2020.09.08

보안팀에 적합한 사이버보안 교육 제공업체를 선택하는 방법

John Edwards | CSO
보안팀의 기술을 지속적으로 유지하는 것과 관련해 모든 것을 한번에 적용할 수 있는 방법은 없다. 보안과 관련한 기업의 요구 사항과 이를 충족하기 위한 교육 서비스 제공업체의 능력을 평가하는 방법을 설명한다.
 
ⓒ Getty Images Bank
 
기업의 보안팀은 피싱, 랜섬웨어, DDoS 공격, 데이터 도난, 악성코드 감염 및 기타 여러 공격으로부터 시스템, 리소스 및 사용자를 보호하는 중요한 임무를 맡고 있다. 새로운 위협과 진화하는 위협을 파악하기 위해선 지속적으로 경계해야 하며, 가장 중요한 것은 잘 훈련된 팀이 필요하다. 

IT 리서치 업체 ABI 리서치(ABI Research) 보안 산업 분석가 디미트리오스 파블라키스는 이런 위험한 시기에 전담 보안팀을 보유하는 것은 필수라고 말했다. 파블라키스는 “외부 컨설턴트나 매니지드 보안 서비스에 투자하는 것은 좋지만, 새로운 위협 지평을 처리할 수 있는 지식을 갖춘 내부 IT 보안팀은 절대적으로 필수”라고 말했다.

관리 및 IT 컨설팅 업체인 부즈 앨런 해밀턴(Booz Allen Hamilton) 사이버보안 훈련 및 개발 매니저 제이슨 쥬리는 보안팀 교육에 있어 만능약은 없다고. 쥬리는 “교육 제공업체를 찾기 위한 여정을 시작하기 전에 직원의 기존 기술, 역할 및 숙련도 수준을 재고해야 한다. 이를 통해 비즈니스 격차를 파악하고 예상되는 학습 성과를 전략적으로 파악할 수 있을 것이다”라고 조언했다. 


사이버보안 교육 제공업체 찾기  

사이버보안 교육 제공업체는 직원들이 최신 위협 및 대책에 대해 신속하게 파악할 수 있도록 하는데 중요한 역할을 할 수 있다. 통신업체 NTT 글로벌 디지털 포렌식 사고대응 책임자 에디스 산토스는 “교육 서비스는 매우 중요하다. 이는 사고에 대응할 준비가 되어 있는 것과 완전히 준비되지 않은 것의 차이를 의미할 수 있다”라고 강조했다. 

교육 외에도 교육 제공업체는 시간이 지남에 따라 근시안적이고 현실에 안주하고 된 보안팀에 신선한 통찰력과 관점을 제공할 수 있다. 전 가트너 분석가이자 현재 AT&T 사이버보안 수석 전도사로 재직중인 테리사 라노위츠는 "보안 교육을 전문으로 하는 서드파티는 고객층으로부터 집단적 지식을 얻어냈다”라며, “이런 집단적 지식과 결과적인 모범 사례를 통해 서드파티가 기업에게 훈련 방법, 시기, 좋은 행동에 보상하는 방법, 나쁜 행동을 억제하는 방법 등을 안내할 수 있다”라고 설명했다.
 
교육 제공업체를 찾기 전에 보안팀의 정확한 요구 사항과 목표를 완전히 파악하고 이해하는 것이 중요하다. 쥬리는 “기준을 설정하면 교육을 통해 목표로 삼고 싶은 기술 및 인증 유형을 문서화해야 한다”라고 말했다. 보안팀의 현재 역량과 향후 요구 사항에 대한 높은 수준의 개요를 작성하면 관련 배경과 경험을 보유한 교육 제공업체를 선택하는 것이 훨씬 쉬워진다. 

인포테크 리서치 그룹(Info-Tech Research Group)의 보안 및 위험 관리 연구 전문가인 미첼 트란은 사이버보안 모범 사례와 관련된 단체가 추천하거나 심사한 교육업체로 선택을 제한할 것을 조언했다. 트란은 CIS(Center for Internet Security), NIST(National Institute of Standards and Technology), NICE(National Initiative for Cybersecurity Education) 및 NICCS(National Initiative for Cybersecurity Careers and Studies)에 문의할 것을 권장했다.
  
또한 트란은 동료 및 협력업체로부터 제공업체를 추천받을 것을 제안했다. 트란은 “이는 목록에 있는 공급업체의 시간을 절약할뿐만 아니라 그들의 경험에 대해 솔직하게 말할 수 있는 외부 참조를 제공할 수도 있다”라고 말했다. 

트란은 좋은 평판이 교육 제공업체를 선택하는 가장 중요한 속성이라고 믿고 있다. “결국 팀에게 전달되는 콘텐츠와 지식이 평판이 좋고 신뢰할 수 있는 출처에서 제공하고 있다는 확신을 원할 것이다”라고 설명했다. 이는 공인된 가이드라인과 표준에 따른 최신 콘텐츠를 전달하고, 양질의 교육을 제공할 수 있는 기술 전문 지식을 갖춘 경험많은 강사를 보유하고 있으며, 산업단체의 승인을 받는 것을 의미한다.  


사이버보안 교육 모델 선택하기

사이버보안 교육 제공업체를 선택할 때 또 다른 중요한 고려 사항은 팀의 개인에게 가장 적합한 교육 방법을 채택하는 것이다. 라노위츠는 “일부 사람에게는 서드파티로부터 라이선스를 받았거나 자체 제작한 온라인 교육이 될 수 있으며, 다른 사람에게는 현장 교실 훈련일 수 있다”라고 말했다.  

코로나19로 인해 강의실 교육이 많이 생략됐지만, 이 접근 방식은 결국 선도적인 교육 방법으로 돌아올 가능성이 높다. 교실 교육이 다른 접근법에 비해 제공하는 중요한 이점은 산만함을 줄이는 것이다. 산토스는 “물리적 교실에서는 모든 것을 차단하고 집중하는 것이 더 쉽다. 또한 브레인 스토밍, 아이디어 공유를 위한 실시간 토론을 할 수 있는 기회가 있다”라고 덧붙였다.
  
어도비 보안 사업 운영 책임자 아이작 페인터는 “많은 기업이 강의실 교육을 배제한 가운데, 온라인 교육이 탄력을 받고 있다. 온라인 교육은 시간대와 지리적 위치의 제한없이 참여할 수 있다. 온라인 방식을 사용하면 대부분의 설정 및 이동 요구 사항을 제거함으로써 주어진 시간 내에 더 많은 교육이 이뤄질 수 있다”라고 설명했다. 

어도비는 온라인 교육에 전념하고 있다. 페인터는 “게임화, 버그 바운티, 깃발 뺏기 이벤트를 통해 보안 교육에 참여하도록 하는 방법을 창의적으로 찾을 수 있었다. 이런 관행이 회사의 직원이 전문성과 고유한 기술을 보여줄 때 다르게 생각하는 것을 장려한다고 믿는다”라고 전했다. 

다양한 단체와 기업에서 제공하는 보안 심포지엄, 세미나 및 기타 행사는 자주 간과되는 직원 교육 기회를 제공한다. 페인터는 “SANS와 같은 행사는 추가 교육 소스를 찾고있는 팀원에게 좋은 기회를 제공한다”라고 덧붙였다. 쥬리도 “경력을 발전시키려면 안전 지대에서 벗어나 회사와 분리된 커뮤니티에 참여하겠다는 약속을 해야 한다"라고 동의했다. 

많은 모임에서 실제적인 도전이나 임무 기반 활동을 제공하는데, 이는 자신의 기술을 업계 다른 사람과 순위를 매길 수 있는 기회가 될 수 있다. 또한 업계 행사는 보안 팀원이 다른 기업의 동료와 네트워크를 형성할 수 있는 기회를 제공해 아이디어를 공유하고 다른 조직이 최상의 보안 사례를 성공적으로 구현한 방법을 배울 수 있다.  

공식적인 교육이 필수적이지만, 팀원이 어떤 유형의 자가훈련에 참여하도록 격려하는 것도 중요하다. 레이시온 아이엔에스(Raytheon Intelligence & Space) 사이버보호 솔루션 선임이사 존 체크는 “자체 훈련은 실제로 자신의 기술에 전념하는 직원을 식별하는 데 도움이 된다. 성공적인 사이버보안 실무자가 되려면 미친듯이 지속적인 학습이 이뤄져야 한다”라고 말했다. 

체크는 "아무도 보지 않을 때 과정을 완료하려면 상당한 규율이 필요하지만, 이 업적을 달성한 직원은 종종 최고의 성과를 내는 사람들이다. 교육 방법은 다양할 수 있지만, 연습하고 테스트할 자체 커뮤니티를 보유한 직원이 가장 헌신적이라는 사실을 발견했다"라고 지적했다. 

한편 레이시온 아이엔에스는 점점 더 많은 기업이 인공지능(AI)과 접목한 자체 훈련도구로 전환하고 있다. AI가 교육에 가져다 주는 이점은 실시간으로 개인별로 적응하는 훈련이다. 또한 AI는 각 학생의 응답 패턴을 추적해 적절한 유형의 자료(비디오, 텍스트 프롬프트, 코치와의 대화형 세션)를 가져와 과제를 해결하는 데 사용할 수 있다. 


적합한 제품 찾기 

보안 교육을 단 하나의 사전 패키지된 솔루션으로 간주해서는 안된다. 기업의 크기, 범위, 위협 모델뿐만 아니라 보안팀의 현재 기술 수준을 포함한 여러 요소가 교육 프로그램의 구조와 내용에 영향을 미친다. 페인터는 “한 기업에는 효과가 있지만 보안팀과 규모, 예산 또는 기술 수준으로 인해 다른 기업에서는 효과가 없을 수 있다”라고 설명했다. 
 
다양한 기술 수준의 직원에게 포괄적인 보안 지침을 제공하는 가장 쉽고 빠른 방법은 일련의 공통 지침을 채택하는 것이다. 트란은 정부, 학계 및 민간 부문 전문가가 개발한 사이버보안 훈련 및 교육 모델인 NICE 사이버보안 인력 프레임워크(NICE Cybersecurity Workforce Framework)를 제안했다. 트란은 “개인적인 경험을 바탕으로 점점 더 많은 기업이 이런 프레임워크를 채용 및 직원 개발 노력에 포함시키고 있다는 것을 발견했다"라고 말했다. 

파블라키스는 "리더는 현재 업무와 직접적으로 관련이 없는 보안 지침으로 직원의 부담을 주는 것에 대해 걱정할 필요가 없다. 사이버보안 지식은 아무리 많아도 결코 지나친 법은 없다"라고 조언했다. editor@itworld.co.kr 


2020.09.08

보안팀에 적합한 사이버보안 교육 제공업체를 선택하는 방법

John Edwards | CSO
보안팀의 기술을 지속적으로 유지하는 것과 관련해 모든 것을 한번에 적용할 수 있는 방법은 없다. 보안과 관련한 기업의 요구 사항과 이를 충족하기 위한 교육 서비스 제공업체의 능력을 평가하는 방법을 설명한다.
 
ⓒ Getty Images Bank
 
기업의 보안팀은 피싱, 랜섬웨어, DDoS 공격, 데이터 도난, 악성코드 감염 및 기타 여러 공격으로부터 시스템, 리소스 및 사용자를 보호하는 중요한 임무를 맡고 있다. 새로운 위협과 진화하는 위협을 파악하기 위해선 지속적으로 경계해야 하며, 가장 중요한 것은 잘 훈련된 팀이 필요하다. 

IT 리서치 업체 ABI 리서치(ABI Research) 보안 산업 분석가 디미트리오스 파블라키스는 이런 위험한 시기에 전담 보안팀을 보유하는 것은 필수라고 말했다. 파블라키스는 “외부 컨설턴트나 매니지드 보안 서비스에 투자하는 것은 좋지만, 새로운 위협 지평을 처리할 수 있는 지식을 갖춘 내부 IT 보안팀은 절대적으로 필수”라고 말했다.

관리 및 IT 컨설팅 업체인 부즈 앨런 해밀턴(Booz Allen Hamilton) 사이버보안 훈련 및 개발 매니저 제이슨 쥬리는 보안팀 교육에 있어 만능약은 없다고. 쥬리는 “교육 제공업체를 찾기 위한 여정을 시작하기 전에 직원의 기존 기술, 역할 및 숙련도 수준을 재고해야 한다. 이를 통해 비즈니스 격차를 파악하고 예상되는 학습 성과를 전략적으로 파악할 수 있을 것이다”라고 조언했다. 


사이버보안 교육 제공업체 찾기  

사이버보안 교육 제공업체는 직원들이 최신 위협 및 대책에 대해 신속하게 파악할 수 있도록 하는데 중요한 역할을 할 수 있다. 통신업체 NTT 글로벌 디지털 포렌식 사고대응 책임자 에디스 산토스는 “교육 서비스는 매우 중요하다. 이는 사고에 대응할 준비가 되어 있는 것과 완전히 준비되지 않은 것의 차이를 의미할 수 있다”라고 강조했다. 

교육 외에도 교육 제공업체는 시간이 지남에 따라 근시안적이고 현실에 안주하고 된 보안팀에 신선한 통찰력과 관점을 제공할 수 있다. 전 가트너 분석가이자 현재 AT&T 사이버보안 수석 전도사로 재직중인 테리사 라노위츠는 "보안 교육을 전문으로 하는 서드파티는 고객층으로부터 집단적 지식을 얻어냈다”라며, “이런 집단적 지식과 결과적인 모범 사례를 통해 서드파티가 기업에게 훈련 방법, 시기, 좋은 행동에 보상하는 방법, 나쁜 행동을 억제하는 방법 등을 안내할 수 있다”라고 설명했다.
 
교육 제공업체를 찾기 전에 보안팀의 정확한 요구 사항과 목표를 완전히 파악하고 이해하는 것이 중요하다. 쥬리는 “기준을 설정하면 교육을 통해 목표로 삼고 싶은 기술 및 인증 유형을 문서화해야 한다”라고 말했다. 보안팀의 현재 역량과 향후 요구 사항에 대한 높은 수준의 개요를 작성하면 관련 배경과 경험을 보유한 교육 제공업체를 선택하는 것이 훨씬 쉬워진다. 

인포테크 리서치 그룹(Info-Tech Research Group)의 보안 및 위험 관리 연구 전문가인 미첼 트란은 사이버보안 모범 사례와 관련된 단체가 추천하거나 심사한 교육업체로 선택을 제한할 것을 조언했다. 트란은 CIS(Center for Internet Security), NIST(National Institute of Standards and Technology), NICE(National Initiative for Cybersecurity Education) 및 NICCS(National Initiative for Cybersecurity Careers and Studies)에 문의할 것을 권장했다.
  
또한 트란은 동료 및 협력업체로부터 제공업체를 추천받을 것을 제안했다. 트란은 “이는 목록에 있는 공급업체의 시간을 절약할뿐만 아니라 그들의 경험에 대해 솔직하게 말할 수 있는 외부 참조를 제공할 수도 있다”라고 말했다. 

트란은 좋은 평판이 교육 제공업체를 선택하는 가장 중요한 속성이라고 믿고 있다. “결국 팀에게 전달되는 콘텐츠와 지식이 평판이 좋고 신뢰할 수 있는 출처에서 제공하고 있다는 확신을 원할 것이다”라고 설명했다. 이는 공인된 가이드라인과 표준에 따른 최신 콘텐츠를 전달하고, 양질의 교육을 제공할 수 있는 기술 전문 지식을 갖춘 경험많은 강사를 보유하고 있으며, 산업단체의 승인을 받는 것을 의미한다.  


사이버보안 교육 모델 선택하기

사이버보안 교육 제공업체를 선택할 때 또 다른 중요한 고려 사항은 팀의 개인에게 가장 적합한 교육 방법을 채택하는 것이다. 라노위츠는 “일부 사람에게는 서드파티로부터 라이선스를 받았거나 자체 제작한 온라인 교육이 될 수 있으며, 다른 사람에게는 현장 교실 훈련일 수 있다”라고 말했다.  

코로나19로 인해 강의실 교육이 많이 생략됐지만, 이 접근 방식은 결국 선도적인 교육 방법으로 돌아올 가능성이 높다. 교실 교육이 다른 접근법에 비해 제공하는 중요한 이점은 산만함을 줄이는 것이다. 산토스는 “물리적 교실에서는 모든 것을 차단하고 집중하는 것이 더 쉽다. 또한 브레인 스토밍, 아이디어 공유를 위한 실시간 토론을 할 수 있는 기회가 있다”라고 덧붙였다.
  
어도비 보안 사업 운영 책임자 아이작 페인터는 “많은 기업이 강의실 교육을 배제한 가운데, 온라인 교육이 탄력을 받고 있다. 온라인 교육은 시간대와 지리적 위치의 제한없이 참여할 수 있다. 온라인 방식을 사용하면 대부분의 설정 및 이동 요구 사항을 제거함으로써 주어진 시간 내에 더 많은 교육이 이뤄질 수 있다”라고 설명했다. 

어도비는 온라인 교육에 전념하고 있다. 페인터는 “게임화, 버그 바운티, 깃발 뺏기 이벤트를 통해 보안 교육에 참여하도록 하는 방법을 창의적으로 찾을 수 있었다. 이런 관행이 회사의 직원이 전문성과 고유한 기술을 보여줄 때 다르게 생각하는 것을 장려한다고 믿는다”라고 전했다. 

다양한 단체와 기업에서 제공하는 보안 심포지엄, 세미나 및 기타 행사는 자주 간과되는 직원 교육 기회를 제공한다. 페인터는 “SANS와 같은 행사는 추가 교육 소스를 찾고있는 팀원에게 좋은 기회를 제공한다”라고 덧붙였다. 쥬리도 “경력을 발전시키려면 안전 지대에서 벗어나 회사와 분리된 커뮤니티에 참여하겠다는 약속을 해야 한다"라고 동의했다. 

많은 모임에서 실제적인 도전이나 임무 기반 활동을 제공하는데, 이는 자신의 기술을 업계 다른 사람과 순위를 매길 수 있는 기회가 될 수 있다. 또한 업계 행사는 보안 팀원이 다른 기업의 동료와 네트워크를 형성할 수 있는 기회를 제공해 아이디어를 공유하고 다른 조직이 최상의 보안 사례를 성공적으로 구현한 방법을 배울 수 있다.  

공식적인 교육이 필수적이지만, 팀원이 어떤 유형의 자가훈련에 참여하도록 격려하는 것도 중요하다. 레이시온 아이엔에스(Raytheon Intelligence & Space) 사이버보호 솔루션 선임이사 존 체크는 “자체 훈련은 실제로 자신의 기술에 전념하는 직원을 식별하는 데 도움이 된다. 성공적인 사이버보안 실무자가 되려면 미친듯이 지속적인 학습이 이뤄져야 한다”라고 말했다. 

체크는 "아무도 보지 않을 때 과정을 완료하려면 상당한 규율이 필요하지만, 이 업적을 달성한 직원은 종종 최고의 성과를 내는 사람들이다. 교육 방법은 다양할 수 있지만, 연습하고 테스트할 자체 커뮤니티를 보유한 직원이 가장 헌신적이라는 사실을 발견했다"라고 지적했다. 

한편 레이시온 아이엔에스는 점점 더 많은 기업이 인공지능(AI)과 접목한 자체 훈련도구로 전환하고 있다. AI가 교육에 가져다 주는 이점은 실시간으로 개인별로 적응하는 훈련이다. 또한 AI는 각 학생의 응답 패턴을 추적해 적절한 유형의 자료(비디오, 텍스트 프롬프트, 코치와의 대화형 세션)를 가져와 과제를 해결하는 데 사용할 수 있다. 


적합한 제품 찾기 

보안 교육을 단 하나의 사전 패키지된 솔루션으로 간주해서는 안된다. 기업의 크기, 범위, 위협 모델뿐만 아니라 보안팀의 현재 기술 수준을 포함한 여러 요소가 교육 프로그램의 구조와 내용에 영향을 미친다. 페인터는 “한 기업에는 효과가 있지만 보안팀과 규모, 예산 또는 기술 수준으로 인해 다른 기업에서는 효과가 없을 수 있다”라고 설명했다. 
 
다양한 기술 수준의 직원에게 포괄적인 보안 지침을 제공하는 가장 쉽고 빠른 방법은 일련의 공통 지침을 채택하는 것이다. 트란은 정부, 학계 및 민간 부문 전문가가 개발한 사이버보안 훈련 및 교육 모델인 NICE 사이버보안 인력 프레임워크(NICE Cybersecurity Workforce Framework)를 제안했다. 트란은 “개인적인 경험을 바탕으로 점점 더 많은 기업이 이런 프레임워크를 채용 및 직원 개발 노력에 포함시키고 있다는 것을 발견했다"라고 말했다. 

파블라키스는 "리더는 현재 업무와 직접적으로 관련이 없는 보안 지침으로 직원의 부담을 주는 것에 대해 걱정할 필요가 없다. 사이버보안 지식은 아무리 많아도 결코 지나친 법은 없다"라고 조언했다. editor@itworld.co.kr 


X