사내에 숨어있는 황금빛 사이버 보안 인재를 발견 할 놀라운 방법 - Part 2 (Surprising Ways to Find Cybersecurity Gold In Your Employees - Part 2)

    본 페이지는 번역된 것입니다. 영어 원문을 보고자 하시면 클릭해 주십시오.


     

    첫번째 블로그 Part 1 에서는 조직에 숨어있는 사이버 보안 인재를 찾는 콘셉트에 대해 소개했습니다. 숨은 인재들은 군대, 법 집행 분야, 과학자, 교직 경험을 갖고 있는 직원들 중에 있을 수 있고, 영문학이나 커뮤니케이션과 같은 교양 학부 학위를 받은 직원들 사이에 있을 수도 있습니다. 숨은 인재들은 귀하의 현재 보안 팀원들처럼 보이지 않을 수 있습니다. 예를 들어 재무(금융)나 회계 쪽에서 일하고 있으면 말이죠. 괴짜라 불리는 인재들도 기존 보안팀과는 색다른 관점을 보여주거나 보안 팀이 갖고 있지 않던 지식들을 제공함으로써 그들의 가치를 발할 수 있습니다.

    세계적으로 사이버 보안 위협이 기하급수적으로 증가함으로써 교육받은 사이버 보안 인재의 공급이 심각하게 부족한 상황입니다. 이런 상황에서 조직의 자산을 안전하게 지킬 수 있는 장기적 방법은 무엇일까요?

    문제 해결을 위해 모든 감각을 동원해 시야를 넓히고 창의적으로 생각해야합니다. 대부분의 숨겨진 인재들은 정식적인 IT나 사이버 보안직으로 결코 이동하지 않을 수 있습니다. 그래야만 할 필요도 없습니다. 보안 인식은 모두가 알아야 할 최소한의 부분이므로 숨어있는 인재들은 하나 또는 두 코스정도의 교육을 듣고 현재 근무하고 있는 팀에서 가치 있는 역할을 해낼 수 있을 것입니다. 보안 제품 설계부터 공급망 위험 관리, 잠재 손실로 인한 재정적 영향 평가, 교묘한 위험에 대한 인식 구축과 같은 전통적 보안 업무가 늘어나고 있고 보안 위험 처리도 이 전통적 업무의 일부가 되고 있습니다.

    이번 두 번째 Part 2 블로그에서는, 몇몇 교육 프로그램 링크와 함께 실제 현실에서 숨은 인재 찾는 개념에 대해 실례를 제공해 드릴 것입니다.

    적절한 교육에서부터 시작됩니다.

    조직은 잠재 인재들의 독특한 재능을 어떻게 활용할까요? 적절한 교육을 제공하는 것이 그 시작을 위한 최고의 방법입니다. 인재들이 관심을 갖을 만한 추가적인 보안 관련 역할이나 직책의 형태가 무엇인지에 대해 개념을 갖고 있어야만 합니다. 그러면 인재들은 새 기술을 습득하고, 현재 직책을 강화하고, 비즈니스 우선순위에 따른 사이버 보안 문제와 연계하고, 나머지 조직도 함께 관여하도록 집결시키고, 어려운 문제를 해결하고, 민감한 문제를 처리하기 위해 교육을 받을 수 있습니다..

    사이버 보안쪽으로의 경력 진로에 충분한 관심을 갖게된 인재들은 직책이나 기술력과 관련해 다양한 인증을 조사하게 될 것입니다. 성공적인 인증 취득을 위한 지식, 기술, 업무 능력 습득을 위해 이 시점에서부터 교육 계획을 세우게 될 것입니다. 이 인증들은 닫혀 있던 커리어 문을 열도록 도와 주고 인재들의 새로운 역할과 직책에 대한 역량을 증명해 줄 것입니다.

    다른 역할에 이미 숨겨졌던 인재를 고용했지만 그 인재가 사이버 보안 교육에 관심을 두고 있다면 경력을 위해 한 발 나아가보지 않겠는지 제안해 볼 수 있을 것입니다. 많은 직원들이 스스로 좁은 시야안에 갇혀 뻔한 자리 말고는 옮길 수 없다고 사이버 보안 쪽으로 경력을 가져 볼 생각 조차 못할 수 있습니다. 또는, 운이 좋다면 교육을 받고 귀하의 사이버 보안팀으로 마침내 도약해 보려는 인재를 찾을 수도 있을 것입니다.

    허무맹랑한 생각이 아닙니다. 주요 기업들은 이 방향으로 움직이고 있고 투자했던 것들이 이제 성과로 돌아오기 시작했습니다.


    여기 실제 그렇게 한 사람들이 있습니다.

    시스코는 이미 이러한 인재들을 찾고 있고, 이 인재들이 사이버 보안팀에 귀중한 재능을 선사 할 수 있다는 것도 이미 알고 있습니다. 탈로스(Talos)를 예를 들어 보겠습니다. Talos팀은 인터넷에서 사이버 범죄를 찾고 차단시키는 시스코의 엘리트 멀웨어 연구원 그룹입니다.

     

    Students sm.jpgTalos의 위협 인텔리전스 매니저인 조엘 에슬러(Joel Esler: Threat Intelligence Manager)는 호기심에 이끌려 IT 분야로 오게 되었습니다. 그는14살 때 분해하기 위해서 중고 라디오와 전화기를 수집했습니다. 그는 "어떻게 그것들이 작동되는지, 다시 조립하면 작동되는지 보고 싶었고 가끔 성공하기도 했습니다."라고 말했습니다.

     

    기계 해킹에 대한 그의 열정은 그를 시스코 입사 전 6년간 미군에서 전자통신 및 보안 전문으로 근무하게끔 이끌었습니다.

     

    알렉스 추(Alex Chiu)는 Talos의 위협 연구원이고 이와 관련된 취미를 갖고 있습니다. "저는 퍼즐을 사랑합니다. 그리고 보안이란 것은 이와 전혀 다른 것이 아닙니다. 모든 퍼즐 조각을 갖고있지 않아도 하나의 완전한 스토리를 만들려면 갖고 있는 조각들을 조합해 봐야 합니다. 그리고 그게 바로 퍼즐의 재미인 거죠"

     

    데이터 분석가인 케이트 놀란(Kath Nolan)은 Talos의 작지만 점점 그 수가 증가하고 있는 여성 보안 연구원 중 한 명입니다. 전통적인 보안 배경 보다는 그녀가 갖고 있던 데이터 분석 배경으로 인해 그녀는 사물을 다르게 볼 수 있었습니다. 그녀는 " 제 동료들은 항상 백도어(Backdoor)를 생각하고 있어요. 하지만 저는 좀 개발자처럼 생각하죠. 그래서 멀웨어의 빌더(Builder)처럼 생각합니다."고 말합니다. "어떻게 제거 할 것인가? 보다는, 어떻게 위협까지 같이 포함시킬 수 있었을까?" 라고 묻는다고 합니다.?”

     

    이 각각의 집요한 IT전문가들은 전통적이지 않은 재능으로 엘리트 사이버 보안팀이 되었습니다.  이와 비슷한 보배들이 없는지 귀하의 조직을 한 번 둘러보십시오.

     

    여기, 귀하도 할 수 있는 방법이 있습니다.

     

    먼저, 이런 숨은 인재들이 있는지 확인해 보세요. 그런 다음은, 그들의 현재 역할이 확장된다면 그들 본인 및 회사에 이득을 가져다 줄 만한 사이버 기술로는 무엇이 있는지 확인하십시오. 사실, 이 인재들이 지금 가지고 있는 기술과 이런 사이버 기술이 결합 할 때 사이버 보안 교육은 완전히 새롭고 더 가치 있는 직책의 길을 열어줄 수 있습니다. 셋째는 이 인재들이 필요한 기술력을 습득할 수 있도록 교육의 기회를 제공해 주는 것입니다.

     

    마지막으로, 교육을 통해 습득한 기술들 최대한 사용해 볼 수 있도록 부서 내 보안 위험을 처리해보거나 회사의 사이버 보안 및 위험 매니지먼트 쪽과 협력하게 해 보십시오.

     

    IBM에는 2년전에 시작한 뉴-칼라(New Collar) 프로그램이란 것이 있습니다. 비 전통적 인재들을 사이버 보안 커리어 쪽으로 전환시키기 위해 만들어진 프로그램입니다. 2015년 이후 미국에서 고용된 사이버 보안 인력의 20%가 이 뉴-칼라 출신의 인력이라고 하니 프로그램의 취지에 맞게 지금까지 잘 진행되고 있다고 볼 수 있습니다. 이들은, 사이버 범죄자는 진입 장벽을 두지 않는다고 지적합니다. [1] 그렇다면 왜 많은 기업들이 그들의 사이버 보안 전망에 제한적인 시각을 갖고 있을까요?

     

    IBM은 열성적입니다. 다른 조직들도 견습프로그램, 인증 프로그램, 커뮤니티 칼리지 프로그램, 그 외 교육장의 프로그램을 장려할 수 있게 권장합니다. 최근 합류한 일부 IBM 사이버 보안 인재들은 소매업, 교육, 엔터테인먼트, 법조계 출신입니다. 사이버 보안에 대한 호기심과 배우고자 하는 동기 부여가 이들의 공통 분모입니다.

     

    시스코가 도와 드립니다.

    Learning@Cisco 는 기술 업계에서 존경받고 널리 알려져 있는 폭 넓고 다양한 인증을 제공합니다. 시스코 인증 보유는 직원에게 기하급수적인 가치를 가져다 주고 조직에도 혜택을 가져다 줍니다. 자격 인증을 보유한 직원들이 IT 및 사이버 보안 분야에서 완전한 커리어를 이어갈지 아니면 현재 팀에 남아 추가적인 교육을 통해 가치를 높이며 남아있을지 고민하게 됩니다.

     

    다음은 귀하의 직원들을 등록할 수 있는 사이버 보안 관련 과정들입니다.

     

    • 사이버 보안 교육 및 인증 관련 페이지 – 다양한 사이버 보안의 전문적 역할에 대한 개요를 제공합니다. 관심은 있으나 더 많은 정보가 필요한분께는 좋은 시작점이 되어 줄 것입니다.
    • Cisco Networking Academy – 귀하의 일부 비기술직 직원은 아직 커뮤니티 칼리지를 다니고 있을 수 있습니다. 만약 그렇다면 Networking Academy는 이들에게 네트워킹, 코딩, 운영 시스템, 보안에 대한 개념을 소개할 수 있을 것입니다. 커리어를 시작하려고 하는 많은 젊은 인재들에게 이상적인 출발점이 될 것입니다..
    • CCNA CyberOps Certification – 이 교육은 보안 오퍼레이션 센터(SOC: Security Operations Center) 내의 Associated 레벨의 사이버 보안 분석가와 함께 일하는 커리어를 시작하게 도와 줍니다. 그리고 고급 사이버 보안 분석가, 사고 대응가, 사이버 포렌식 전문가, 사이버 보안 감사 등 사이버 보안 오퍼레이션의 상위 레벨 역할을 위한 기본을 마련해 줍니다.
    • CCNA Security Certification – 이 인증 취득은 네트워크 보안 전문가, 보안 관리자, 네트워크 보안 지원 엔지니어와 같은 직무의 기초가 됩니다.

     

    군 경험이 있는 인재들을 위해 (미군 기준의 정보만 제공) :

     

    • 군인을 위한 인증 정보 리소스 – 이 페이지는 군대의 IT 경험을 군대, 정부, 민간 인정 자격 증명으로 변환하는 방법에 대해 설명합니다.
    • US DoD Approved 8570 Baseline Certifications(미 국방부 승인 8570 기본 인증) – 특별 권한이 부여 된 시스템에서 정보 보증 업무를 행하는 국방부 직원(직원 또는 민간 계약자)은 반드시 해당 업무 별 승인된 인증을 보유하거나 유지해야 합니다. 시스코의 CCNA 와 CCNP Security 인증은 IAT (Information Assurance Technician) 직무에 승인된 인증입니다. 시스코의 Cybersecurity Specialist Certification (SCYBER)은 컴퓨터 네트워크 방어 / 사이버 보안 서비스 제공 업체 (CND / CSSP) 분석가 및 CND / CSSP 사건 대응 직무를 위해 승인된 인증입니다.

     

    기존 직원들의 추가 교육이나 인증도 귀하께 이득을 가져다 줄 수 있습니다. 현재 직원들의 직무 가치를 높일 수 있는 방법을 간과하지 마십시오..

     

    Professional 레벨의 인재들을 위해:

     

    • CCNP Security Certification – 이 인증은 Network Security Engineer 직무를 위한 인증입니다. 이 인증을 취득하기 위해서는 CCNA Security 또는 어떤 종류이든CCIE 인증이 선수 인증으로서 요구됩니다. CCNP Security 인증을 보유한 개인은 차세대 방화벽, 차세대 IPS 시스템, 고급 멀웨어 방지, 그 외 여러 핵심 보안 제어 기술을 포함한 네트워크 보안과 관련된 모든 분야에서 Professional 레벨의 역량을 갖추었음을 입증 받은 것입니다.

     

    최고 전문가 인재를 위해:

     

    • CCIE Security Certification – 이 인증은 시스코가 네트워크 보안 전문가에게 부여한 최고 수준의 인증입니다. 이 인증을 보유한 엘리트 분들은 일반적으로 보안 기술 경험이 가장 많고 높은 전문가 수준에서 작업하고 가장 어렵운 기술적 보안 문제를 해결하고, 또 새로운 보안 문제에 대한 솔루션을 설계하며 조직 전체의 보안 시스템과 제어(Control)를 설계합니다.

     

    귀하의 직원들도 회사에 도움이 되고 싶어합니다.

    우리 모두는 사이버 보안 위험이 증가하고 있다는 것을 잘 알고 있습니다. 조직뿐만 아니라 개인도 역시 받아드리고 있는 사실 입니다. 귀하의 직원들은 이미 위협의 존재를 인지하고 있습니다. 이것이 조직의 안정, 고객, 공급자, 전문직의 삶에 얼마나 중요한지 알기에 직원들은 돕고자 합니다. 장기적으로 이 문제를 헤쳐 나가기 위해서 매니지먼트는 반드시 예상치 못한 곳에서 인재를 발굴하고 조직의 안전을 위해 더욱 훈련시켜야만 합니다.

     

    [1] 하버드 비즈니스 리뷰(Harvard Business Review): "Cybersecurity Has a Serious Talent Shortage. Here’s How to Fix It"; 2017년 5월 4일

     

    최신 IT 업계 소식과 Cisco의 독점 학습 서비스를 확인하려면 지금 등록하세요!

     

    Tom Gilheany_final_thumb.jpg톰 질히니(Tom Gilheany)는 스타트업  기업에서부터 포춘(Fortune)지 선정 100대 다국적 기업까지 다양한 배경을 갖고 있는 Cisco의 보안 교육 및 인증의 Product Manager 입니다. 20년 이상의 Product Manager 및 기술 마케팅 포지션에서의 경력, 그리고 12년 이상의 IT 및 오퍼레이션 분야 경력을 바탕으로 신생기술, 사이버보안, 통신 분야에서 약 50개의 제품 론칭을 시행했습니다. 톰은 CISSP(a Certified Information Systems Security Professional) 인증, MBA학위를 보유하고 있으며 Board Member of the Silicon Valley Product Management Association and Product Camp Silicon Valley로 활동하고 있습니다.

     

     

    Donna Head Shot 2 sm.jpg
    다나 머우릴로(Donna Maurillo)는 Learning @ Cisco의 컨텐츠 관리자로서 백서, 블로그, 웹 사이트 컨텐츠 및 기타 자료를 만들고 있습니다. 평생동안 홍보 및 기업 홍보 분야에서 경력을 쌓아왔으며 서로 연결된 환경이 가져다 주는 많은 이점들을 알리는 것입니다