2017.07.17

걸스카웃도 공략한다··· 보안 업계의 인재 확보 노력 ‘천태만상’

Maria Korolov | CSO

보안 인재 부족 현상이 점점 더 심각해지고 있다. 사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면, 2015년 전세계적으로 3조 달러였던 사이버범죄 비용은 2021년이면 2배 증가한 6조 달러에 이를 것으로 예상된다. 2016년 100만 개였던 사이버보안 일자리는 2019년이면 150만 개로 늘어나게 된다.

실제로 사이버공격은 그 규모와 피해가 계속 커지고 있다. 주니퍼 리서치(Juniper Research)에 따르면 올해 고객 데이터 기록 도난 건수는 28억 건이며 2022년까지 50억 건으로 늘어날 것으로 예상된다. 이 밖에 사이버시큐리티 벤처스에서는 랜섬웨어 공격으로 인한 비용 총액이 올해 50억 달러에 이를 것으로 추산하고 있다. 이는 2015년의 3억2,500만 달러에서 크게 늘어난 수치이다.

사이버시크(CyberSeek)에 따르면, 현재 미국 전체의 사이버보안 종사자가 전부 합쳐 80만 명이 안되는 상황에서 사이버보안 전문가들을 위한 일자리는 거의 35만 개 가까이 있다고 한다. 보안 자격증 보유자 역시 부족한 실정이다. 공인정보보안관리자 자격증 보유자를 위한 일자리가 3만 개나 있지만 실제 자격증 보유자는 약 1만 500명에 불과하다.



고정 관념 탈피
따라서 회사들은 전통적인 방식으로는 보안 직원을 채용하기가 대단히 어려운 실정이다. 구인 광고를 내는 것 이외의 방법을 모색해야 한다. 채용 담당자를 고용해서 이미 보안 업무에 교육을 받고 경력이 쌓인 전문가를 찾아야 한다.

미국 캘리포니아 주 서니베일(Sunnyvale)에 위치한 일루미오(Illumio)의 최고 영업 책임자 알란 코헨은 관련 기술직 종사자들을 물색하는 것도 한 가지 방법이라고 소개했다.

그는 “똑똑한 IT 종사자들이 정보 보안 분야로 몰려들고 있다. 소프트웨어로 처리되는 업무가 늘어남에 따라 응용프로그램 개발자와 운영 종사자들이 중요한 보안 역할을 맡게 될 것”이라고 말했다.

여성 인력 역시 활용 잠재성이 크다. ISC2에 따르면, 현재 정보 보안직 종사자 중 여성의 비율은 11%에 불과하다. 다양성 개선은 인재 부족 문제 해결에 도움이 된다. 코헨은 “본인이 생각하는 다양성이란 사람들이 관심을 갖지 않는 곳에서 인재를 찾는 것이다. 예를 들면 국제여성기술인협회(WITI) 포럼 등에 자주 방문한다”라고 설명했다.

정부나 군대를 거친 사람들도 훌륭한 자원이다. 코헨은 “정부 부문에는 놀라운 기술과 재능을 갖춘 사람들이 있다. 이들 중 많은 수는 적정 분야에서 기술 교육을 받았을 뿐만 아니라 신기술 습득 능력을 갖추고 있고 압박감에도 잘 대처한다”라고 말했다. 그에 따르면 일루미오는 새로운 인재를 발굴하기 위해 대학 캠퍼스에서 해커톤 이벤트를 개최하기도 한다

다른 회사들도 대회를 통한 인재 발굴에 나서고 있다. 뉴욕에 위치한 시큐리티스코어카드(SecurityScorecard)의 최고 연구 책임자 알렉스 하이드는 “가장 효과적인 정보 보안 인재 발굴 방법 중 하나는 라스베가스의 데프콘(Defcon)이나 남부 플로리다의 핵마이애미(HackMiami)와 같은 지역 해킹 행사에 참가하는 것”이라고 말했다.

하이드에 따르면, 조직적인 해킹 대회는 이제 일종의 스포츠이며 실제 상황에서 공격과 방어 기술을 모두 연습할 수 있는 아주 좋은 방법이다. 또한, “어떤 정보 보안 회사는 면접 도중에 지원자에게 미니 ‘깃발을 잡아라(CTF)’ 도전을 시키기도 한다. 인재를 즉각 알아보는 데 유용한 방법인 것 같다”고 그는 전했다.

트렌드 마이크로사(Trend Micro, Inc.)는 여기서 한 발 더 나아가 자체 CTF 대회를 3년간 개최해 오고 있다고 이 회사의 최고 사이버보안 책임자 에드 카브레라는 밝혔다. 그는 “재능과 소질을 갖춘 사람들을 발굴할 환상적인 기회”라고 설명했다.

트렌드 마이크로의 CTF 대회는 국제 대회로서 올해 결승전은 일본에서 치러진다. 상위 참가자에게는 여비가 지원된다. 카브레라는 “그 중에서 채용되는 사람이 없을 수도 있고 있을 수도 있다. 그러나 어찌되었건 검토해 볼만한 훌륭한 후보자들”이라고 말했다.

똑똑한 사이버보안 인재 발굴 장소가 실리콘 밸리만 있는 것은 아니다. 카브레라는 국제 대회 개최도 외부 인재 발굴의 일환이라고 설명했다. 그는 “요즘과 같은 시대에 우리가 찾는 능력을 보유한 인재는 국제적으로 존재한다”라고 말했다.

트렌드 마이크로는 기존 직원 중에 타 직무 종사자들도 살펴본다. 자신이 속한 사업부에서 도전 정신을 느끼지 못하는 직원에게 자신의 기량을 뽐낼 기회를 주자는 취지라는 설명이다.

카브레라는 이 밖에 기술적인 기량만 지나치게 강조하는 경우가 너무 많다고 지적하고 “사이버보안 관련 업무 중 많은 부분은 꼭 기술과 관련된 것만이 아니라 대인 기술, 탐구 정신, 문제 해결 능력 등이 필요하다. 본인은 항상 대인 기술, 열정, 문제 해결, 창의성 측면을 많이 보며 그런 점을 분석에 반영한다”고 밝혔다.

카브레라 본인 역시 금융 범죄 수사로 시작했다가 나중에 사이버보안 쪽으로 분야를 옮긴 ‘늦깎이’에 속하는 인물이다.

독특한 배경의 사람을 물색하는 회사는 트렌드 마이크로뿐만이 아니다. 매사추세츠 주 베드포드(Bedford)에 위치한 RSA 시큐리티(RSA Security)의 CISO 자넷 레베스크(Levesque)는 “당사의 SOC 팀에는 음악이나 미술 전공자들도 있었다. 음악 전공자에게는 사이버 업무와 많은 시너지 효과를 일으키는 듯한 무언가가 있다. 빠른 학습 능력도 그 중 하나다. 악보를 볼 줄 알거나, 정보 습득이 빠르거나 창의적인 문제 해결 능력이 있는 사람이라면 지원할 만하다. 당사에는 다양한 분야의 사람들이 많이 거쳐갔다”라고 말했다.

사이버보안의 빠른 발전 속도를 감안하면, 특정 기술을 아는 것보다 우수한 분석 기술이 가치가 높다고 레베스크는 덧붙였다. 그는 “오늘 사용하는 기술이 내일이면 쓸모 없게 될 수도 있기 때문이다”라고 설명했다.

이처럼 타 분야에서 채용된 직원들이 업무에 잘 적응할 수 있도록 RSA는 실무 교육(OJT)과 사내 연수를 제공하며 외부 연수 및 교육 프로그램 비용도 지원한다. 이 밖에도 고객들에게 제공하는 제품에 관한 독점 교육을 통해 직원들의 이해도 돕는다. “RSA는 직접 빚은 샴페인을 마시는 셈이다”라고 레베스크는 말했다.

인재 확보 전쟁
경험이 가장 풍부한 최고의 실력자라면 서로 데려가려는 전쟁이 벌어진다. 회사들이 필요한 인재를 발굴하고 이들의 이직을 막기 위해서는 공격적인 능력과 방어적인 능력을 모두 강화해야 한다. 버지니아 주 비엔나(Vienna)에 위치한 크라이테리온 시스템사(Criterion Systems, Inc.)의 부사장 겸 CISO 밥 헥크먼은 “당신이 원하는 사람은 이미 직업이 있다”라고 표현했다.


2017.07.17

걸스카웃도 공략한다··· 보안 업계의 인재 확보 노력 ‘천태만상’

Maria Korolov | CSO

보안 인재 부족 현상이 점점 더 심각해지고 있다. 사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면, 2015년 전세계적으로 3조 달러였던 사이버범죄 비용은 2021년이면 2배 증가한 6조 달러에 이를 것으로 예상된다. 2016년 100만 개였던 사이버보안 일자리는 2019년이면 150만 개로 늘어나게 된다.

실제로 사이버공격은 그 규모와 피해가 계속 커지고 있다. 주니퍼 리서치(Juniper Research)에 따르면 올해 고객 데이터 기록 도난 건수는 28억 건이며 2022년까지 50억 건으로 늘어날 것으로 예상된다. 이 밖에 사이버시큐리티 벤처스에서는 랜섬웨어 공격으로 인한 비용 총액이 올해 50억 달러에 이를 것으로 추산하고 있다. 이는 2015년의 3억2,500만 달러에서 크게 늘어난 수치이다.

사이버시크(CyberSeek)에 따르면, 현재 미국 전체의 사이버보안 종사자가 전부 합쳐 80만 명이 안되는 상황에서 사이버보안 전문가들을 위한 일자리는 거의 35만 개 가까이 있다고 한다. 보안 자격증 보유자 역시 부족한 실정이다. 공인정보보안관리자 자격증 보유자를 위한 일자리가 3만 개나 있지만 실제 자격증 보유자는 약 1만 500명에 불과하다.



고정 관념 탈피
따라서 회사들은 전통적인 방식으로는 보안 직원을 채용하기가 대단히 어려운 실정이다. 구인 광고를 내는 것 이외의 방법을 모색해야 한다. 채용 담당자를 고용해서 이미 보안 업무에 교육을 받고 경력이 쌓인 전문가를 찾아야 한다.

미국 캘리포니아 주 서니베일(Sunnyvale)에 위치한 일루미오(Illumio)의 최고 영업 책임자 알란 코헨은 관련 기술직 종사자들을 물색하는 것도 한 가지 방법이라고 소개했다.

그는 “똑똑한 IT 종사자들이 정보 보안 분야로 몰려들고 있다. 소프트웨어로 처리되는 업무가 늘어남에 따라 응용프로그램 개발자와 운영 종사자들이 중요한 보안 역할을 맡게 될 것”이라고 말했다.

여성 인력 역시 활용 잠재성이 크다. ISC2에 따르면, 현재 정보 보안직 종사자 중 여성의 비율은 11%에 불과하다. 다양성 개선은 인재 부족 문제 해결에 도움이 된다. 코헨은 “본인이 생각하는 다양성이란 사람들이 관심을 갖지 않는 곳에서 인재를 찾는 것이다. 예를 들면 국제여성기술인협회(WITI) 포럼 등에 자주 방문한다”라고 설명했다.

정부나 군대를 거친 사람들도 훌륭한 자원이다. 코헨은 “정부 부문에는 놀라운 기술과 재능을 갖춘 사람들이 있다. 이들 중 많은 수는 적정 분야에서 기술 교육을 받았을 뿐만 아니라 신기술 습득 능력을 갖추고 있고 압박감에도 잘 대처한다”라고 말했다. 그에 따르면 일루미오는 새로운 인재를 발굴하기 위해 대학 캠퍼스에서 해커톤 이벤트를 개최하기도 한다

다른 회사들도 대회를 통한 인재 발굴에 나서고 있다. 뉴욕에 위치한 시큐리티스코어카드(SecurityScorecard)의 최고 연구 책임자 알렉스 하이드는 “가장 효과적인 정보 보안 인재 발굴 방법 중 하나는 라스베가스의 데프콘(Defcon)이나 남부 플로리다의 핵마이애미(HackMiami)와 같은 지역 해킹 행사에 참가하는 것”이라고 말했다.

하이드에 따르면, 조직적인 해킹 대회는 이제 일종의 스포츠이며 실제 상황에서 공격과 방어 기술을 모두 연습할 수 있는 아주 좋은 방법이다. 또한, “어떤 정보 보안 회사는 면접 도중에 지원자에게 미니 ‘깃발을 잡아라(CTF)’ 도전을 시키기도 한다. 인재를 즉각 알아보는 데 유용한 방법인 것 같다”고 그는 전했다.

트렌드 마이크로사(Trend Micro, Inc.)는 여기서 한 발 더 나아가 자체 CTF 대회를 3년간 개최해 오고 있다고 이 회사의 최고 사이버보안 책임자 에드 카브레라는 밝혔다. 그는 “재능과 소질을 갖춘 사람들을 발굴할 환상적인 기회”라고 설명했다.

트렌드 마이크로의 CTF 대회는 국제 대회로서 올해 결승전은 일본에서 치러진다. 상위 참가자에게는 여비가 지원된다. 카브레라는 “그 중에서 채용되는 사람이 없을 수도 있고 있을 수도 있다. 그러나 어찌되었건 검토해 볼만한 훌륭한 후보자들”이라고 말했다.

똑똑한 사이버보안 인재 발굴 장소가 실리콘 밸리만 있는 것은 아니다. 카브레라는 국제 대회 개최도 외부 인재 발굴의 일환이라고 설명했다. 그는 “요즘과 같은 시대에 우리가 찾는 능력을 보유한 인재는 국제적으로 존재한다”라고 말했다.

트렌드 마이크로는 기존 직원 중에 타 직무 종사자들도 살펴본다. 자신이 속한 사업부에서 도전 정신을 느끼지 못하는 직원에게 자신의 기량을 뽐낼 기회를 주자는 취지라는 설명이다.

카브레라는 이 밖에 기술적인 기량만 지나치게 강조하는 경우가 너무 많다고 지적하고 “사이버보안 관련 업무 중 많은 부분은 꼭 기술과 관련된 것만이 아니라 대인 기술, 탐구 정신, 문제 해결 능력 등이 필요하다. 본인은 항상 대인 기술, 열정, 문제 해결, 창의성 측면을 많이 보며 그런 점을 분석에 반영한다”고 밝혔다.

카브레라 본인 역시 금융 범죄 수사로 시작했다가 나중에 사이버보안 쪽으로 분야를 옮긴 ‘늦깎이’에 속하는 인물이다.

독특한 배경의 사람을 물색하는 회사는 트렌드 마이크로뿐만이 아니다. 매사추세츠 주 베드포드(Bedford)에 위치한 RSA 시큐리티(RSA Security)의 CISO 자넷 레베스크(Levesque)는 “당사의 SOC 팀에는 음악이나 미술 전공자들도 있었다. 음악 전공자에게는 사이버 업무와 많은 시너지 효과를 일으키는 듯한 무언가가 있다. 빠른 학습 능력도 그 중 하나다. 악보를 볼 줄 알거나, 정보 습득이 빠르거나 창의적인 문제 해결 능력이 있는 사람이라면 지원할 만하다. 당사에는 다양한 분야의 사람들이 많이 거쳐갔다”라고 말했다.

사이버보안의 빠른 발전 속도를 감안하면, 특정 기술을 아는 것보다 우수한 분석 기술이 가치가 높다고 레베스크는 덧붙였다. 그는 “오늘 사용하는 기술이 내일이면 쓸모 없게 될 수도 있기 때문이다”라고 설명했다.

이처럼 타 분야에서 채용된 직원들이 업무에 잘 적응할 수 있도록 RSA는 실무 교육(OJT)과 사내 연수를 제공하며 외부 연수 및 교육 프로그램 비용도 지원한다. 이 밖에도 고객들에게 제공하는 제품에 관한 독점 교육을 통해 직원들의 이해도 돕는다. “RSA는 직접 빚은 샴페인을 마시는 셈이다”라고 레베스크는 말했다.

인재 확보 전쟁
경험이 가장 풍부한 최고의 실력자라면 서로 데려가려는 전쟁이 벌어진다. 회사들이 필요한 인재를 발굴하고 이들의 이직을 막기 위해서는 공격적인 능력과 방어적인 능력을 모두 강화해야 한다. 버지니아 주 비엔나(Vienna)에 위치한 크라이테리온 시스템사(Criterion Systems, Inc.)의 부사장 겸 CISO 밥 헥크먼은 “당신이 원하는 사람은 이미 직업이 있다”라고 표현했다.


X