A robust cybersecurity program needs a range of skilled people, yet many CISOs continue to face an ongoing skills shortage — and the squeeze may only get worse as AI gains traction.

Some 95% of cybersecurity practitioners and decision-makers noted at least one security skills gap at their organization, with almost 60% citing critical or significant skills gaps, according to ISC2’s 2025 Cybersecurity Workforce Study.

AI is the most pressing skill need, followed by cloud security, risk assessment, application security, security engineering, and governance, risk, and compliance (GRC), the survey found.

There are no simple solutions for a profession that requires passion, curiosity, and a thirst for defending systems. Such professionals are a rare breed.

“You need to have a special mindset,” says Juan Gomez-Sanchez, VP of cyber resilience at McLane Company.

“While IT people are obsessed with how things work, security people are obsessed with how things break, and people who are truly effective and passionate about that can be difficult to find,” says Gomez-Sanchez.

Add to that the fact that the cyber degree studies are challenging, technology is changing rapidly, and the profession is still comparatively young, and the true extent of the problem becomes clear.

If CISOs can’t hire the skills they need, some will look toward in-house training and development to foster the expertise they need.

“Hiring certain types of security professionals can be very difficult because the skills are not held by a lot of people, so I look for someone who’s got a solid security foundation in one or more other areas and transition them,” says Keith Turpin, CISO of The Friedkin Group.

This is its own challenge, requiring time and a good deal of unlearning certain things and honing that ‘how to break’ security mindset. For example, Turpin says, upskilling “someone who’s competent in networking, server administration, or software development to the equivalent security role takes an additional two years.”

Turpin has found that just establishing the security mindset can take up to a year within that timeframe. “Instead of thinking, ‘How do I keep it going,’ as the security person it’s thinking, ‘How can it go wrong.’ It’s a different approach,” he says.

“If I can find someone who’s got the right drive, the right people skills, they’re a good cultural fit, and they have the potential, I can turn them into a good technologist,” adds Turpin, who like Gomez-Sanchez will be inducted into the CSO Hall of Fame this year.

Gomez-Sanchez and Turpin are speaking at the CSO Cybersecurity Awards & Conference, May 11-13. Reserve your place.

AI changes the equation

And then there’s AI. When it comes to security, AI may help partially offset cyber skills shortages by automating certain tasks, but it also ramps up cyberattack volumes and expands the organizational attack surface, without fixing CISOs’ ongoing talent pipeline problems. In fact, AI may end up worsening the structural skills shortage.

“You can have 100, 1,000, 10,000 instances of AI doing the work of enabling attacks at much greater scale, including against smaller, less protected targets because they’re now within reach because the barrier is lower,” says Turpin.

This increases the pressure on defenders, putting more pressure on the workforce challenge, even as AI helps automate some tasks. But it’s not going away and will only increase in importance for both attackers and defenders.

“I’m encouraging my teams to look for opportunities to leverage AI and look at how our vendors are leveraging AI,” he says.

“This is what we’re going to be dealing with five years down the road. It’s going to be the center of technology so we can’t afford not to learn this,” he adds.

Reducing the organizational risk of skills shortages

Skills shortages are more than just an inconvenience; they pose organizational risks on par with threats and malicious attacks, says Gomez-Sanchez, who views them “much the way that you think about threat actors and vulnerabilities.”

“Your ability to execute is limited by the amount of people you have to actually do the work,” he explains.

As a result, Gomez-Sanchez encourages CISOs to view the skills gaps and talent shortages as a first-class security risk that needs to be managed as a KPI for the security function. “Our ability to attract and retain good talent is a major measure of capability,” he says.

Being structural rather than temporary, skills gaps place significant pressure on CISOs’ sourcing decisions. “Security people may choose to do things differently, especially as it relates to insourcing or outsourcing because of the talent shortage,” Gomez-Sanchez notes.

By the same token, staffing constraints can shape architecture and tooling choices. For example, Gomez-Sanchez adds, a host of best-of-breed point tools instead of a more integrated platform usually requires more headcount and expertise to stitch together.

Gomez-Sanchez also gives the example of adopting a single hyperscaler versus a multicloud strategy and the increase in human workload and skills required to secure it. “Ultimately, you want to leverage native controls within the hyperscaler, and that requires you to have specialized skills in each one of those,” he says.

CISO have also looked to automation to absorb some headcount pressure, but doing so isn’t always a simple fix. Gomez-Sanchez sees agent-enabled automation as a means for providing more firepower for developers and analysts, among other roles. But the reality of agentic AI capabilities for cybersecurity remains a work in progress.

What’s clear is that persistent talent shortages are forcing CISOs to rethink hiring and training as one of numerous ways to reduce the risk that comes with the skills gap. This entrenched problem — and CISOs’ attempts to address it — will also have a significant impact on the decisions security leaders will make regarding cyber architecture, platforms, processes, and AI use ahead.

The cyber talent gap is putting increasing pressure on the cyber agenda, and your peers are already adapting. Hear Juan Gomez-Sanchez, Keith Turpin, Jen Spencer, and other leading CISOs share what’s working at the CSO Cybersecurity Awards & Conference, May 11-13. Secure your seat before it fills up.

느린 헬프데스크 지원을 포함한 IT 비효율로 인해 많은 기업이 매년 수백만 달러의 비용을 부담하고 있으며, 다수의 직원과 IT 리더가 매주 여러 시간의 업무 시간을 잃고 있는 것으로 나타났다. AI 기반 헬프데스크 제공업체 아테라(Atera)의 설문조사 결과에서 확인된 내용이다.

헬프데스크 지연과 기타 IT 비효율이 흔하고 비용 부담이 크다는 점은 이미 알려져 있었지만, AI 기반 헬프데스크 제공업체 아테라(Atera)를 위해 실시된 이번 조사는 이러한 문제를 수치로 구체화했다.

조사에 따르면 직원의 3분의 2 이상이 프로세스 탐색, 이슈 재등록, 기술적 문제 해결 등 이른바 ‘메타 업무’에 하루 근무 시간의 최소 10%를 사용하고 있는 것으로 나타났다. 또한 약 3분의 2는 IT 시스템 지연으로 하루 최소 10분을 잃고 있으며, 이러한 지연은 직원 1인당 주당 100달러 이상의 비용을 기업에 발생시키는 경우가 많았다.

수천 명의 직원을 보유한 대기업의 경우 이러한 비용은 빠르게 누적될 수 있다.

IT 리더 역시 이러한 문제에서 자유롭지 않았다. 응답자의 약 4분의 3은 접근 권한 문제, 느린 시스템, 승인 지연, IT 문제 해결 지연 등으로 인해 매주 평균 최소 1시간을 잃고 있다고 밝혔다.

아테라의 설립자이자 최고경영자인 길 페켈만은 헬프데스크 요청 이후 직원 1명이 평균 약 3시간 30분의 업무 시간을 잃는다고 설명했다. 그는 “티켓을 생성한 시점부터 담당자의 응답을 받을 때까지의 시간, 문제 해결에 소요되는 시간, 그리고 업무 전환에 따른 비용이 모두 포함된다”며 “직원이 기존에 하던 업무를 중단하고 다른 일을 처리한 뒤 다시 원래 업무로 돌아오는 과정에서도 추가적인 시간이 소요된다”고 말했다.

간과된 비용

아테라는 자사의 AI 기반 헬프데스크 솔루션 홍보를 위해 이번 조사를 의뢰했지만, 다른 IT 전문가들은 조사 수치가 오히려 보수적일 수 있다고 평가했다. 애플리케이션 보안 기업 블랙덕 소프트웨어(Black Duck Software)의 수석 디렉터이자 기술 전문가인 콜린 호그-스피어스는 대부분의 조직이 IT 비효율로 인한 비용을 과소평가하고 있다고 지적했다.

호그-스피어스는 많은 대기업이 운영 비효율과 업무 지연으로 대표되는 이른바 ‘IT 마찰(friction)’로 인해 200명 이상의 인력에 해당하는 생산성 손실을 떠안고 있지만, 이러한 비용이 단일 예산 항목으로는 드러나지 않는다고 설명했다. 그는 “이번 연구의 수치는 실제 기업 환경에서 목격하는 상황과 일치한다”며 “진정한 문제는 마찰이 존재한다는 점이 아니라, 대부분의 재무팀이 이를 검토하도록 요청받은 적이 없다는 데 있다”고 말했다.

이어 IT 리더가 디지털 경험 측정 도구를 도입하고 분기별 검토를 수행해야 한다고 권고했다. 호그-스피어스는 “CFO가 분기마다 인력 규모는 검토하면서도 마찰 지표를 본 적이 없다면, 기업은 ‘유령 인력’에 비용을 지출하고 이를 간접비로 처리하고 있는 셈”이라며 “IT 마찰은 단순한 비용 센터가 아니라 보이지 않는 인력 손실”이라고 표현했다.

또한 일부 IT 마찰은 불가피하며, 기업 규모가 클수록 문제가 더욱 심화된다고 덧붙였다. 규정 준수 요구사항, 멀티클라우드 환경, 복잡한 배포 구조 등이 이러한 문제를 가중시킨다는 설명이다. 그는 “유능한 CIO는 이 부담을 줄일 수는 있지만 완전히 없앨 수는 없다”며 “우수한 디지털 경험을 제공하는 조직은 그렇지 않은 조직보다 생산성 손실이 현저히 적으며, 이는 리더십의 중요성을 입증한다”고 분석했다.

완벽함의 신화

디지털 전환 컨설팅 기업 콘트라코(contraco)의 최고경영자 프랭크 멜트케는 일부 IT 비효율은 불가피하다고 설명했다. 그는 “마찰이 전혀 없는 IT 환경은 환상에 가깝다”며 “완전히 마찰이 없는 환경이 존재한다면, 그것은 보안이 취약하거나 비용이 지나치게 높은 경우일 것”이라고 말했다.

멜트케는 강력한 보안 프로토콜과 규정 준수 요구사항이 일정 수준의 메타 업무를 유발한다고 설명하며, “이번 연구는 실제 마찰을 측정했지만, 필요한 마찰과 불필요한 마찰을 구분하지는 않았다”고 지적했다. 이어 “성공적인 IT 리더의 목표는 모든 마찰을 제거하는 것이 아니라, 조직을 보호하기 위해 필요한 프로세스가 적절히 작동하도록 하는 것”이라고 전했다.

일부 IT 마찰이 불가피하더라도, 이러한 문제는 특히 중소기업(SMB)에 더 큰 영향을 미친다고 멜트케는 분석했다. 이번 아테라 설문조사는 미국 내 직원 1,000명 이상의 기업을 대상으로 정규직 직원 1,000명과 C-레벨 및 고위 리더 500명을 포함해 진행됐지만, 더 작은 조직을 조사할 경우 문제가 더욱 심각하게 나타날 수 있다는 설명이다.

그는 “대기업 직원이 헬프데스크 티켓을 기다리며 45분을 잃는다면, 중소기업 직원은 문제를 직접 해결하려다 그보다 더 많은 시간을 잃을 수 있다”고 말했다.

1인 기업의 경우 상황은 더욱 심각하다. 멜트케는 “대표이자 실행 인력이며 IT 부서 역할까지 모두 수행해야 한다”며 “문서 서식 지정, 이메일 통합 문제 해결, 작업 수동 태깅 등에 소비되는 모든 시간은 곧바로 매출 창출 기회를 잠식한다”고 설명했다.

이에 따라 멜트케는 중소 조직이 IT 환경을 단순화할 것을 권장했다. 그는 “지속적인 유지보수와 수작업 데이터 입력이 필요한 저가 단일 기능 애플리케이션을 여러 개 조합하기보다, 소수의 강력하고 신뢰할 수 있는 도구에 집중해야 한다”며 “CRM, 청구, 일정 관리를 통합 제공하는 단일 프리미엄 플랫폼이 무료 도구 다섯 개를 조합한 분산형 스택보다 훨씬 뛰어난 성과를 낼 것”이라고 조언했다.

AI, 해결사가 될 수 있을까?

일부 전문가들은 AI 기반 헬프데스크 서비스가 응답 속도를 높이고 직원들이 보다 신속하게 생산성을 회복하는 데 도움을 줄 수 있다고 보고 있다. 프랭크 멜트케는 AI가 아직 거버넌스 관련 마찰을 해소하는 데에는 한계가 있지만, 헬프데스크의 일부 기능을 자동화하는 데는 효과적이라고 설명했다.

그는 “자동화된 헬프데스크 도구는 반복적인 1차 지원 이슈, 비밀번호 재설정, 접근 권한 요청, 그리고 이미 알려진 오류 패턴을 매우 효율적으로 처리하며, 어떤 인력 기반 대기열보다 빠르게 대응할 수 있다”며 “대량의 반복 티켓을 처리하는 조직에게 이는 실질적이고 측정 가능한 성과로 이어진다”고 말했다.

아테라의 설립자이자 최고경영자인 길 페켈만 역시 AI 기반 헬프데스크의 필요성을 강조하며, 해당 서비스가 응답 시간을 수 시간에서 수 분 단위로 단축할 수 있다고 밝혔다. 또한 AI는 숙련된 IT 인력을 확보하는 데 어려움을 겪는 기업에도 실질적인 도움이 될 수 있다고 설명했다.

그는 “현재 시장에서는 우수한 IT 인력이 매우 부족한 상황”이라며 “AI를 활용하면 기존 인력이 이전에는 수행하지 못했던, 기업에 매우 중요한 프로젝트에 집중할 수 있게 된다”고 말했다.
dl-ciokorea@foundryco.com