2021.11.17

“시선 잡아야 기회 열린다” 보안 전문가 이력서 작성법 8가지

Mary Brandel | CSO
일류 대학교에서 컴퓨터공학 학위를 받고, 졸업 후 여름에는 두어 가지 보안 자격증을 획득했다. 소규모 회사에서 1년 가까이 경고 모니터링 도구를 개발했으며, 남는 시간에는 지역 동물 보호소에서 자원봉사를 했다. 
 
ⓒ Getty Images Bank

현재 하는 일을 좋아하지만, 원격 근무를 선호하며 최종적으로는 컴플라이언스 업무를 담당하고 싶다. 문제는 채용 담당자의 시선을 끌고 뛰어난 업무 적합성을 보여줄 수 있는 이력서를 어떻게 작성할 것인지다.

어떠한 상황에서든 내 이력서가 눈에 띌 수 있도록 강조해야 할 교육과 스킬, 경력 정리법을 알아본다. 


도구가 아닌 프로세스에 집중하라 

보안 애널리스트 지원자는 흔히 자신이 아는 도구나 표준을 나열한다. 하지만 GCI 커뮤니케이션 사이버보안 상임 임원 피터 그레고리는 지원자가 직접 경험한 보안 프로세스와 활동이 채용 매니저에게 더 유용하다고 조언했다. 보안 경보의 분석 및 분류, 위험 분석 수행, 내·외부 감사 촉진 및 조율 경험이 대표적이다. 

그레고리는 “애널리스트가 몇 가지 도구를 나열했다는 것은 그 도구를 다루고 운영하는 방법을 알고 있다는 뜻이다. 하지만 지원자가 자신이 하는 일의 목적을 알고 있는지, 단순히 기계적으로 일하는 것은 아닌지 궁금할 수 있다. 이때 지원자가 자신이 수행한 역할에 대해 이야기한다면 담당 프로세스를 이해하고 있음을 시사한다. 단순히 도구를 나열하는 것을 넘어서는 차원이다”라고 말했다. 

그레고리는 누군가에게 새 보안 도구를 교육하는 것이 프로세스를 교육하는 것보다 훨씬 쉽다고 봤다. 그레고리는 “애널리스트가 A라는 도구를 다룬 경험이 있고, 내가 B라는 도구를 가지고 있을 때, 이들이 프로세스에 익숙하다면 B 도구만 교육하면 된다. 프로세스를 교육하는 일은 도구를 가르치는 것보다 더 힘들다. 자동 이력서 선별 시스템이 인식할 수 있도록 경험한 도구를 이력서 말미에 나열해야 서류 검토에서 떨어지지 않는다”라고 덧붙였다.


핵심 업무에 투입한 시간 비율을 계산하라

사이버 보안전문 채용업체 사이버SN(CyberSN) CEO 데이더 다이아몬드는 각 활동에 투입한 시간을 기재하는 것이 좋다고 말했다. 지원자가 지난 2년 동안 취약점 테스팅에 업무 시간의 40%, 내부 보안 감사를 수행하는 데 10%를 투입한 것을 계산해 적으면 채용 매니저는 해당 직무가 지원자의 경험에 적합한지 더욱 잘 파악할 수 있다. 

다이아몬드는 “애널리스트 같은 직무는 회사마다 하는 일이 다르다. 보안 애널리스트는 회사 규모, 업종, 취급하는 데이터 종류, 상장/비상장 기업, 정부 분야 여부에 따라 담당하는 직무 및 프로젝트 수준이 천차만별이다. 이력서에 온통 보안 애널리스트를 언급하며 해당 직무에 지원한다고 해도 자신의 경험과 맞는 보안 애널리스트일 확률은 5%에 불과하다”라고 덧붙였다.


직접적인 경험이 필수 

보안 교육 업체 인포섹 수석 보안 연구자 키트론 에반스는 “고용주는 갈수록 직접적인 경험을 기대한다. 패킷 캡처 분석을 한 경험이 있는지, 로그를 이해하고 분석할 수 있는지, 클라우드에서 사건 대응을 한 적이 있는지, 입증할 수 있는 직접적인 경험을 이력서에 서술하는 것이 중요하다”라고 지적했다. 

직접 경험에 대한 기대가 높은 이유는 보안 애널리스트 경력이 없다고 하더라도 인포섹, 이머시브 랩, 플러랄사이트와 같은 교육 업체의 실습 교육으로 경험을 획득할 다른 방법이 있기 때문이다. 에반스는 “과거 교육은 자격증 위주였기 때문에 수강자가 특정한 직무를 수행할 수 있음을 증명하지 못했다. 최근 교육에는 가상 훈련이 포함되어 있는데, 이는 직접적인 경험을 위한 좋은 관문이다. 직접 작업을 수행하는 화면을 담은 5분짜리 녹화 영상이 천 마디 말보다 더 가치있다”라고 설명했다. 

플래그 잡기(Capture-the-flag, CTF) 대회도 이력서에서 강조해야 하는 경험이다. 유명한 CTF에서 좋은 성적을 거두었거나 침투 테스트를 완수했다면 이력서 상단에 배치하는 것이 좋다. 

에반스는 역사 학위를 보유하고 공식적인 사이버 보안 경력이 없는 지원자를 채용한 경험이 있다. 그 지원자는 개인 웹사이트를 직접 제작하고 이력서에 URL을 기재했다. 에반스는 “지원자가 웹사이트 제작 방법을 자발적으로 학습한 것이 가장 눈길을 끌었다”라고 설명했다. 


클라우드를 지향하라

에반스는 이력서의 직무 또는 활동란에 ‘클라우드’라는 단어가 있으면 최고의 이력서가 된다고 조언했다. 클라우드에 무작정 뛰어든 여러 업체가 클라우드에서 사건 대응을 담당할 역량이 있는 인재를 시급하게 찾고 있기 때문이다. 에반스는 “클라우드 경력이 있다면 자연스럽게 채용 담당자의 주목을 받을 것”이라고 말했다. 

에반스는 사고 대응이나 로그 분석과 같은 보안 애널리스트의 직무 경험이 없더라도 클라우드 경험만 있다면 매력적인 지원자라고 봤다. 클라우드 경험이 있는 사람은 그렇지 않은 사람보다 클라우드 사고 대응과 보안 원칙을 더 빨리 배울 가능성이 높다. 


봉사활동을 간과하지 말라

사이버 보안과 무관한 활동에서도 지원자를 파악할 수 있다. 공식 직무에서 특정한 역할을 할 기회를 갖지 못한 사람이라면 더욱 그렇다. 자원봉사 경험은 자발성이나 협동성과 같은 소프트 스킬을 입증하는 데 유리하다. 그레고리는 “가장 확인하고 싶은 것은 자발성이다. 이력서상의 단어가 아니라 어떤 일을 자발적으로 했고, 아이디어가 떠올랐을 때 자발적으로 실행했는지다. 자발성은 교육으로 키울 수 있는 것이 아니다”라고 말했다. 

예컨대 지역 비영리 단체의 파일 시스템을 개편한 경험은 이력서의 앞부분에 배치해야 한다. 그레고리는 “대부분 기업은 사이버 혼란으로부터 질서를 정립하는 데 매우 서투르다. 따라서 작업 절차를 체계화하고 생성하는 능력, 무언가를 형식화하는 능력, 무언가를 더 나은 방향으로 개선하는 능력은 기업에 유용한 역량이다”라고 덧붙였다. 

자원봉사는 직접적인 경험을 얻는 방법이기도 하다. 에반스에 따르면, 비영리 단체는 낮은 수수료 혹은 무료로 사이버 보안과 관련된 도움을 받고 싶어 한다. 자원봉사로 방화벽을 설치했거나 클라우드 마이그레이션을 한 경험이 있다면 채용에 유리할 것이다. 에반스는 “계약서 작성은 지원자가 일을 완수하는 방법을 알고 있음을 보여주므로 무료 작업이더라도 업무에 대한 청구서를 만들고 법률가에게 계약서 작성을 의뢰하는 것이 좋다”라고 조언했다.


연봉, 비자, 희망 근무형태를 이력서에 포함하라

이력서에 연봉과 비자 보증, 희망 근무형태를 기재하면 탈락할 수 있다는 두려움이 있다. 그러나 채용 조건에 대한 눈높이를 맞추는 단서로서 이들 정보를 활용하는 것을 고려해야 한다. 

다이아몬드는 “급여 조건이 맞지 않는 지원자와 시간을 낭비할 필요가 없다. 고용주가 시민권을 보장하지 않아서 입사할 수 없는 직원이 몇 명이나 될까? 결국 생산적인 대화가 목적이기 때문에 고용주가 이런 조건을 사전에 감안할 수 있도록 이력서에 포함하는 것을 추천한다”라고 말했다. 

급여 조건을 포함하면 경력이 많은 지원자와 적은 지원자의 구분이 쉽다. 다이아몬드는 “경력자는 자신에게 맞는 급여 수준을 알고 있다. 따라서 고용주와 희망 급여를 명시한 전문가는 채용 시간을 단축할 수 있다”라고 설명했다. 


추구하는 목표를 나열하라

지속적인 배움에 대한 열정은 사이버 보안 지원자에게 필수적이고, 자신의 목표를 명확히 밝히고 목표에 대한 준비 현황을 알리는 방법이다. 그레고리는 “우수한 지원자는 먼 미래를 내다본다. 이들은 직업적 열망이 있고 성장하고자 하며 언젠가 큰일을 담당하기를 원한다”라고 말했다.

추구하는 목표가 분명하다면 이력서에 현재 배우고 있는 자격증과 스킬, 단기 및 장기 목표를 상세하게 기술해야 한다. 그레고리는 “하고 싶은 것, 현재 상황, 원하는 위치에 대해 솔직해져야 한다”라고 조언했다. 

컴플라이언스 분야로 이직하고 싶지만, SOC 직무에 지원한다면 어떤 직무이든 단순히 일자리가 필요한 지원자로 비칠 수 있다. 때문에 지원 분야에 자신의 성장 여지가 남아있고 해당 분야로 이직하기 위해 한 일을 이력서에 제시하는 것이 좋다.


졸업장보다 경험을 우선시하라 

4년제 대학 학위는 실제 경험보다 부차적인 요소다. 사이버 분야 인재를 절실히 찾는 기업이 많아졌기 때문에 학위 요건을 포기하고 실제로 일할 수 있는 지원자를 높이 평가하는 경우가 늘었다. 다이아몬드는 “경험 있는 사람에게는 교육과 자격증에 대한 자격조건이 관대한 편이다”라고 말했다. 임원 수준이라면 학위가 반드시 필요하지만 그전까지는 경험이 우선이고 나머지는 부차적인 요소다. 

2년제 학위도 이점으로 작용할 수 있다. 4년제 학위를 보유한 지원자보다 실무에 더 빨리 투입할 수 있다. 에반스는 “2년제 학위를 보유한 지원자는 적응력이 뛰어나고, 시장에 인재도 많지 않다”라고 지적했다. 

학위를 획득했다는 것은 어려운 목표를 완수했음을 증명하기 때문에 구직 활동을 갓 시작한 지원자는 자신이 획득한 학위가 무엇이든 이력서에 넣어야 한다. 그레고리는 “대학 학위는 지원자의 성숙도를 보여주고, 오랜 시간이 걸리는 무언가를 열심히 할 수 있음을 보여준다. 경력이 15년이 넘었다면 교육보다는 경력을 중요하게 생각하는 편이다”라고 언급했다.

많은 채용 담당자가 여전히 자격증을 높이 평가하고 때로는 4년제 학위와 비슷한 가치를 가지기도 한다. 예를 들어 에반스가 앞서 언급한 역사 전공자를 채용한 이유도 졸업한 지 1년도 되지 않아 네트워크플러스와 시큐리티플러스 등 2가지 기초 자격증을 취득했기 때문이다. 에반스는 “자격증을 과대평가했던 것이 아니다. 그는 컴퓨터 공학 학위를 가진 많은 이들보다 뛰어났다”라고 말했다. editor@itworld.co.kr


2021.11.17

“시선 잡아야 기회 열린다” 보안 전문가 이력서 작성법 8가지

Mary Brandel | CSO
일류 대학교에서 컴퓨터공학 학위를 받고, 졸업 후 여름에는 두어 가지 보안 자격증을 획득했다. 소규모 회사에서 1년 가까이 경고 모니터링 도구를 개발했으며, 남는 시간에는 지역 동물 보호소에서 자원봉사를 했다. 
 
ⓒ Getty Images Bank

현재 하는 일을 좋아하지만, 원격 근무를 선호하며 최종적으로는 컴플라이언스 업무를 담당하고 싶다. 문제는 채용 담당자의 시선을 끌고 뛰어난 업무 적합성을 보여줄 수 있는 이력서를 어떻게 작성할 것인지다.

어떠한 상황에서든 내 이력서가 눈에 띌 수 있도록 강조해야 할 교육과 스킬, 경력 정리법을 알아본다. 


도구가 아닌 프로세스에 집중하라 

보안 애널리스트 지원자는 흔히 자신이 아는 도구나 표준을 나열한다. 하지만 GCI 커뮤니케이션 사이버보안 상임 임원 피터 그레고리는 지원자가 직접 경험한 보안 프로세스와 활동이 채용 매니저에게 더 유용하다고 조언했다. 보안 경보의 분석 및 분류, 위험 분석 수행, 내·외부 감사 촉진 및 조율 경험이 대표적이다. 

그레고리는 “애널리스트가 몇 가지 도구를 나열했다는 것은 그 도구를 다루고 운영하는 방법을 알고 있다는 뜻이다. 하지만 지원자가 자신이 하는 일의 목적을 알고 있는지, 단순히 기계적으로 일하는 것은 아닌지 궁금할 수 있다. 이때 지원자가 자신이 수행한 역할에 대해 이야기한다면 담당 프로세스를 이해하고 있음을 시사한다. 단순히 도구를 나열하는 것을 넘어서는 차원이다”라고 말했다. 

그레고리는 누군가에게 새 보안 도구를 교육하는 것이 프로세스를 교육하는 것보다 훨씬 쉽다고 봤다. 그레고리는 “애널리스트가 A라는 도구를 다룬 경험이 있고, 내가 B라는 도구를 가지고 있을 때, 이들이 프로세스에 익숙하다면 B 도구만 교육하면 된다. 프로세스를 교육하는 일은 도구를 가르치는 것보다 더 힘들다. 자동 이력서 선별 시스템이 인식할 수 있도록 경험한 도구를 이력서 말미에 나열해야 서류 검토에서 떨어지지 않는다”라고 덧붙였다.


핵심 업무에 투입한 시간 비율을 계산하라

사이버 보안전문 채용업체 사이버SN(CyberSN) CEO 데이더 다이아몬드는 각 활동에 투입한 시간을 기재하는 것이 좋다고 말했다. 지원자가 지난 2년 동안 취약점 테스팅에 업무 시간의 40%, 내부 보안 감사를 수행하는 데 10%를 투입한 것을 계산해 적으면 채용 매니저는 해당 직무가 지원자의 경험에 적합한지 더욱 잘 파악할 수 있다. 

다이아몬드는 “애널리스트 같은 직무는 회사마다 하는 일이 다르다. 보안 애널리스트는 회사 규모, 업종, 취급하는 데이터 종류, 상장/비상장 기업, 정부 분야 여부에 따라 담당하는 직무 및 프로젝트 수준이 천차만별이다. 이력서에 온통 보안 애널리스트를 언급하며 해당 직무에 지원한다고 해도 자신의 경험과 맞는 보안 애널리스트일 확률은 5%에 불과하다”라고 덧붙였다.


직접적인 경험이 필수 

보안 교육 업체 인포섹 수석 보안 연구자 키트론 에반스는 “고용주는 갈수록 직접적인 경험을 기대한다. 패킷 캡처 분석을 한 경험이 있는지, 로그를 이해하고 분석할 수 있는지, 클라우드에서 사건 대응을 한 적이 있는지, 입증할 수 있는 직접적인 경험을 이력서에 서술하는 것이 중요하다”라고 지적했다. 

직접 경험에 대한 기대가 높은 이유는 보안 애널리스트 경력이 없다고 하더라도 인포섹, 이머시브 랩, 플러랄사이트와 같은 교육 업체의 실습 교육으로 경험을 획득할 다른 방법이 있기 때문이다. 에반스는 “과거 교육은 자격증 위주였기 때문에 수강자가 특정한 직무를 수행할 수 있음을 증명하지 못했다. 최근 교육에는 가상 훈련이 포함되어 있는데, 이는 직접적인 경험을 위한 좋은 관문이다. 직접 작업을 수행하는 화면을 담은 5분짜리 녹화 영상이 천 마디 말보다 더 가치있다”라고 설명했다. 

플래그 잡기(Capture-the-flag, CTF) 대회도 이력서에서 강조해야 하는 경험이다. 유명한 CTF에서 좋은 성적을 거두었거나 침투 테스트를 완수했다면 이력서 상단에 배치하는 것이 좋다. 

에반스는 역사 학위를 보유하고 공식적인 사이버 보안 경력이 없는 지원자를 채용한 경험이 있다. 그 지원자는 개인 웹사이트를 직접 제작하고 이력서에 URL을 기재했다. 에반스는 “지원자가 웹사이트 제작 방법을 자발적으로 학습한 것이 가장 눈길을 끌었다”라고 설명했다. 


클라우드를 지향하라

에반스는 이력서의 직무 또는 활동란에 ‘클라우드’라는 단어가 있으면 최고의 이력서가 된다고 조언했다. 클라우드에 무작정 뛰어든 여러 업체가 클라우드에서 사건 대응을 담당할 역량이 있는 인재를 시급하게 찾고 있기 때문이다. 에반스는 “클라우드 경력이 있다면 자연스럽게 채용 담당자의 주목을 받을 것”이라고 말했다. 

에반스는 사고 대응이나 로그 분석과 같은 보안 애널리스트의 직무 경험이 없더라도 클라우드 경험만 있다면 매력적인 지원자라고 봤다. 클라우드 경험이 있는 사람은 그렇지 않은 사람보다 클라우드 사고 대응과 보안 원칙을 더 빨리 배울 가능성이 높다. 


봉사활동을 간과하지 말라

사이버 보안과 무관한 활동에서도 지원자를 파악할 수 있다. 공식 직무에서 특정한 역할을 할 기회를 갖지 못한 사람이라면 더욱 그렇다. 자원봉사 경험은 자발성이나 협동성과 같은 소프트 스킬을 입증하는 데 유리하다. 그레고리는 “가장 확인하고 싶은 것은 자발성이다. 이력서상의 단어가 아니라 어떤 일을 자발적으로 했고, 아이디어가 떠올랐을 때 자발적으로 실행했는지다. 자발성은 교육으로 키울 수 있는 것이 아니다”라고 말했다. 

예컨대 지역 비영리 단체의 파일 시스템을 개편한 경험은 이력서의 앞부분에 배치해야 한다. 그레고리는 “대부분 기업은 사이버 혼란으로부터 질서를 정립하는 데 매우 서투르다. 따라서 작업 절차를 체계화하고 생성하는 능력, 무언가를 형식화하는 능력, 무언가를 더 나은 방향으로 개선하는 능력은 기업에 유용한 역량이다”라고 덧붙였다. 

자원봉사는 직접적인 경험을 얻는 방법이기도 하다. 에반스에 따르면, 비영리 단체는 낮은 수수료 혹은 무료로 사이버 보안과 관련된 도움을 받고 싶어 한다. 자원봉사로 방화벽을 설치했거나 클라우드 마이그레이션을 한 경험이 있다면 채용에 유리할 것이다. 에반스는 “계약서 작성은 지원자가 일을 완수하는 방법을 알고 있음을 보여주므로 무료 작업이더라도 업무에 대한 청구서를 만들고 법률가에게 계약서 작성을 의뢰하는 것이 좋다”라고 조언했다.


연봉, 비자, 희망 근무형태를 이력서에 포함하라

이력서에 연봉과 비자 보증, 희망 근무형태를 기재하면 탈락할 수 있다는 두려움이 있다. 그러나 채용 조건에 대한 눈높이를 맞추는 단서로서 이들 정보를 활용하는 것을 고려해야 한다. 

다이아몬드는 “급여 조건이 맞지 않는 지원자와 시간을 낭비할 필요가 없다. 고용주가 시민권을 보장하지 않아서 입사할 수 없는 직원이 몇 명이나 될까? 결국 생산적인 대화가 목적이기 때문에 고용주가 이런 조건을 사전에 감안할 수 있도록 이력서에 포함하는 것을 추천한다”라고 말했다. 

급여 조건을 포함하면 경력이 많은 지원자와 적은 지원자의 구분이 쉽다. 다이아몬드는 “경력자는 자신에게 맞는 급여 수준을 알고 있다. 따라서 고용주와 희망 급여를 명시한 전문가는 채용 시간을 단축할 수 있다”라고 설명했다. 


추구하는 목표를 나열하라

지속적인 배움에 대한 열정은 사이버 보안 지원자에게 필수적이고, 자신의 목표를 명확히 밝히고 목표에 대한 준비 현황을 알리는 방법이다. 그레고리는 “우수한 지원자는 먼 미래를 내다본다. 이들은 직업적 열망이 있고 성장하고자 하며 언젠가 큰일을 담당하기를 원한다”라고 말했다.

추구하는 목표가 분명하다면 이력서에 현재 배우고 있는 자격증과 스킬, 단기 및 장기 목표를 상세하게 기술해야 한다. 그레고리는 “하고 싶은 것, 현재 상황, 원하는 위치에 대해 솔직해져야 한다”라고 조언했다. 

컴플라이언스 분야로 이직하고 싶지만, SOC 직무에 지원한다면 어떤 직무이든 단순히 일자리가 필요한 지원자로 비칠 수 있다. 때문에 지원 분야에 자신의 성장 여지가 남아있고 해당 분야로 이직하기 위해 한 일을 이력서에 제시하는 것이 좋다.


졸업장보다 경험을 우선시하라 

4년제 대학 학위는 실제 경험보다 부차적인 요소다. 사이버 분야 인재를 절실히 찾는 기업이 많아졌기 때문에 학위 요건을 포기하고 실제로 일할 수 있는 지원자를 높이 평가하는 경우가 늘었다. 다이아몬드는 “경험 있는 사람에게는 교육과 자격증에 대한 자격조건이 관대한 편이다”라고 말했다. 임원 수준이라면 학위가 반드시 필요하지만 그전까지는 경험이 우선이고 나머지는 부차적인 요소다. 

2년제 학위도 이점으로 작용할 수 있다. 4년제 학위를 보유한 지원자보다 실무에 더 빨리 투입할 수 있다. 에반스는 “2년제 학위를 보유한 지원자는 적응력이 뛰어나고, 시장에 인재도 많지 않다”라고 지적했다. 

학위를 획득했다는 것은 어려운 목표를 완수했음을 증명하기 때문에 구직 활동을 갓 시작한 지원자는 자신이 획득한 학위가 무엇이든 이력서에 넣어야 한다. 그레고리는 “대학 학위는 지원자의 성숙도를 보여주고, 오랜 시간이 걸리는 무언가를 열심히 할 수 있음을 보여준다. 경력이 15년이 넘었다면 교육보다는 경력을 중요하게 생각하는 편이다”라고 언급했다.

많은 채용 담당자가 여전히 자격증을 높이 평가하고 때로는 4년제 학위와 비슷한 가치를 가지기도 한다. 예를 들어 에반스가 앞서 언급한 역사 전공자를 채용한 이유도 졸업한 지 1년도 되지 않아 네트워크플러스와 시큐리티플러스 등 2가지 기초 자격증을 취득했기 때문이다. 에반스는 “자격증을 과대평가했던 것이 아니다. 그는 컴퓨터 공학 학위를 가진 많은 이들보다 뛰어났다”라고 말했다. editor@itworld.co.kr


X