보안

돈 들이지 않고 사이버보안 기술을 쌓는 8가지 방법

Josh Fruhlinger | CSO 2021.10.28
모든 기업은 직원이 사이버보안 기술을 최신 상태로 유지하기를 바란다. 하지만 고급 정규 교육 비용이 예산을 초과하는 일은 빈번히 일어난다. 예를 들어 많은 사람이 전문 교육의 표준이라고 생각하는 SANS 연구소 강좌는 1인당 5,000달러 이상이다. 블랙햇 같은 유명한 컨퍼런스의 1~2일치 세션 가격은 4,000달러에 육박한다.
 
ⓒ Getty Images Bank

비싼 교육이 유일한 선택지는 아니다. 사실, 여러 전문가가 큰 돈을 들이지 않고 보안 기술을 강화할 수 있는 수준 높은 방법이 많이 있다고 말한다. 이런 방법은 크게 두 가지 범주로 구분된다. 내부 자원을 활용해 기업 전체에 사이버보안 지식을 공유하는 것과 내부 노력과 함께 저비용의 외부 자원을 물색하는 것이다. 


내부 교육을 활용하는 방법

여러 사이버보안 전문가에게 저렴하거나 무료인 교육을 받을 수 있는 방법을 물었을 때, 답은 한 가지로 귀결됐다. ‘내부를 들여다보라’. 기업은 100%의 확률로 풍부한 보안 지식을 보유하고 있다. 직원 역시 동료를 훈련하고 교육하는 데 도움을 줄 수 있다.

프로프라이버시 디지털 개인정보보호 전문가 아틸라 토마섹은 “어떤 기업이든 가장 먼저 주시해야 할 자원은 직원이다. 내부 사이버보안 전문가는 효과적인 교육 방법이 무엇으로 구성되어야 하는지에 대해 귀중한 통찰력을 제공할 뿐 아니라, 교육 세션을 주도하고 참자가의 질문에 대답할 수 있다. 엄청나게 생산적이면서 비용 효율적인 방법이다”라고 말했다.

내부 교육이 무료이거나 저렴하다는 인식은 회계적으로 경계해야 하는 점이기도 하다. 직원을 활용하는 것도 결국 무료가 아니기 때문이다. 기업은 직원에게 급여를 지급하고, 직원이 업무에 헌신해야 하는 시간은 한정되어 있다. 하지만 내부 자원을 구축하면 값비싼 교육 세션 또는 과정에 대한 초기 비용을 절감할 수 있는 것은 사실이다. 또 내부 보안 훈련 문화를 만드는 것은 또 다른 유무형의 이점이 있다. 


정식 교육 프로그램

기업 규모와 역량에 따라 내부적으로 교육을 하고 지식을 전달하는 다양한 방법이 있다. 몽고DB CISO 레나 스마트는 사내 ‘보안 챔피언’ 프로그램이 모든 부서에 스며들어 있다고 말했다. 스마트는 직원이 프로그램에 자발적으로 참여하며, 사업부는 보안 요구, 이슈, 요청을 논의할 수 있는 통로로 여긴다고 설명했다. 챔피언은 매달 열리는 보안 회의에 참석하고 보안 문제에 대한 팀 교육을 돕고, 현재의 보안 문제에 대해 더 배우는 데 매주 2시간을 할애한다. 

스마트는 비용을 계량화하기는 어렵지만, 그만한 투자라고 생각했다. 스마트는 “예를 들어, 보안 엔지니어가 챔피언에게 네트워크 보안 모범 사례를 설명한다고 가정해 보자. 보안 엔지니어는 챔피언에게 가치를 제공하면서 자신의 업무 환경도 개선하는 셈이다. 챔피언이 배운 내용을 공유하고 구현할 가능성이 크기 때문이다”라고 설명했다. 몽고DB 최고 경영자도 보안 챔피언 프로그램을 받아들이고 있으며, 현재 정규직 직원 한 명이 이 프로그램을 담당하고 있다. 

하지만 몽고DB는 약 2,900명의 직원을 둔 상당히 큰 회사다. 작은 기업이나 스타트업이라면 보안 챔피언 같은 프로그램을 운영할 수 없다. 더 적은 자원을 가진 기업의 직원이 서로의 기술을 최신 상태로 유지하는 데 도움이 되는 보다 비공식적인 방법은 무엇일까?


지식 세션

로긴레이디어스 공동 설립자 디팍 굽타는 창업 초기에 이 문제를 어떻게 해결했는지 설명했다. 굽타는 “우리에게는 경험이 별로 없는 소규모 팀이 있었고, 이들에게는 배우고 성장하는 것이 중요했다. 그래서 팀에 특정 기술이 부족해지면 지식 격차를 극복하기 위해 매주 세션을 열곤 했다. 핵심은 팀이 배우고 응용할 의지가 있어야 한다는 것이다. 이런 접근법을 통해 팀을 성공적으로 구축할 수 있었다”라고 설명했다.

1898 & Co. 사이버보안 관리자 제이슨 빅도 직원을 훈련하기 위해 반공식적인 프레젠테이션을 활용한다고 말했다. 빅은 “’점심 먹으면서 배우기’처럼 다양한 사이버보안을 주제로 열린 포럼을 개최한다. 선후배가 다양한 주제에 대한 개인적 연구를 논의하고 경험이 풍부한 직원으로부터 피드백을 요청해 연구하거나 학습했던 개념을 검증할 수 있다”라고 말했다. 


1대1 멘토링

빅이 설명한 ‘점심 먹으면서 배우기’와 같은 맥락에서, 사이버보안 전문가는 기업이 세대를 초월하여 기술을 이전할 수 있도록 선후배 직원이 짝을 이루는 기회를 활용하라고 조언했다. CSAA 보험그룹 CISO 맬리스 로저스는 “공식, 비공식적인 업무 연수로 좋은 결과를 얻었다. 지난해에는 서비스 부서에서 완전히 비기술적인 재원을 데려와 피싱 캠페인, 메트릭스 및 데이터 분석을 맡겼다. 기업 내 경험 많은 재원과 그들의 지식을 활용하기 위해 직무 순환 및 인턴십에 집중하고 있으며, 그 결과 일을 배우면서 도움을 줄 수 있는 여력이 생겼다”라고 말했다.


공개된 콘텐츠 맥락화하기

블로그부터 웨비나와 팟캐스트에 이르기까지 보안에 중점을 둔 다양한 콘텐츠를 이미 무료로 이용할 수 있다. 무료 콘텐츠 대부분은 기술 및 비기술 직원 모두에게 유용하며, 적절한 콘텐츠를 선별하는 방법은 내부 IT 보안 전문가에게 달렸다.

두팔로우(dofollow.io) CTO 세바스찬 쉐퍼는 “직원과 팟캐스트를 공유한다”라고 설명했다. 쉐퍼는 정보보안 전문가 다니엘 미슬러가 운영하는 팟캐스트 ‘비지도 학습(Unsupervised Learning)’과 사이버보안 전문가 잭 라이사이더의 팟캐스트 ‘다크넷 다이어리(Darknet Diaries)’의 팬이다. 쉐퍼는 이런 무료 온라인 콘텐츠를 이용하는 것은 단순히 링크를 공유하는 것 이상이라고 강조했다. 그는 “사내 IT 전문가로서 무료 콘텐츠를 맥락화하고 사람들이 핵심을 추출할 수 있도록 도와줘야 한다. 하지만 IT 배경이 없는 직원에게 최고 전문가와 소통할 수 있는 기회를 제공하는 것만으로도 전반적으로 사이버보안 모범 사례를 주입하는 것이 전반적으로 가능하다”라고 덧붙였다.


외부에서 지혜를 찾는 방법

쉐퍼가 밝혔듯이 IT 팀을 진정으로 발전시키고 사이버보안에 대한 최신 지식을 더 큰 규모의 직원에게 전달하기 위해서는 외부의 정보와 자원을 모아야 한다. 넓은 세상에 끌어올 수 있는 자원이 충분하다.


온라인 강좌

온라인에는 무료 자원과 저렴한 자원이 풍부하다. 여러 전문가가 공통으로 추천한 강좌를 소개한다.
 
  • 오펜시브 시큐리티(Offensive Security)의 메타스플로이트 과정
  • SANS 사이버 에이시즈(SANS Cyber Aces)
  • 핵 더 박스(Hack the Box)
  • 마이크로소프트 CISO 워크샵
  • 유데미(Udemy)
  • 사이버리(Cybrary)
  • 에드엑스(edX)

온라인 강좌는 기업 내부에서 운영하는 사이버보안 교육 프로그램과 통합해 부서 예산을 줄이거나 신규 교육 과정 개발에 시간을 할애할 필요 없이 잘 설계된 과정을 제공할 수 있다.

크리티컬 스타트 CSO 조던 무아리엘로는 직원 훈련을 위해 유데미(Udemy)와 에덱스(edX)를 사용한다. 무아리엘로는 “에덱스의 하버드 CS-50x 컴퓨터 과학 입문 과정은 훌륭한 프로그래밍 기초 입문 과정이다. 특히 피에리안 데이터 강사 호세 포틸라는 아주 저렴한 가격으로 유데미에서 파이썬 강좌를 진행하고 있다. 두 과정 모두 필수다. 분석가의 코드 분석 능력을 향상시키고, 최종적으로 악성코드 분석 과정에서 필요한 소프트웨어 검토 방법을 배우기 때문이다”라고 설명했다.


솔루션 업체의 자원 활용하기

로비사 스텐베켄 스체른뢰프는 스웨덴 컨설팅 회사인 데보팀 클라우드 서비스의 옥타 프랙티스 책임자다. 스체른뢰프는 “여러 협력 업체의 교육 자원을 사용한다. 이런 방법은 다른 기업에서도 활용할 수 있다. 많은 솔루션 업체가 일반적인 사이버보안 지식을 포함해 자사 솔루션에 대한 교육을 무료로 제공한다”라고 말한다.

폭스포인트 솔루션 COO 존 로만도 스체른뢰프의 의견에 동의했다. 로만은 “에셋, 크라우드스트라이크, 시만텍과 같은 기업은 종종 무료 웨비나를 제공해 사이버보안과 관련된 중요한 주제에 대해 논의하고 교육한다. 이러한 사이트를 모니터링하고 추가 학습 기회를 활용하라”라고 조언했다.

즉, 로만은 이러한 자원을 솔루션 업체 마케팅 전략의 일부로 이해하고 접근해야 한다는 점을 강조했다. 로만은 “솔루션 업체와 함께 모범 사례를 검증하는 과정이 있어야 한다. 기업 CIO 또는 CISO는 사내 교육 세션에 솔루션 업체를 초빙하기 전에 업체의 프레젠테이션이나 자료를 검토해 세션이 교육으로 구성되어있는 게 맞는지, 영업 비중이 크지는 않은지 확인해야 한다”라고 말했다.

 
다른 사람들의 실수에서 배우기

때때로 보안 침해 사건은 공식적인 기록이 남는 경우가 많다. 규제가 심한 업종의 기업이라면 더욱 그렇다. 규제 기관이 이러한 침해에 대해 발표한 보고서는 인포섹 팀이 실제 사이버보안 문제를 이해하는 데 유용한 자료가 된다. 베네펙스 정보보안 담당자 사이먼 백웰은 “운이 좋지 않았던 다른 기업의 사건을 보고, 그들에게 부족했던 것을 이해하면서 배운다. 이러한 자료를 검토하는 데 쏟는 시간과 노력과는 별개로 비용이 전혀 들지 않는 것이 장점이다”라고 말한다.


모임 및 네트워킹

마지막 조언이다. 동료 정보보안 전문가보다 더 우수한 자원은 없다. 즉, 직원에게 회사 외부의 사이버보안 전문가와 네트워크를 형성하도록 권장해야 한다. IT 임원도 마찬가지다.

아담 파드 스튜디오 디자인 책임자인 아담 파드도 주변에서 모임을 찾아보기를 권했다. 파드는 “모임은 회의나 그룹 멤버십보다 체계적이지는 않지만, 훌륭한 학습과 네트워킹 기회를 제공한다. 만약 모임이 열리는 대도시 인근에 살지 않는다면, 가상 이벤트를 진행하는 클럽이 대안이다. 가끔은 무료로 모임에 참여할 수 있기 때문에 한정된 예산으로 숙련된 사이버보안 전문가로부터 배울 수 있는 멋진 기회가 된다”라고 설명했다.

더 넓은 전문 네트워크에서 무료 및 저렴한 교육에 대한 내부 정보를 얻을 수 있는 것도 네트워킹의 중요한 장점이다. 블루미라(Blumira) 사고 탐지 책임 엔지니어 아만다 베를린은 “지난해 나의 목표 중 하나는 탐지 영역 방어자로서 업무에 도움이 되는 훈련 과정을 찾는 것이었다. 컨퍼런스나 블랙햇 수업에 등록하는 수천 명의 사람들이 있지만, 그런 교육과정은 비쌌다. 그러던 중에 찾은 것이 사우스 다코타 밖에서 열리는 와일드 웨스트 해킨 페스트(WWHF)를 비롯한 다른 컨퍼런스였다”라고 말했다.

베를린은 “처음에는 망설였다. 비용이 높지 않은데 좋은 수업일까? 하지만 얼마 후, 업계의 다른 사람과 수강자에게서 경험담을 들었다. 공통적으로 추천 받은 강좌가 있었고 몇 개는 WWHF에서 제공하는 강좌였다. 강좌 당 500~600달러로 엄청난 양의 정보를 얻었고, 실습 수업도 받았다”라고 말했다. 궁극적으로 베를린은 아주 만족했다. 그리고 베를린이 그 수업을 찾았다는 사실은 공동체의 힘을 보여준다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.