2019.09.20

'믿고 거를 기업 간파' 보안 구직자가 면접 시 해야 할 6가지 질문

J.M. Porup | CSO
이상한 나라의 앨리스에서 붉은 여왕은 “이들의 목을 베라”고 명령한다. 혹시 기업이 데이터 침해 사건 후 보안 인력을 대하는 방식이 이와 같지는 않은가? 위험 관리는 위험을 줄이지만 없애지는 못한다. 현명한 기업은 보안 리더를 희생양으로 삼지 않는다. 불가피한 사건이 발생할 때 CSO나 CISO에게 책임을 묻는 것은 유해한 직무 환경의 신호이고, 따라서 회피해야 할 곳이다.  

그렇다고 해서 보안 인력이 잘못이 없다는 것은 아니다. 보안 인력을 괴짜 취급하는 문화는 사라지기 시작했지만, 여전히 일반적이다. 보안 인력이 다른 사람의 일상생활을 어렵게 만들기 위해 존재한다면서 보안 인력에 거부감을 갖는 문화나 양호한 직무 환경이 아니다. 보안 인력을 괴롭히는 섀도우 IT문제를 감안하면 특히 그렇다. 
 
ⓒGetty Images Bank

사이버 보안 인재가 너무 부족하기 때문에 보안 전문가는 자신이 일할 곳을 까다롭게 선택할 수 있다. 그렇다면 피해야 할 직무 환경을 어떻게 파악할 것인가? 미래 고용주에게 던져야 할 몇 가지 면접 질문을 소개한다. 

1. “CEO가 언제 보안을 지원하는지 말씀해 주세요.”
보안 문화의 시작점은 최고 경영진이다. CEO가 효과적인 보안을 이해하고 지원하지 않는다면 잘못된 환경에서 패할 수밖에 없는 싸움을 하게 될 것이다. CEO는 보안에 관해 얼마나 알고 있는가? 물론 조직은 웹사이트에서 자신의 배경을 자세히 설명하고 있지만, 보안이 이사회 수준의 우선순위인지 아닌지를 반드시 확인해야 한다.  

CISO, CSO 등의 IT 리더에 특화된 임원 채용 전문회사인 헬러 서치 어소시이츠(Heller Search Associates)의 사장 켈리 도일은 “경영진 및 이사회의 보안에 대한 비전, 관심, 의지를 파악해야 한다. 보안이 최고 경영진 수준에서 우선순위여야 한다. 그러면 메시지를 하향식으로 전달하는 데 유리하다”라고 말했다. 

만약 CISO직 면접이라면, 도일은 “면접에 최고 임원들이 참여하는지 알아야 한다. 심지어 이사회 위원도 참여할 수 있을 것이다. 그렇다면 이들의 보안에 관한 시각이나 관심사를 알 수 있다. 이들이 교육받기를 원하고, 견실한 보안 문화에 의지가 있으며, 현재 전세계적으로 보안이 이사회 수준의 문제임을 인식하고 있다면 이는 괜찮은 일자리일 것이다”라고 설명했다.  

2. “보안 사고 시 조직이 어떻게 대처합니까?”
나쁜 일은 일어나기 마련이다. 조직은 보안 실패에 어떻게 대처하는가? 선의의 실수 때문에 사람을 해고하는 것은 언제나 적절한 해답이 아니다. 피싱 이메일에 속아 넘어간 사람을 해고하는 회사라면 피하라. 이를 어떻게 알 수 있을까? 이런 질문을 해보라. “한 직원이 피싱에 넘어가서 회사가 500만 달러의 손실을 보았다고 하자. 회사는 어떻게 반응하는가?”

예/아니오로 대답할 수 있는 질문을 피하라. 기업은 면접 응시자를 혼란스럽게 만들려고 할 것이다. 이들이 꾸며낸 거짓말이 클수록 이를 포착하는 것이 더 쉬워진다. 

이를 다른 식으로 질문할 수도 있다. 예를 들어 “경영진이 중대한 보안 사건을 인지하는 시점이 언제인지 말해달라. 경영진은 어떻게 반응하는가?” 같은 것들이다. 

면접관이 기밀 정보를 공유하리라 생각하지 말라. 그 사실 자체가 문제 신호일 수 있다. 그러나 이들은 불가피한 보안 실패에 조직이 어떻게 대응하는지를 일반적 용어로 이야기해줄 수는 있어야 한다.  

3. “보안 직무가 현재 공석인 이유는 무엇입니까?”
이전의 보안 책임자가 보안 실수나 실패 때문에 해고되었는가? 이들은 왜 회사를 떠났는가? 이 직무는 새롭게 생겨난 것인가? 채용 이유를 알 수 있다면 직무를 수락했을 때 자신의 미래가 어떠한 모습일지 대강 짐작할 수 있을 것이다.  

딜로이트의 사이버 리스크 컨설팅 사업부의 수석 책임자인 앨커 바르가바는 < CSO>에 “만약 보안 담당자를 교체하는 경우라면 이전 직원의 성과가 어떠했는지, 그 사람이 무엇을 잘했는지, 새 직원에게 무엇을 기대하는지 전략적으로 질문하라”고 말했다. 

보안 직무는 인력 부족으로 여러 달 공석으로 있는 일이 흔하고, 우수 인력은 더 많은 급여를 받기 위해 이 회사 저 회사를 옮겨 다니는 경우가 많다. 교체가 빈번하고 공석인 기간이 길다고 해서 반드시 일하기에 유해한 직장이라는 의미는 아니다. 그렇다고 해도 보안 인력이 대개 얼마나 근속하는지 질문한다면, 직무 환경에 관해 많은 것을 알 수 있을 것이다.  

4. “‘신속하게 움직이고 관행을 혁파하는’ 기업 문화가 있습니까?” 
보안은 비즈니스를 더 잘 되게 하려고 존재하는 것이지, 방해하려는 것이 아니다. 사업 수익성이 없거나 성공적이지 않다면 보안은 존재할 수 없다. 

그러나 수익을 추구한 나머지 허점을 방치한 채 지나치게 앞서나갈 위험이 있다. ‘신속하게 움직이고 관행을 혁파하는’ 문화가 있는가? 아니라면 ‘적당한 속도로 움직이며 관행이 문제가 될 때 고치는가?’

이를 간접적으로 판단하는 방법이 하나 있다. 사이스(Scythe)의 설립자이자 CEO인 브리슨 보트는 <CSO>에 보내는 트위터 메시지에서 “유지관리에 얼마나 시간을 할애하는지, 그리고 새로운 것을 만드는데 얼마나 시간을 할애하는지”를 질문하라고 제안했다. 

새로운 것을 만드는 데 시간을 더 많이 쓰고 유지보수에 시간을 더 적게 쓴다면 이 조직은 보안을 우선시할 가능성이 작다. 이는 반드시 나쁜 것은 아니지만, 미숙한 보안 태세, 그리고 불가피한 위기 상황 시 경영진의 준비 결여를 의미할 수 있다.  

5. “보안팀을 ‘무조건 No’라고 하는 부서로 생각하는 건 아닌지요?”
그동안 대부분 조직은 무조건 금지하고 보는 낡은 보안 문화, 그리고 회사 내의 다른 사람들이 질색하며 새도우 IT로 넘어가는 경우가 흔한 불유쾌한 태도를 물려받았다. 이 ‘보안 괴짜’ 문화는 양호한 보안에 역효과를 가져오기 마련이다. 스스로 보안 괴짜가 되지 않으려는 것과 관계없이, 조직의 나머지 부분이 보안팀을 어떻게 바라보는지 안다면 경악할 수 있다.  

“보안 인식 프로그램에 관해 설명해줄 수 있는가?”라고 질문하라. 아무도 읽거나 기억하지 않은 슬라이드를 클릭하며 6개월마다 하는 가식적인 이벤트는 아닌지 알아야 한다. 아니라면 일반 직원이 보안에 대해 소유권과 책임을 갖도록 장려되는가? 

현재의 갈등이나 실망의 근원이 무엇인지를 파악하려고 노력하라. 보안 채용 책임자와 면접을 본다면 이들에게 “보안팀으로부터 들리는 가장 큰 불만이 무엇인가?”라고 질문하여 적절한 대답을 유도할 수 있다. 

대답이 ‘그 멍청한 이용자들’이라면 아마 그곳에서 일하지 않는 것이 좋을 것이다. 
 
6. “보안 예산은 어느 정도 됩니까?”
적정한 자원 없이 효과만 기대하는 곳에서 보안 직무를 하고 있다면 누구라도 좌절감을 느낄 것이다. 켈리는 <CSO>에 “보안 직무를 위한 예산이 얼마나 되는가?”를 질문하라고 조언했다. 이어서 그는 “보안 예산이 편성되어 있는지 확인하라. 이는 직무를 성공적으로 수행할 수 있게 해주고, 데이터 침해 사고에 대비할 수 있게 해준다. 보안 전략을 제안하고 이행할 수 있는 예산이 있는가?”를 질문하라고 말했다. 

어느 정도 예산이면 적당한 예산인가는 조직 및 위협 모델에 좌우된다. 예산 제약을 파악하는 또 다른 방법은 보안 채용 책임자에게 “밤에 잠을 이루지 못할 만큼 걱정스러운 것이 무엇인가?” 또는 “지난 12개월 동안 경험한 가장 어려운 문제는 무엇인가?”를 질문하는 것이다.

우수한 보안 전문가는 부족하고 수요는 많다. 다수의 입사 제안을 받았다면 잠재적인 고용주에게 정중하게 위와 같은 질문을 하며 회사의 보안 문화를 더 많이 알아내도록 하라. 싫어하는 일을 하면서 1년을 보내는 것보다 이를 피하는 것이 더 낫지 않을까? ciokr@idg.co.kr
 



2019.09.20

'믿고 거를 기업 간파' 보안 구직자가 면접 시 해야 할 6가지 질문

J.M. Porup | CSO
이상한 나라의 앨리스에서 붉은 여왕은 “이들의 목을 베라”고 명령한다. 혹시 기업이 데이터 침해 사건 후 보안 인력을 대하는 방식이 이와 같지는 않은가? 위험 관리는 위험을 줄이지만 없애지는 못한다. 현명한 기업은 보안 리더를 희생양으로 삼지 않는다. 불가피한 사건이 발생할 때 CSO나 CISO에게 책임을 묻는 것은 유해한 직무 환경의 신호이고, 따라서 회피해야 할 곳이다.  

그렇다고 해서 보안 인력이 잘못이 없다는 것은 아니다. 보안 인력을 괴짜 취급하는 문화는 사라지기 시작했지만, 여전히 일반적이다. 보안 인력이 다른 사람의 일상생활을 어렵게 만들기 위해 존재한다면서 보안 인력에 거부감을 갖는 문화나 양호한 직무 환경이 아니다. 보안 인력을 괴롭히는 섀도우 IT문제를 감안하면 특히 그렇다. 
 
ⓒGetty Images Bank

사이버 보안 인재가 너무 부족하기 때문에 보안 전문가는 자신이 일할 곳을 까다롭게 선택할 수 있다. 그렇다면 피해야 할 직무 환경을 어떻게 파악할 것인가? 미래 고용주에게 던져야 할 몇 가지 면접 질문을 소개한다. 

1. “CEO가 언제 보안을 지원하는지 말씀해 주세요.”
보안 문화의 시작점은 최고 경영진이다. CEO가 효과적인 보안을 이해하고 지원하지 않는다면 잘못된 환경에서 패할 수밖에 없는 싸움을 하게 될 것이다. CEO는 보안에 관해 얼마나 알고 있는가? 물론 조직은 웹사이트에서 자신의 배경을 자세히 설명하고 있지만, 보안이 이사회 수준의 우선순위인지 아닌지를 반드시 확인해야 한다.  

CISO, CSO 등의 IT 리더에 특화된 임원 채용 전문회사인 헬러 서치 어소시이츠(Heller Search Associates)의 사장 켈리 도일은 “경영진 및 이사회의 보안에 대한 비전, 관심, 의지를 파악해야 한다. 보안이 최고 경영진 수준에서 우선순위여야 한다. 그러면 메시지를 하향식으로 전달하는 데 유리하다”라고 말했다. 

만약 CISO직 면접이라면, 도일은 “면접에 최고 임원들이 참여하는지 알아야 한다. 심지어 이사회 위원도 참여할 수 있을 것이다. 그렇다면 이들의 보안에 관한 시각이나 관심사를 알 수 있다. 이들이 교육받기를 원하고, 견실한 보안 문화에 의지가 있으며, 현재 전세계적으로 보안이 이사회 수준의 문제임을 인식하고 있다면 이는 괜찮은 일자리일 것이다”라고 설명했다.  

2. “보안 사고 시 조직이 어떻게 대처합니까?”
나쁜 일은 일어나기 마련이다. 조직은 보안 실패에 어떻게 대처하는가? 선의의 실수 때문에 사람을 해고하는 것은 언제나 적절한 해답이 아니다. 피싱 이메일에 속아 넘어간 사람을 해고하는 회사라면 피하라. 이를 어떻게 알 수 있을까? 이런 질문을 해보라. “한 직원이 피싱에 넘어가서 회사가 500만 달러의 손실을 보았다고 하자. 회사는 어떻게 반응하는가?”

예/아니오로 대답할 수 있는 질문을 피하라. 기업은 면접 응시자를 혼란스럽게 만들려고 할 것이다. 이들이 꾸며낸 거짓말이 클수록 이를 포착하는 것이 더 쉬워진다. 

이를 다른 식으로 질문할 수도 있다. 예를 들어 “경영진이 중대한 보안 사건을 인지하는 시점이 언제인지 말해달라. 경영진은 어떻게 반응하는가?” 같은 것들이다. 

면접관이 기밀 정보를 공유하리라 생각하지 말라. 그 사실 자체가 문제 신호일 수 있다. 그러나 이들은 불가피한 보안 실패에 조직이 어떻게 대응하는지를 일반적 용어로 이야기해줄 수는 있어야 한다.  

3. “보안 직무가 현재 공석인 이유는 무엇입니까?”
이전의 보안 책임자가 보안 실수나 실패 때문에 해고되었는가? 이들은 왜 회사를 떠났는가? 이 직무는 새롭게 생겨난 것인가? 채용 이유를 알 수 있다면 직무를 수락했을 때 자신의 미래가 어떠한 모습일지 대강 짐작할 수 있을 것이다.  

딜로이트의 사이버 리스크 컨설팅 사업부의 수석 책임자인 앨커 바르가바는 < CSO>에 “만약 보안 담당자를 교체하는 경우라면 이전 직원의 성과가 어떠했는지, 그 사람이 무엇을 잘했는지, 새 직원에게 무엇을 기대하는지 전략적으로 질문하라”고 말했다. 

보안 직무는 인력 부족으로 여러 달 공석으로 있는 일이 흔하고, 우수 인력은 더 많은 급여를 받기 위해 이 회사 저 회사를 옮겨 다니는 경우가 많다. 교체가 빈번하고 공석인 기간이 길다고 해서 반드시 일하기에 유해한 직장이라는 의미는 아니다. 그렇다고 해도 보안 인력이 대개 얼마나 근속하는지 질문한다면, 직무 환경에 관해 많은 것을 알 수 있을 것이다.  

4. “‘신속하게 움직이고 관행을 혁파하는’ 기업 문화가 있습니까?” 
보안은 비즈니스를 더 잘 되게 하려고 존재하는 것이지, 방해하려는 것이 아니다. 사업 수익성이 없거나 성공적이지 않다면 보안은 존재할 수 없다. 

그러나 수익을 추구한 나머지 허점을 방치한 채 지나치게 앞서나갈 위험이 있다. ‘신속하게 움직이고 관행을 혁파하는’ 문화가 있는가? 아니라면 ‘적당한 속도로 움직이며 관행이 문제가 될 때 고치는가?’

이를 간접적으로 판단하는 방법이 하나 있다. 사이스(Scythe)의 설립자이자 CEO인 브리슨 보트는 <CSO>에 보내는 트위터 메시지에서 “유지관리에 얼마나 시간을 할애하는지, 그리고 새로운 것을 만드는데 얼마나 시간을 할애하는지”를 질문하라고 제안했다. 

새로운 것을 만드는 데 시간을 더 많이 쓰고 유지보수에 시간을 더 적게 쓴다면 이 조직은 보안을 우선시할 가능성이 작다. 이는 반드시 나쁜 것은 아니지만, 미숙한 보안 태세, 그리고 불가피한 위기 상황 시 경영진의 준비 결여를 의미할 수 있다.  

5. “보안팀을 ‘무조건 No’라고 하는 부서로 생각하는 건 아닌지요?”
그동안 대부분 조직은 무조건 금지하고 보는 낡은 보안 문화, 그리고 회사 내의 다른 사람들이 질색하며 새도우 IT로 넘어가는 경우가 흔한 불유쾌한 태도를 물려받았다. 이 ‘보안 괴짜’ 문화는 양호한 보안에 역효과를 가져오기 마련이다. 스스로 보안 괴짜가 되지 않으려는 것과 관계없이, 조직의 나머지 부분이 보안팀을 어떻게 바라보는지 안다면 경악할 수 있다.  

“보안 인식 프로그램에 관해 설명해줄 수 있는가?”라고 질문하라. 아무도 읽거나 기억하지 않은 슬라이드를 클릭하며 6개월마다 하는 가식적인 이벤트는 아닌지 알아야 한다. 아니라면 일반 직원이 보안에 대해 소유권과 책임을 갖도록 장려되는가? 

현재의 갈등이나 실망의 근원이 무엇인지를 파악하려고 노력하라. 보안 채용 책임자와 면접을 본다면 이들에게 “보안팀으로부터 들리는 가장 큰 불만이 무엇인가?”라고 질문하여 적절한 대답을 유도할 수 있다. 

대답이 ‘그 멍청한 이용자들’이라면 아마 그곳에서 일하지 않는 것이 좋을 것이다. 
 
6. “보안 예산은 어느 정도 됩니까?”
적정한 자원 없이 효과만 기대하는 곳에서 보안 직무를 하고 있다면 누구라도 좌절감을 느낄 것이다. 켈리는 <CSO>에 “보안 직무를 위한 예산이 얼마나 되는가?”를 질문하라고 조언했다. 이어서 그는 “보안 예산이 편성되어 있는지 확인하라. 이는 직무를 성공적으로 수행할 수 있게 해주고, 데이터 침해 사고에 대비할 수 있게 해준다. 보안 전략을 제안하고 이행할 수 있는 예산이 있는가?”를 질문하라고 말했다. 

어느 정도 예산이면 적당한 예산인가는 조직 및 위협 모델에 좌우된다. 예산 제약을 파악하는 또 다른 방법은 보안 채용 책임자에게 “밤에 잠을 이루지 못할 만큼 걱정스러운 것이 무엇인가?” 또는 “지난 12개월 동안 경험한 가장 어려운 문제는 무엇인가?”를 질문하는 것이다.

우수한 보안 전문가는 부족하고 수요는 많다. 다수의 입사 제안을 받았다면 잠재적인 고용주에게 정중하게 위와 같은 질문을 하며 회사의 보안 문화를 더 많이 알아내도록 하라. 싫어하는 일을 하면서 1년을 보내는 것보다 이를 피하는 것이 더 낫지 않을까? ciokr@idg.co.kr
 

X