 일을 해야 하며, CISO는 채용 예산을 확보하는 데 어려움을 겪고 있다. 이는 CISO뿐만 아니라 그들의 팀에도 많은 부담을 주고 있는 상황이다.
마르타노는 이런 상황으로 보안팀 직원이 번아웃을 겪을 수 있다고 경고했다. 다른 사람들의 일까지 떠맡으면서도 충분한 보상을 받지 못하고 느낄 수 있다는 것이다. 마르타노는 “2024년 현재까지 이직률은 비교적 낮았지만, 직원들이 흥미를 느끼는 기회가 생기면 회사를 떠날 가능성이 크다. 채용 시장이 더 열리고 기회가 많아지면 직원에게 많은 변화가 생길 수 있다”라며 “CISO는 현 예산을 살펴보고 이를 우선순위에 맞게 배분해야 할 것”이라고 조언했다.
IT 지출에서 보안 비중 증가
CISO에게 좋은 신호 중 하나는 IT 지출 대비 보안 비중이 계속 증가하고 있다는 점이다. 해당수치는 2020년에는 8.6%였으나 올해는 13.2%로 예상되고 있다. 기업 매출 대비 보안 예산 비중도 증가했다. 보고서는 “이러한 상승 추세는 다른 기능에 비해 보안에 더 많은 조직 자원이 할당되고 있음을 나타낸다”라고 설명했다.
설문조사에 응답한 CISO의 약 절반은 예산에 대해 어느 정도 또는 매우 만족한다고 표현했다. 그러나 보고서는 “자신의 예산이 더 커져야 된다고 생각하는 CISO도 여전히 많았다”라고 설명했다.
하지만 마르타노는 “보안 예산은 무조건 많이 늘어나야 하기보다는 조직이 직면한 위험 수준에 맞게 적절하게 관리되어야 한다”라며 “조직 전체적으로 예산이 줄어들고 있는 상황에서 CISO 혼자만 보안 예산을 과도하게 많이 요구하는 것은 경영진으로서 판단 능력이 부족하다는 것을 나타낼 수 있다”라고 설명했다.
마르타노는 CISO는 더 많은 도구를 확보하고 직원에게 더 나은 보상을 제공하고 싶어 하지만, CISO가 점차 경영진의 일원으로서 역할이 강화되면서 예산에 대한 면밀한 검토를 해야 하는 상황이 늘 것이라고 조언했다. 마르타노는 “단순히 보안만을 위한 것이 아니라 조직의 우선순위와 리스크 관리 전략도 함께 신경써야 한다”라고 설명했다.
마지막으로 마르타노는 “CISO가 CEO와 이사회에 예산 증액을 설득하려면 디지털 전환과 같은 명확한 근거가 필요하다”라며 “CISO는 이사회와 경영진에게 보안이 전반적인 비즈니스 목표와 어떻게 연계되는지 명확히 제시해야 한다”라고 밝혔다.
dl-ciokorea@foundryco.com
