2021.02.16

보안 전문가 경력을 망치는 12가지 실수

Mary K. Pratt | CSO
그런 이야기는 많다. 똑똑한 사람인데, 앞으로 나아가지 못하고 망설이거나 당황하는 동료가 있다. CISO들도 이런 사람들을 안다. 한 CISO가 기억하는 뛰어난 직원이 있었다. 이 직원은 자신이 얼마나 똑똑한지, 더 좋은 대우를 받을 자격이 있는지를 다른 사람에게 알려주는 걸 좋아했다. 또 다른 CISO는 정확하게 요청한 사항만 처리하고 더 이상 아무 것도 하지 않던 재능 있는 직원도 기억했다. 둘 다 그리 오래 일하지 못했다. 결국에는 상사가 도덕성의 결함이 너무 많다고 판단해 내보냈다. 
 
ⓒ Jaredd Craig (CC0)

이들은 CISO와 경력 관리 전문가가 이야기하는 경력을 망치는 방법의 단 두 가지 사례일 뿐이다. 컴퓨터 시스템에 불법적으로 접근하는 것과 같은 일부 행동은 너무나도 분명한 해고 사유이지만, 수많은 다른 사유는 그저 승진할 수 있는 가능성을 막아버린다. 

명백하게 비윤리적이고 불법적인 행동은 여기서 다루지 않는다. 전문가라면 누구나 알고 있는 사실이다. 보안 책임자들이 말하는 사이버 보안 경력을 가로막을 수 있는 12가지 흔한 문제 성격과 그런 운명을 피하는 방법도 소개한다. 
 

보안이 최종 목적이라고 믿는다

보안 기술 업체 로그리듬(LogRhythm)의 CSO 제임스 카더는 “내가 본 가장 큰 문제는 보안이 모든 것이고 최종 목표라고 생각하는 것이다. 이런 자세로 업무를 하니 비즈니스를 가능하게 해야 한다는 것을 모른다”고 말했다. 이런 사람은 현업 부서 동료와 협업을 해 회사의 목표를 이해하고, 회사의 목표에 방해가 되는 것이 아니라 도움이 되어야 한다는 것을 알아야 한다.
소프트웨어 업체 포지록(ForgeRock)의 CISO 러스 커비도 “보안은 수많은 표준과 규제와 프레임워크가 있는 일이지만, 막무가내로 구현하려는 경우가 많다. 이들을 비즈니스 맥락이 아니라 표준의 관점에서 구현하려는 것이다”라고 덧붙였다.
 

고립을 자초한다

마찬가지로 커비는 보안 전문가가 자신의 목적에 너무 집중한 나머지, 그렇지 않으면 해결책을 찾아 함께 일하고자 할 다른 부서를 스스로 소외시키는 경우가 있다고 지적했다. 커비는 애플리케이션의 패스워드 길이를 8자에서 20자로 변경하려는 보안팀을 예로 들었다. IT 애플리케이션팀은 12자라면 어떻게 해보겠지만, 그 이상으로 변경하려면 너무 많은 시간과 비용이 든다며 반대했다. 보안팀은 원래의 요구사항에서 물러서지 않고 일을 진행해 나쁜 관계와 불합리하다는 평판을 얻었다.

커비는 “만약 보안팀이 더 낳은 관계, 아니면 이야기를 좀 더 잘 들었다면, 문제를 파악하고 타협안을 내고 애플리케이션의 로드맵을 통해 1년 내에 아무리 긴 패스워드도 적용할 수 있다는 것을 알 수 있었을 것이다”라며, “하지만 이들의 단호하고 아주 엄격한 태도는 보안팀은 피해야 할 상대라는 인상을 줬고, 그렇지 않았다면 보안팀으로써 얻을 수 있었던 많은 기회를 놓쳤다”라고 지적했다.
 

너무 잘난 척한다

보안 분야가 뛰어난 인재를 많이 끌어들인다는 데는 의심의 여지가 없다. 하지만 보안 분야에만 똑똑한 사람이 있다고 생각하는 사람은 없으며, 그렇게 행동해서도 안된다. 전문 서비스 업체 아이스너앰퍼(EisnerAmper)의 성과 담당 임원인 리제 스튜어트는 흔한 문제라고 말한다. 스튜어트는 잠재력이 있는 한 젊은 직원에게 교만함이 문제가 될 수 있다고 가르쳤다. 그 직원은 사람들이 자신의 말을 이해하지 못하면 크게 한숨을 쉬었다. 바로 비판을 하고 부정적인 단어를 주로 사용했는데, 기술력이 뛰어난 직원이었지만 신뢰하지 못할 사람이 되었다. 스튜어트는 함께 일해야 하는 사람은 다른 사람이 바보 취급당하는 느낌이 들도록 하면 안된다고 강조했다.

스튜어트는 똑똑한 것만으로는 한계가 있다고 말한다. 또 “많은 사람이 기술 역량이 승진을 시켜줄 것이라고 생각하지만, 사실은 그렇지 않다. 그런 경우는 아주 드물다. 스티브 잡스가 그렇게 성공했는지 모르지만, 잡스는 아주 예외적이다”라고 덧붙였다.
 

너무 소심하다

반면에 어떤 보안 담당자는, 특히 신입 사원인 경우 자신감이 부족하다. 카네기 멜론 대학교 경력 서비스 디렉터 케이티 카살리는 “이런 사람은 자신이 충분히 훌륭하지 않으며 재능도 충분하지 않다고 생각한다”며, 자신을 믿지 못해서 중요한 프로젝트에 자원하거나 승진 신청을 하지 못할 수도 있다고 지적했다.

카살리는 “이런 사람은 상사나 동료에게 목소리를 높이거나 반대하는 법을 모른다. 문제를 해결하거나 위험을 완화할 수 있는데도 그러지 못한다”라고 지적했다. 또 시간과 경험이 자신감에 도움이 되겠지만, 격려해 줄 멘토가 있다면 훨씬 좋아질 것이라고 조언했다.
 

감정을 제어하지 못한다

요즘 직장 생활 대부분은 스트레스가 많지만, 보안팀은 외부 위협의 끝없는 타깃이 된다는 데서 오는 추가 부담이 있다. 보안팀이라는 누구나 느낀다. 하지만 절망감으로 완전히 망가진 동료는 아무런 도움이 되지 않는다. 스튜어트는 “이런 식으로 소리 지르고 문제를 떠벌리는 사람은 자신의 평판과 경력을 망치기 쉽다”고 지적했다. 감정적으로 미성숙한 사람으로 여겨질 것이기 때문이다.

게다가 이런 행동을 하는 사람은 팀원으로 들이는 것을 꺼리기 때문에 경력에 도움이 되는 핵심 프로젝트에는 참여하지 못할 가능성이 크다. 스튜어트는 “자신의 감정을 제어하는 역량을 반드시 갖춰야 한다”며, “기분 좋을 때는 감정 수위가 높아도 받아들일 수 있지만, 골치 아픈 문제를 처리할 때는 받아들이기 어렵다”라고 덧붙였다.
 

기술 이야기만 한다

CompTIA 최고 기술 에반젤리스트 제임스 스테인저는 자신의 이사회 첫 발표에서 기술 이야기만 잔뜩 늘어놓았을 때를 기억한다. 그리고 이사진의 눈이 감기는 장면도 기억한다. 그야말로 초보자의 실수인데, 스테인저는 좀 더 비즈니스와 관련된 용어로 얼른 전환해서 위기를 벗어났다. 하지만 많은 보안 전문가가 이렇게 기술 이야기를 비즈니스 언어로 바꾸는 방법을 모르거나 시도하지 않는다. 스테인저는 이 때문에 이사회에도 최고 경영진에도, 심지어 관리자로도 승진하는 못한다고 덧붙였다. 

스테인저는 “기술적인 말한 하면 그 사람의 이야기를 무시해 버린다. 경력도 나아지지 않으며, 아무도 이야기를 듣지 않기 때문에 자신이 제기한 낮은 수준의 문제를 처리해야만 한다”고 지적했다. 
 



2021.02.16

보안 전문가 경력을 망치는 12가지 실수

Mary K. Pratt | CSO
그런 이야기는 많다. 똑똑한 사람인데, 앞으로 나아가지 못하고 망설이거나 당황하는 동료가 있다. CISO들도 이런 사람들을 안다. 한 CISO가 기억하는 뛰어난 직원이 있었다. 이 직원은 자신이 얼마나 똑똑한지, 더 좋은 대우를 받을 자격이 있는지를 다른 사람에게 알려주는 걸 좋아했다. 또 다른 CISO는 정확하게 요청한 사항만 처리하고 더 이상 아무 것도 하지 않던 재능 있는 직원도 기억했다. 둘 다 그리 오래 일하지 못했다. 결국에는 상사가 도덕성의 결함이 너무 많다고 판단해 내보냈다. 
 
ⓒ Jaredd Craig (CC0)

이들은 CISO와 경력 관리 전문가가 이야기하는 경력을 망치는 방법의 단 두 가지 사례일 뿐이다. 컴퓨터 시스템에 불법적으로 접근하는 것과 같은 일부 행동은 너무나도 분명한 해고 사유이지만, 수많은 다른 사유는 그저 승진할 수 있는 가능성을 막아버린다. 

명백하게 비윤리적이고 불법적인 행동은 여기서 다루지 않는다. 전문가라면 누구나 알고 있는 사실이다. 보안 책임자들이 말하는 사이버 보안 경력을 가로막을 수 있는 12가지 흔한 문제 성격과 그런 운명을 피하는 방법도 소개한다. 
 

보안이 최종 목적이라고 믿는다

보안 기술 업체 로그리듬(LogRhythm)의 CSO 제임스 카더는 “내가 본 가장 큰 문제는 보안이 모든 것이고 최종 목표라고 생각하는 것이다. 이런 자세로 업무를 하니 비즈니스를 가능하게 해야 한다는 것을 모른다”고 말했다. 이런 사람은 현업 부서 동료와 협업을 해 회사의 목표를 이해하고, 회사의 목표에 방해가 되는 것이 아니라 도움이 되어야 한다는 것을 알아야 한다.
소프트웨어 업체 포지록(ForgeRock)의 CISO 러스 커비도 “보안은 수많은 표준과 규제와 프레임워크가 있는 일이지만, 막무가내로 구현하려는 경우가 많다. 이들을 비즈니스 맥락이 아니라 표준의 관점에서 구현하려는 것이다”라고 덧붙였다.
 

고립을 자초한다

마찬가지로 커비는 보안 전문가가 자신의 목적에 너무 집중한 나머지, 그렇지 않으면 해결책을 찾아 함께 일하고자 할 다른 부서를 스스로 소외시키는 경우가 있다고 지적했다. 커비는 애플리케이션의 패스워드 길이를 8자에서 20자로 변경하려는 보안팀을 예로 들었다. IT 애플리케이션팀은 12자라면 어떻게 해보겠지만, 그 이상으로 변경하려면 너무 많은 시간과 비용이 든다며 반대했다. 보안팀은 원래의 요구사항에서 물러서지 않고 일을 진행해 나쁜 관계와 불합리하다는 평판을 얻었다.

커비는 “만약 보안팀이 더 낳은 관계, 아니면 이야기를 좀 더 잘 들었다면, 문제를 파악하고 타협안을 내고 애플리케이션의 로드맵을 통해 1년 내에 아무리 긴 패스워드도 적용할 수 있다는 것을 알 수 있었을 것이다”라며, “하지만 이들의 단호하고 아주 엄격한 태도는 보안팀은 피해야 할 상대라는 인상을 줬고, 그렇지 않았다면 보안팀으로써 얻을 수 있었던 많은 기회를 놓쳤다”라고 지적했다.
 

너무 잘난 척한다

보안 분야가 뛰어난 인재를 많이 끌어들인다는 데는 의심의 여지가 없다. 하지만 보안 분야에만 똑똑한 사람이 있다고 생각하는 사람은 없으며, 그렇게 행동해서도 안된다. 전문 서비스 업체 아이스너앰퍼(EisnerAmper)의 성과 담당 임원인 리제 스튜어트는 흔한 문제라고 말한다. 스튜어트는 잠재력이 있는 한 젊은 직원에게 교만함이 문제가 될 수 있다고 가르쳤다. 그 직원은 사람들이 자신의 말을 이해하지 못하면 크게 한숨을 쉬었다. 바로 비판을 하고 부정적인 단어를 주로 사용했는데, 기술력이 뛰어난 직원이었지만 신뢰하지 못할 사람이 되었다. 스튜어트는 함께 일해야 하는 사람은 다른 사람이 바보 취급당하는 느낌이 들도록 하면 안된다고 강조했다.

스튜어트는 똑똑한 것만으로는 한계가 있다고 말한다. 또 “많은 사람이 기술 역량이 승진을 시켜줄 것이라고 생각하지만, 사실은 그렇지 않다. 그런 경우는 아주 드물다. 스티브 잡스가 그렇게 성공했는지 모르지만, 잡스는 아주 예외적이다”라고 덧붙였다.
 

너무 소심하다

반면에 어떤 보안 담당자는, 특히 신입 사원인 경우 자신감이 부족하다. 카네기 멜론 대학교 경력 서비스 디렉터 케이티 카살리는 “이런 사람은 자신이 충분히 훌륭하지 않으며 재능도 충분하지 않다고 생각한다”며, 자신을 믿지 못해서 중요한 프로젝트에 자원하거나 승진 신청을 하지 못할 수도 있다고 지적했다.

카살리는 “이런 사람은 상사나 동료에게 목소리를 높이거나 반대하는 법을 모른다. 문제를 해결하거나 위험을 완화할 수 있는데도 그러지 못한다”라고 지적했다. 또 시간과 경험이 자신감에 도움이 되겠지만, 격려해 줄 멘토가 있다면 훨씬 좋아질 것이라고 조언했다.
 

감정을 제어하지 못한다

요즘 직장 생활 대부분은 스트레스가 많지만, 보안팀은 외부 위협의 끝없는 타깃이 된다는 데서 오는 추가 부담이 있다. 보안팀이라는 누구나 느낀다. 하지만 절망감으로 완전히 망가진 동료는 아무런 도움이 되지 않는다. 스튜어트는 “이런 식으로 소리 지르고 문제를 떠벌리는 사람은 자신의 평판과 경력을 망치기 쉽다”고 지적했다. 감정적으로 미성숙한 사람으로 여겨질 것이기 때문이다.

게다가 이런 행동을 하는 사람은 팀원으로 들이는 것을 꺼리기 때문에 경력에 도움이 되는 핵심 프로젝트에는 참여하지 못할 가능성이 크다. 스튜어트는 “자신의 감정을 제어하는 역량을 반드시 갖춰야 한다”며, “기분 좋을 때는 감정 수위가 높아도 받아들일 수 있지만, 골치 아픈 문제를 처리할 때는 받아들이기 어렵다”라고 덧붙였다.
 

기술 이야기만 한다

CompTIA 최고 기술 에반젤리스트 제임스 스테인저는 자신의 이사회 첫 발표에서 기술 이야기만 잔뜩 늘어놓았을 때를 기억한다. 그리고 이사진의 눈이 감기는 장면도 기억한다. 그야말로 초보자의 실수인데, 스테인저는 좀 더 비즈니스와 관련된 용어로 얼른 전환해서 위기를 벗어났다. 하지만 많은 보안 전문가가 이렇게 기술 이야기를 비즈니스 언어로 바꾸는 방법을 모르거나 시도하지 않는다. 스테인저는 이 때문에 이사회에도 최고 경영진에도, 심지어 관리자로도 승진하는 못한다고 덧붙였다. 

스테인저는 “기술적인 말한 하면 그 사람의 이야기를 무시해 버린다. 경력도 나아지지 않으며, 아무도 이야기를 듣지 않기 때문에 자신이 제기한 낮은 수준의 문제를 처리해야만 한다”고 지적했다. 
 



X