사내에 숨어있는 황금빛 사이버 보안 인재를 발견 할 놀라운 방법 - Part 1 (Surprising Ways to Find Cybersecurity Gold In Your Employees - Part 1)

    본 페이지는 번역된 것입니다. 영어 원문을 보고자 하시면 클릭해 주십시오.


    지금 어드민 책상에 앉아 있는 직원이 내일의 최고 사이버 보안 인재일 수도 있습니다. 또는 지금 마케팅 부서에 있을 수도 있고 심리학을 전공했거나 미스테리 소설이나 퍼즐을 좋아하는 사람일 수 도 있습니다. 터무니 없는 소리로 들리신다면 이렇게 한번 생각해 보십시오. 기술 지식과 기술력은 교육을 통해 습득할 수 있습니다. 그러나 호기심, 문제 해결, 상호 교류, 공감, 소통 등 "Soft-attributes"(또는 Soft Skill)라고 불리는 요소들은 교육을 통해 훈련되기에는 어려운 부분이 있습니다. 대개 이런 능력들은 선천적으로 타고 나거나 오랜 세월에 걸쳐 만들어지기 때문입니다.

    자격을 갖춘 사이버 보안 인력의 부족은 전 세계적인 문제이고 이로 인해 우리 모두는 위험해 지고 있습니다. 사이버 범죄 활동은 수익을 가져다 주고, 낮은 초기 투입 비용 그리고 낮은 체포 확률로 수입 억 가치의 주요 지하 산업을 창출합니다. 우리에게는 그것을 파악해 줄 충분한 "굿 가이"(Good Guys)가 없습니다.

    어쩌면 당신이 그들을 더욱 가치 있게 만들어 줄 수 있는지도 모릅니다.

    좋은 소식은, 장기적인 인재를 조직내에서 발견할 수 도 있다는 것입니다. 교육만 제공되면 이 인재들은 현재의 위치에서 더욱 가치 있는 존재가 될 수 있고 사이버 보안쪽 커리어를 쌓아가는데 동기부여를 받을 수 있으며 귀하의 조직 정보, 시스템, 자산을 보호할 수 있을 것입니다. 귀하는 회사의 문화, 시장, 전문성, 고객을 이미 알고 있는 인재들을 교육하게 되는 것입니다. 게다가 모든 부서는 각 부서 마다 사이버 보안에 대해 알고 있는 인력을 필요로 할 수 있습니다. 이 인재들이 경력을 통해 습득한 기술, 교육, 취미가 꽤 가치 있을 수 있다는 것에 당신은 놀랄 수 있습니다.

    현 직원들의 숙련도 향상을 위해 노력한다는 면에서 기존 인적 자원에 투자하는 조직으로 좋은 평판을 받을 수 있습니다. 이런 방식으로 전도유망한 직원들을 유지한다면 이 자체만으로도 높은 수준의 인재를 유치하는데 도움이 될 것입니다.

    트립와이어(Tripwire)의 제품 매니지먼트 및 전략 담당 부사장 인 팀 얼린 (Tim Erlin)은 "사이버 보안 업계는 강력한 보안 프로그램 구축에 필요한 Soft-Skill을 간과해서는 안된다"고 말했습니다. 오늘날의 보안 프로들은 기술적 전문 지식을 넘어 설 필요가 있다는 것이 현실이다. 보안 전문가는 훌륭한 커뮤니케이터가 될 필요가 있다. 사이버 보안 이슈를 비즈니스 우선 순위와 연결해 볼 수 있어야 하고 여타 조직도 관여할 수 있게 결집시켜야 하며 어려운 문제를 해결하고 민감한 이슈도 다를 수 있어야 하기 때문이다.[1]

    갤럽의 여론조사에 따르면 밀레니엄 세대의 87 %가 "전문분야로의 가능성 또는 커리어 성장 및 개발의 기회의 여부”를 구직의 중요 요소로 꼽는다고 합니다.[2]

    총 두개의 파트 중 이번 첫번째 Part 1 에서는, 경영 부서가 조직내에서 숨겨진 인재를 계속 찾고자 하고 귀하도 사내에서 창의적인 인력 개발 계획을 갖고 있다면 이를 통해 어떠한 중요 어드밴티지를 갖게 되는지 설명하겠습니다.

    그들은 누구 입니까?

    다음은 사이버 보안 분야에 적용되는 몇 가지 예입니다.

     

    사회학 또는 심리학 전공의 인재—사회학이나 심리학은 부서나 사이버 보안 프로젝트 팀에서 소통을 잘 할 수 있게 도와줄 것입니다. 이 학문을 통해 개인과 그룹 간의 관계를 이해할 줄 알 것이고, 다른 사람들을 이끄는 방법도 알며, 클라이언트에 다가가고 그들의 니즈가 무엇인지도 찾아낼 수 있을 것입니다. 이 전공자들에게 사이버 보안 세일즈나 Help Desk 쪽 역할이 맡겨진다면 그 가치가 빛을 발할 수 있을 것입니다. 사이버 범죄 심리에 대한 이해도 있으므로 보안 위협 분석 팀에서도 일할 수 있을 것입니다.

     

    여기 또 하나의 장점이 있습니다. 이 분야의 출신들은 소셜 엔지니어링 기법(인간의 최약점)과 보안 취약을 불러오는 위험한 유저들의 행동을 변화시킬 최고의 방법을 이해하고 있을 수도 있습니다. 우리 인간은 종종 보안 환경에서 가장 취약한 고리이고, 이 두 학문 출신의 인재들은 어떤 동기가 인간의 이런 행동을 유발하는지에 대해 깊은 이해를 갖고 있으므로 이것이 바로 이들의 큰 장점일 수 있는 것입니다. 사회학이나 심리학 학위를 가진 인재들은 이러한 부분들의 관리 과정에 있어 유리한 위치에 있다고 할 수 있습니다.

     

    법 집행 경험이 있는 인재—이들은 법과 질서 측면에서 생각합니다. 이 인재들은 인간 및 물리적 자산 보호가 주요 목표 였기 때문에 준법 정신을 갖고 있습니다.  어떻게 증거를 수집하고 분석하는지 수사 프로토콜과 범죄 과학 수사(포렌식)에 대해 알고 있고, 올바른 절차, 의심스러운 점을 찾아내고 엄격히 조사하는 방법도 알고 있습니다

     

    Woman at desk sm.jpg이런 인재들은, 어떻게 사이버 범죄자 보다 한발 앞설 수 있는지, 사이버 범죄자들의 취약점을 찾고 다음 계획이 무엇인지 예측하거나 임박한 공격을 좌절 시키는 방법을 알고 있을 수 있습니다. 사이버 보안 팀과 회계 감사, 정책, 조사를 담당하는 여타 다른 부서에도 큰 공헌을 하는 것입니다. 게다가, 당신의 조직에 사이버 범죄가 일어났다면 법무팀과 법집행 팀(예: FBI)이 관여할 수 도 있을 것입니다. 이런 상황에 처할 때 법 집행 기관과의 업무가 익숙한 팀원이 있다면 그것은 큰 어드밴티지가 될 것입니다.

     

    군 복무 경험이 있는 인재—군사 훈련의 기본은 팀워크이고, 이 팀워크로 교육의 주목적인 팀 목표를 달성할 수 있습니다. 군대 경험이 있는 인재들은 전략과 전술의 차이를 이해합니다.  법 집행 경험이 있는 인재들처럼 전직 군인들은 자산 강화 및 보호가 공격 예방의 첫 단계로 몸에 깊이 베어 있습니다. 많은 교육을 받아왔으므로 상황에 잘 따르고 근무 외 시간에 문제가 발생하는 경우에도 성실히 업무에 임해 문제 해결을 도와 줄 수 있으므로 더욱 소중한 팀 멤버가 될 것입니다. 이 인재들은 압박감과 스트레스를 어떻게 이겨 나갈 수 있는지 또 이것 들로부터 어떻게 경계를 유지해 나갈지 그 방법을 알고 있습니다. 군에서의 보직에 따라 여러 팀에 적합할 것입니다.

     

    여성 및 소수 그룹 출신의 인재—증가하는 학문적 연구에 따르면 인간의 편향은 무의식이 될 수 있다고 말합니다.  다른 문화, 사회, 성별을 배경으로 이루어진 다양한 팀을 갖는다는 것은 타고난 인간의 편향 및 집단 사고와 싸울 수 있게 도와줍니다. 다양한 사이버 보안 팀은 다양하게 일어날 수 있는 보안 이슈들을 우리가 생각하고 있는 틀 보다는 그 밖에서 조사하고 생각해 낼 수 있습니다. 기억하십시오! 사이버보안은 전 세계 모두에게 영향을 미치는 문제입니다. 공격자들은 홈 그라운드에서만 게임을 하는 것이 아니므로 방어 팀도 이들처럼 다양해야만 합니다.

     

    가르치는 경험을 갖고 있는 인재—교직 경험이 있는 인재들은 회사내에서 또는 클라이언트 회사와 함께 사이버 보안 교육을 이끌어갈 만한 노련한 기술을 가지고 있을지도 모릅니다. 사이버 보안 모범 사례에 관해서 대규모 그룹이나 소규모 프로젝트 팀 교육에 재능을 발휘할 수 있습니다. 사람은 사이버 보안에 있어 가장 큰 취약점이 되기도 합니다. 훌륭한 강사는 모든 직원들이 보안 정책을 배우고, 이해하고, 준수할 수 있게 잘 도와줄 것입니다. 또한 이 인재들은 정책을 실제 알고 있어야 하는 사람들이 잘 이해할 수 있도록 명확하고 정확한 정책 및 절차가 만들어지게 정책가들을 잘 안내할 것입니다.

     

    영어, 문학, 커뮤니케이션 전공의 인재—사이버 보안과 관련된 모든 서술 및 구술 정보는 명확하고, 정확하며, 간결하고, 이해하기 쉬워 접근이 용이해야 합니다. 이런 전공 배경에서 교육 받은 인재들은 사이버 보안 교육 자료나 정책 메뉴얼, 파워포인트, 스피치, 웹사이트, 소셜미디어, 그 외 다른 커뮤니케이션 방식 등의 질을 향상시키는데 도움을 줄 것입니다. 이런 인재들은 그 들 스스로 프레젠테이션을 하거나 강사들을 교육시키는 것에 재능이 있을지도 모릅니다. 이런 전문가들은 위기 상황 대비를 위한 커뮤니케이션 흐름을 차트로 만들 수 있고, 위기 상황에서의 적절한 내외적 메세지를 결정하는데 도움을 줄 수 있을 입니다.

     

    과학자 출신의 인재—많은 과학자들이 컴퓨터 및 기술직 쪽으로 전환했습니다. 그들은 주제 조사, 증거 수집, 어떤 것이 이해가 가고 안 가는지 체크하는 일, 프로세스를 문서화 하는 일, 다른 연구자료 들을 찾아보고 추론을 방어하는 것에 익숙합니다. 과학자들은 옵션이 아닌 사실 그대로의 것을 찾는 것에 익숙합니다. 논리적으로 생각하는 팀원을 필요로 할 때, 많은 정보와 이론 테스트를 진행하고 뭔가를 증명하기 위해 증거를 사용할 수 있는 논리적인 팀원이 필요할 경우에 더 소중한 인재입니다.

     

    행정관리직 또는 보조(Assistant) 경력의 인재—이 분야에 경력이 있는 인재들은 회사 안팎의 사정을 잘 알고 있습니다. 필요한 정보를 위해 누구와 연계를 해야 하는지를 알고 회사의 프로세스도 알고 있습니다. 종종 프로세스가 잘 진행되고 있는지도 확인합니다. 이런 인재들은 사이버 보안 Help Desk팀에 적격일 수 있습니다. 행정 관리직은 관계를 정리하는 자리이기도 합니다. 회사내에 비공식적 네트워크를 갖고있어 어떤 일의 맥을 짚어 실제 일어나고 있는 일을 결정하고 충돌이 생겼을 때 부드럽게 넘길 수 있을 것입니다. 이런 인재들은 보안 이벤트 동안에 업데이트 정보를 전달함으로써 중단으로부터 팀을 보호해 기술 팀의 훌륭한 완충 장치 역할을 해 줄 수 있을 것입니다.

     

    회계사 및 재무(금융) 관련 인재—이 분야의 인재들은 종종 공식적인 위험 분석 방법을 알고 있습니다. 그래서 비즈니스에 미치는 영향력 관점에서의 사이버 보안 위험을 계산하는데 그 들의 기술을 이용할 수 있을 것입니다. 오늘날 사이버 보안 보험 정책을 제공하는 보험 회사들은 재무(금융)와 사이버 보안 두 분야를 모두 이해하는 인재를 끊임없이 찾고 있습니다. 비용/이익 분석이 가능한 재무(금융) 분야의 숙련된 인재들은 조직이 사이버 보안 위험 완화에 얼마나 지출을 해야 하는지 그 결정에 도움을 줄 수 있을 것입니다. 회계나 재무(금융) 부서에서 일하는 많은 사람들은 재무 감사에 참여한 적이 있고 감사 프로세스에 익숙합니다. 사이버 보안 감사가 더욱 보편화 되고 있으므로 재무(금융) 또는 회계 쪽 배경을 가진 인재들은 위험을 이해해 측정하고, 감사하고, 제어하는데 큰 도움이 될 것입니다. 이쪽 분야 출신 인재들은 추가적인 사이버 보안 교육과 기술 개발을 통해 사이버 보안 감사와 사이버 보안 보험 문제 해결을 위해 그들의 기술력을 결합할 수 있을 것입니다.

     

    퍼즐이나 미스터리를 푸는데 재능이 있는 인재—퍼즐 맞추기나 미스터리 풀기를 사랑하는 인재들은 사이버 보안 문제에 뛰어들어 단서들을 분석하고 그 분석으로부터 나온 논리적 결론을 하나하나 따라갈 것입니다. 막다른 길에 이른다 해도 이들은 단념하지 않습니다. 그저 다른 길을 택하고 솔루션을 찾을 때까지 계속 전진할 것입니다. 그리고 난 후 다음 도전 과제를 선택할 것입니다. 모든 조각이 제자리에 없다고 해도 이들은 종종 빅 픽처를 볼 수 있습니다.

     

    괴짜 인재들—진지하게 말씀드리겠습니다. 이들은 단지 어떤 일이 일어나는지 보기 위해 뭔가 다른 것들을 시도합니다. 그렇지않으면 어떻게 움직일까 알아보기 위해 어떤 것들을 분해해봅니다. 그러고서 그것을 만들기 위한 더 나은 방법을 창조해 냅니다. 틀 밖에서 생각하고 가끔은 틀 밖으로 나가는 방법을 생각합니다. 사회적으로 적합하기도 적합하지 않다고도 할 수 있고, 귀하는 이들을 주시하고 선 밖에서 남들과 다른 색을 내고 싶어하는 이들의 욕구를 관리해야 할지도 모릅니다.  그러나 본능적으로 결함을 찾아 낼 수 있는 인재가 필요할 때 이 인재들이 진정한 자산이 되어 줄 것입니다. 이 들은 보안 강화 제품 및 퍼포먼스 테스트를 위한 인재일 수도 있습니다.  보안 결함을 찾는 일반적 방법은 시스템 설계자 조차도 예측하지 못하는 이런 일들을 찾아낼 수 있는 인재를 보유하는 것입니다.

     

    Part 2에서는…

     

    다음 연재에서는, 지금까지 설명한 부분들이 어떻게 실무에 적용되었는지 사례들을 살펴볼 수 있습니다. 그리고 이런 인재들을 위한 다양한 교육 프로그램 안내 링크를 제공하겠습니다.  이 모든 것들에 대해 어떻게 생각하십니까? 사이버 보안 방어에 기여한 인재들에 대한 사례를 보신적이 있습니까

     

    [1] 트립와이어(Tripwire) 뉴스; "Survey Says: Soft Skills Valued by Security Team"; 2017년 10월 17일

    [2] 갤럽(Gallup) 뉴스; "Millennials Want Jobs to Be Development Opportunities"; 2016년 6월 30일

     

    최신 IT 업계 소식과 Cisco의 독점 학습 서비스를 확인하려면 지금 등록하세요!

     

    Tom Gilheany_final_thumb.jpg톰 질히니(Tom Gilheany)는 스타트 기업에서부터 포춘(Fortune)지 선정 100대 다국적 기업까지 다양한 배경을 갖고 있는 Cisco의 보안 교육 및 인증의 Product Manager 입니다. 20년 이상의 Product Manager 및 기술 마케팅 포지션에서의 경력, 그리고 12년 이상의 IT 및 오퍼레이션 분야 경력을 바탕으로 신생기술, 사이버보안, 통신 분야에서 약 50개의 제품 론칭을 시행했습니다. 톰은 CISSP(a Certified Information Systems Security Professional) 인증, MBA학위를 보유하고 있으며 Board Member of the Silicon Valley Product Management Association and Product Camp Silicon Valley로 활동하고 있습니다.

     

     

    Donna Head Shot 2 sm.jpg
    다나 머우릴로(Donna Maurillo)는 Learning @ Cisco의 컨텐츠 관리자로서 백서, 블로그, 웹 사이트 컨텐츠 및 기타 자료를 만들고 있습니다. 평생동안 홍보 및 기업 홍보 분야에서 경력을 쌓아왔으며 서로 연결된 환경이 가져다 주는 많은 이점들을 알리는 것입니다.