2019.08.06

저스트잇이 사내 보안 인재를 찾아 훈련하고, 유지하는 방법

Dan Swinhoe | CSO
사이버보안 전문가가 되기에 좋은 시기다. 자신에게 적합하고, 하고 싶은 역할을 선택할 수 있는 기회이기도 하다.  

만약 역으로 자신이 사이버보안 전문가를 고용해야 하는 상황이라면 암울한 상황이다. (ISC)²(The International Information System Security Certification Consortium)은 전 세계적으로 300만 명이 넘는 인력이 부족하다고 추산하고 있으며, ESG는 조직의 절반이 보안 기술에 문제가 있다고 말한다. 
 
ⓒ Getty Images Bank

기업들은 보안 인재를 확보하기 위해 다양한 프로그램을 진행하지만 보안 인재는 해당 기업 속에 자리하고 있을 수 있다. 음식배달 스타트업인 저스트잇(JustEat) CISO 케빈 필더는 “나 또한 적절한 보안 기술 부족에 대해 이러지도 저러지도 못한 상황이었다. 내외부적으로 사람을 구하는 방법에 있어 자체적으로 충당하게 되면 일반적으로 생각하지 못한 부분에서 시너지 효과를 발휘해 훌륭하게 업무를 수행할 수 있다"고 말했다. 


보안 기술에 대해 자신의 울타리 밖을 바라보자  

필더는 다른 기술을 갖고 있는 사람들은 자신의 직무에 대한 보안을 배우면서 자신의 전문 영역을 팀원들에게 공유해 줄 수 있는 충분한 역량을 갖췄다고 전했다. 

외견상 어려운 보안 기술에 초점을 맞추지 않는다는 이 아이디어는 이미 비즈니스를 알고 있는 사람들이 회사에 처음 온 사이버보안 전문가와는 다른 종류의 가치를 제공할 수 있다. 필더는 "잠시동안이라도 회사에 있었던 사람이라면 비즈니스 맥락과 지식을 갖고 있다"고 말했다. 
  
필더는 저스트잇 내에서 보안 업무로 옮기고 싶어하는 최종 사용자 컴퓨팅 팀의 일원과 네트워크팀의 직원 모두 보안 팀에 유용한 사전 지식을 제공하고 있다는 점을 강조했다. 

필더는 "최종 사용자 컴퓨팅 팀에서 온 직원은 현재 보안 인식과 문화 업무를 돕고 있다. 그는 수년간 기업 전반에 걸쳐 최종 사용자 지원 및 관리를 담당해왔다. 그래서 조직에서 누가 무엇을 소유하고, 무엇을 하고 있는지, 모든 사람을 알고 있다. 모든 사람을 알고 있는 그의 지식과 열정은 실제로 굉장히 도움이 된다"고 말했다. 

또한 필더는 “모든 네트워킹 분석 및 보안 인프라를 이해하고 있는 네트워크 팀에서 일한 이는 자사의 네트워크가 어떻게 서로 연결되어 있는지 명확히 알고 있다"고 말했다. 

필더는 "경영진과 마찬가지로 크고 강력한 팀에서 팀원들은 주로 기술 업무에 집중하고 관리자는 사람 측면을 처리할 것이라는 생각을 갖고 있다. 수석 엔지니어 영역은 고도의 심층 보안 기술을 익히고 있는 유일한 직책이다. 자신이 다른 유용한 기술을 갖고 있다면 굳이 그걸 갖고 있을 필요는 없다"고 말했다. 


보안 직업, 간단하고 단순하게 정하라 

필더는 보안 업무를 신청하는 사람들의 유입 경로를 넓히기 위해 업무 사양은 가능한 한 짧아야 한다고 말했다. 일부 연구에 따르면, 여성은 자신이 직무 요건의 모든 요구 사항에 부합하지 않으면 해당 직업을 신청할 가능성이 적고 남성은 요구 사항의 절반만 충족한다고 해도 신청한다. 

필더는 길고 구체적인 요구사항 대신, 고용할 때에는 3줄 정도로 줄이는 것을 좋아한다고 말했다. 어차피 인증 및 경험과 같은 것들은 이력서에 나열될 것이며 애플리케이션으로 쉽게 걸러낼 수 있기 때문에 대신 구인 광고를 작게 만들어 최대한 많은 후보자를 끌어들이려고 시도한다. 

최근 저스트잇은 스플렁크(Splunk)에 경험이 있는 사람을 찾고 있었다. 저스트잇은 수년간의 SIEM 경험을 요구하지 않고 간단하고 폭넓은 요구 사항을 제시했다. 필더는 "스플렁크를 잘해야 한다. 이상적으로는 사고 대응 능력을 갖추고 훌륭한 팀에 속하길 원하는 자. 이것이 직업 사양이었다. 나는 이 세 가지를 원한다"고 말했다. 

필더는 "스플렁크는 단순한 보안보다 훨씬 광범위하게 사용된다. 사고 대응 경험이 하나도 없고 운영쪽 배경을 갖고 있는 스플렁크 경험이 있는 이를 발견한다면 보안 전문가로 끌어들일 수 있는 좋은 기회가 될 것이다. 그가 팀이 원하는 무언가를 만들 때 그는 우리가 할 수 없는 스플렁크 역량을 갖고 있으며 우리는 보안을 가르칠 수 있다"고 설명했다. 

 
자체 프로젝트를 민첩하게 수행할 수 있도록 지원하라 

일단 이런 재능을 가진 이를 발견했다면, 이를 유지하는 것 또한 중요하다. 보안 직원 유지에 대한 (ISC)²의 연구 결과에 따르면, 거의 절반 이상의 사이버보안 전문가가 매주 채용전문가의 연락을 받고 있으며, 대부분의 경우 적절한 제안을 받으면 자리를 옮기는 것을 고려하고 있다.  

유지 관리의 핵심은 직원의 행복과 참여를 유지하는 것이다. 저스트잇은 직원들에게 그들이 가장 중요하다고 느끼는 보안 프로젝트에 대한 선택의 자유를 제공함으로써 이를 이행하고 있다. 지난 6개월동안 필더는 보안팀의 모든 작업을 2주 단위의 스프린트(sprints)로 구성하고 데브옵스 형태의 구현 방법론으로 이행했다.

필더는 "애자일의 근본적인 효과는 매 2주마다 가치있는 것을 제공할 수 있다는 점이다. 따라서 대형 워터폴 프로젝트일지라도 작업을 관리가능한 형태로 나눌 수 있다면 각 스프린트는 독립적인 가치를 제공한다"고 말했다. 

매번 스프린트가 끝난 후, 피드백이 이뤄져 한 것과 하지 않은 것에 대한 교훈을 얻었다. 그런 후 다음 스프린트는 계획 세션으로 시작한다. 팀은 백로그를 확인하고 최우선 순위 또는 가장 중요한 항목부터 진행한다. 

필더는 위임(delegating)과 권한 부여(empowering)와의 차이점에 주목한다. 보안 팀에는 분명히 폭넓은 목표와 전략이 존재하지만 스프린트와 스프린트 간 결정은 팀 자체에 달려있다. 팀은 스프린트 동안 대형 사고나 사건을 제외하고는 오랜 시간동안 미완성된 상태가 되지 않도록 일해야 한다.

필더는 "나는 스프린트 계획에서 목표를 유지하기 위해 우선 순위를 결정하고 거기에 무엇이 들어갈지, 지금 무슨 일이 일어나는지 보게 된다. 뭔가 아주 중요한 것이 있다면 그들은 백로그를 찾아보고 이번 스프린트에서 이를 처리해야 할 이유를 주장한다. 필요하다면 단계를 밟을 수 있다. 하지만 그들은 자신이 하는 일을 자신의 것으로 만들기 위해 훨씬 더 열중하고 힘을 얻는다. 우리는 다음 3개월, 6개월, 12개월 동안 핵심 성과물이 무엇인지 합의했다. 직원들은 직원이 원하는 목표를 달성할 권한이 있다"고 말했다. 
  
일반적으로 전체 비즈니스에서 취약점 관리 프로그램을 실행하는 것과 같이 수개월이 걸릴 수 있는 큰 프로젝트는 관리 가능한 항목에서 벗어날 수 있다. 

예를 들어, 각 스프린트가 새로운 위치에서 이뤄질 수 있다. 필더는 "이 또한 방향 전환을 할 수 있어야 한다. 만약 다음 스프린트에서 정말 급한 일이 발생하면 해당 프로젝트를 운영하는 사람이 프로젝트를 멈출 수 있다. 그들은 가치를 전달했다. 그것은 다른 사무실에서 스캔, 수정, 교정하는 일일 수 있으며, 일을 하고 나서는 곧바로 스프린트 또는 다른 사무실에서 다른 작업으로 전환할 수 있다"고 말했다.  
 
짧은 스프린트에서 모든 것을 수행하고 JIRA 티켓에 기록하는 업스트림의 이점은 모든 프로젝트를 추적할 수 있고 산출물로 측정할 수 있기 때문에 보안 부서가 하고 있는 일과 가치에 대해 비즈니스 부서나 이사회에 설명하기가 쉽다. 
 
필더는 "대부분의 프로젝트는 단계적으로 수행한다. 나는 이들을 모두 티겟으로 바꾸어 가치들을 전달한다. 사람들은 자신이 하는 일을 정확히 알고 능력을 발휘할 때 훨씬 더 많은 것들을 얻는다"고 말했다. editor@itworld.co.kr 


2019.08.06

저스트잇이 사내 보안 인재를 찾아 훈련하고, 유지하는 방법

Dan Swinhoe | CSO
사이버보안 전문가가 되기에 좋은 시기다. 자신에게 적합하고, 하고 싶은 역할을 선택할 수 있는 기회이기도 하다.  

만약 역으로 자신이 사이버보안 전문가를 고용해야 하는 상황이라면 암울한 상황이다. (ISC)²(The International Information System Security Certification Consortium)은 전 세계적으로 300만 명이 넘는 인력이 부족하다고 추산하고 있으며, ESG는 조직의 절반이 보안 기술에 문제가 있다고 말한다. 
 
ⓒ Getty Images Bank

기업들은 보안 인재를 확보하기 위해 다양한 프로그램을 진행하지만 보안 인재는 해당 기업 속에 자리하고 있을 수 있다. 음식배달 스타트업인 저스트잇(JustEat) CISO 케빈 필더는 “나 또한 적절한 보안 기술 부족에 대해 이러지도 저러지도 못한 상황이었다. 내외부적으로 사람을 구하는 방법에 있어 자체적으로 충당하게 되면 일반적으로 생각하지 못한 부분에서 시너지 효과를 발휘해 훌륭하게 업무를 수행할 수 있다"고 말했다. 


보안 기술에 대해 자신의 울타리 밖을 바라보자  

필더는 다른 기술을 갖고 있는 사람들은 자신의 직무에 대한 보안을 배우면서 자신의 전문 영역을 팀원들에게 공유해 줄 수 있는 충분한 역량을 갖췄다고 전했다. 

외견상 어려운 보안 기술에 초점을 맞추지 않는다는 이 아이디어는 이미 비즈니스를 알고 있는 사람들이 회사에 처음 온 사이버보안 전문가와는 다른 종류의 가치를 제공할 수 있다. 필더는 "잠시동안이라도 회사에 있었던 사람이라면 비즈니스 맥락과 지식을 갖고 있다"고 말했다. 
  
필더는 저스트잇 내에서 보안 업무로 옮기고 싶어하는 최종 사용자 컴퓨팅 팀의 일원과 네트워크팀의 직원 모두 보안 팀에 유용한 사전 지식을 제공하고 있다는 점을 강조했다. 

필더는 "최종 사용자 컴퓨팅 팀에서 온 직원은 현재 보안 인식과 문화 업무를 돕고 있다. 그는 수년간 기업 전반에 걸쳐 최종 사용자 지원 및 관리를 담당해왔다. 그래서 조직에서 누가 무엇을 소유하고, 무엇을 하고 있는지, 모든 사람을 알고 있다. 모든 사람을 알고 있는 그의 지식과 열정은 실제로 굉장히 도움이 된다"고 말했다. 

또한 필더는 “모든 네트워킹 분석 및 보안 인프라를 이해하고 있는 네트워크 팀에서 일한 이는 자사의 네트워크가 어떻게 서로 연결되어 있는지 명확히 알고 있다"고 말했다. 

필더는 "경영진과 마찬가지로 크고 강력한 팀에서 팀원들은 주로 기술 업무에 집중하고 관리자는 사람 측면을 처리할 것이라는 생각을 갖고 있다. 수석 엔지니어 영역은 고도의 심층 보안 기술을 익히고 있는 유일한 직책이다. 자신이 다른 유용한 기술을 갖고 있다면 굳이 그걸 갖고 있을 필요는 없다"고 말했다. 


보안 직업, 간단하고 단순하게 정하라 

필더는 보안 업무를 신청하는 사람들의 유입 경로를 넓히기 위해 업무 사양은 가능한 한 짧아야 한다고 말했다. 일부 연구에 따르면, 여성은 자신이 직무 요건의 모든 요구 사항에 부합하지 않으면 해당 직업을 신청할 가능성이 적고 남성은 요구 사항의 절반만 충족한다고 해도 신청한다. 

필더는 길고 구체적인 요구사항 대신, 고용할 때에는 3줄 정도로 줄이는 것을 좋아한다고 말했다. 어차피 인증 및 경험과 같은 것들은 이력서에 나열될 것이며 애플리케이션으로 쉽게 걸러낼 수 있기 때문에 대신 구인 광고를 작게 만들어 최대한 많은 후보자를 끌어들이려고 시도한다. 

최근 저스트잇은 스플렁크(Splunk)에 경험이 있는 사람을 찾고 있었다. 저스트잇은 수년간의 SIEM 경험을 요구하지 않고 간단하고 폭넓은 요구 사항을 제시했다. 필더는 "스플렁크를 잘해야 한다. 이상적으로는 사고 대응 능력을 갖추고 훌륭한 팀에 속하길 원하는 자. 이것이 직업 사양이었다. 나는 이 세 가지를 원한다"고 말했다. 

필더는 "스플렁크는 단순한 보안보다 훨씬 광범위하게 사용된다. 사고 대응 경험이 하나도 없고 운영쪽 배경을 갖고 있는 스플렁크 경험이 있는 이를 발견한다면 보안 전문가로 끌어들일 수 있는 좋은 기회가 될 것이다. 그가 팀이 원하는 무언가를 만들 때 그는 우리가 할 수 없는 스플렁크 역량을 갖고 있으며 우리는 보안을 가르칠 수 있다"고 설명했다. 

 
자체 프로젝트를 민첩하게 수행할 수 있도록 지원하라 

일단 이런 재능을 가진 이를 발견했다면, 이를 유지하는 것 또한 중요하다. 보안 직원 유지에 대한 (ISC)²의 연구 결과에 따르면, 거의 절반 이상의 사이버보안 전문가가 매주 채용전문가의 연락을 받고 있으며, 대부분의 경우 적절한 제안을 받으면 자리를 옮기는 것을 고려하고 있다.  

유지 관리의 핵심은 직원의 행복과 참여를 유지하는 것이다. 저스트잇은 직원들에게 그들이 가장 중요하다고 느끼는 보안 프로젝트에 대한 선택의 자유를 제공함으로써 이를 이행하고 있다. 지난 6개월동안 필더는 보안팀의 모든 작업을 2주 단위의 스프린트(sprints)로 구성하고 데브옵스 형태의 구현 방법론으로 이행했다.

필더는 "애자일의 근본적인 효과는 매 2주마다 가치있는 것을 제공할 수 있다는 점이다. 따라서 대형 워터폴 프로젝트일지라도 작업을 관리가능한 형태로 나눌 수 있다면 각 스프린트는 독립적인 가치를 제공한다"고 말했다. 

매번 스프린트가 끝난 후, 피드백이 이뤄져 한 것과 하지 않은 것에 대한 교훈을 얻었다. 그런 후 다음 스프린트는 계획 세션으로 시작한다. 팀은 백로그를 확인하고 최우선 순위 또는 가장 중요한 항목부터 진행한다. 

필더는 위임(delegating)과 권한 부여(empowering)와의 차이점에 주목한다. 보안 팀에는 분명히 폭넓은 목표와 전략이 존재하지만 스프린트와 스프린트 간 결정은 팀 자체에 달려있다. 팀은 스프린트 동안 대형 사고나 사건을 제외하고는 오랜 시간동안 미완성된 상태가 되지 않도록 일해야 한다.

필더는 "나는 스프린트 계획에서 목표를 유지하기 위해 우선 순위를 결정하고 거기에 무엇이 들어갈지, 지금 무슨 일이 일어나는지 보게 된다. 뭔가 아주 중요한 것이 있다면 그들은 백로그를 찾아보고 이번 스프린트에서 이를 처리해야 할 이유를 주장한다. 필요하다면 단계를 밟을 수 있다. 하지만 그들은 자신이 하는 일을 자신의 것으로 만들기 위해 훨씬 더 열중하고 힘을 얻는다. 우리는 다음 3개월, 6개월, 12개월 동안 핵심 성과물이 무엇인지 합의했다. 직원들은 직원이 원하는 목표를 달성할 권한이 있다"고 말했다. 
  
일반적으로 전체 비즈니스에서 취약점 관리 프로그램을 실행하는 것과 같이 수개월이 걸릴 수 있는 큰 프로젝트는 관리 가능한 항목에서 벗어날 수 있다. 

예를 들어, 각 스프린트가 새로운 위치에서 이뤄질 수 있다. 필더는 "이 또한 방향 전환을 할 수 있어야 한다. 만약 다음 스프린트에서 정말 급한 일이 발생하면 해당 프로젝트를 운영하는 사람이 프로젝트를 멈출 수 있다. 그들은 가치를 전달했다. 그것은 다른 사무실에서 스캔, 수정, 교정하는 일일 수 있으며, 일을 하고 나서는 곧바로 스프린트 또는 다른 사무실에서 다른 작업으로 전환할 수 있다"고 말했다.  
 
짧은 스프린트에서 모든 것을 수행하고 JIRA 티켓에 기록하는 업스트림의 이점은 모든 프로젝트를 추적할 수 있고 산출물로 측정할 수 있기 때문에 보안 부서가 하고 있는 일과 가치에 대해 비즈니스 부서나 이사회에 설명하기가 쉽다. 
 
필더는 "대부분의 프로젝트는 단계적으로 수행한다. 나는 이들을 모두 티겟으로 바꾸어 가치들을 전달한다. 사람들은 자신이 하는 일을 정확히 알고 능력을 발휘할 때 훨씬 더 많은 것들을 얻는다"고 말했다. editor@itworld.co.kr 


X