2017.06.23

기술 이외에 보안 사고 대응 전문가에게 필요한 역량

Bob Violino | CSO
요즈음 사이버 보안 대응팀들은 조직을 겨냥한 정기적인 해킹 및 공격이 증가하면서 바쁜 나날을 보내고 있다. 보안 대응팀의 전문가 구성원들은 이런 공격을 시의적절하게 평가하고 대응할 수 있는 기술을 갖추고 있으며 조직의 피해를 최소화할 수 있다.



정보보안 인재채용 기업 레드버드(Redbud)의 사장 겸 공동 설립자 데비 헨리에 따르면, 사이버 보안 사고 대응 전문가에 대한 수요가 여전히 높다. 레드버드가 소개하는 일자리 3곳 중 2곳은 사고 대응 역할과 직간접적으로 관련되어 있다. 헨리는 “조직이 우리에게 연락을 취하면 일반적으로 자체적으로 자격을 갖춘 전문가를 찾는데 어려움을 겪고 있기 때문이다”고 설명했다.

헨리는 수요의 원인을 사이버 범죄 활동의 증가뿐 아니라 더 많은 조직이 필요를 인식하고 사이버 방어팀을 서둘러 충원하거나 꾸리고 있기 때문으로 분석했다. 헨리는 “2020년까지 전 세계적으로 사이버 보안 일자리 중 150만 개가 공석으로 남아 있을 것으로 예상되며 사고 대응 전문가도 상당수 필요할 것이다”며 “부족 현상이 심각하다”고 지적했다.

헨리에 따르면, 사고 관리 아웃소싱은 실현 가능성이 있는 보안 접근방식이다. 그녀는 “레드버드가 사고 대응 전문가에 대해 받은 요청에 따라 사고 대응 관리의 약 65%가 내부적으로 처리되는 것으로 보이기 때문에 분명 복합적인 상황이다”고 말했다.

기술력+경영 지식
양질의 사고 대응 전문가에게 필요한 기술은 인간적인 부분과 기술적인 부분 등 2개 그룹으로 분류할 수 있다. 헨리는 “기술인 부분이 뛰어날수록 더 나은 사고 대응 전문가라고 볼 수 있다”고 밝혔다.

요구되는 기술에는 기밀성, 진정성, 출입 관리, 프라이버시 등의 기본적인 보안 원칙, 보안 취약성, 물리적인 보안 문제, 프로토콜 설계 결함, 악성 코드, 이행 결함, 구성상 약점, 사용자 오류나 무관심 등에 대한 적절한 이해가 포함된다.

또한 대응 전문가는 사물인터넷(IoT), 위험 관리, 네트워크 프로토콜, 네트워크 애플리케이션 및 서비스, 악성코드, 프로그래밍 기술, 침입자 기법 등에 관해 알아야 한다.

대응팀의 리더 또는 구성원이 되는 IT보안 전문가가 우회적인 경로로 이런 직위에 도달하는 경우가 가끔 발생한다. 예를 들어, 포장된 제과 제빵 제공 기업 플라워스 푸즈(Flowers Foods)의 사고 관리 책임자 롭 셔먼은 유닉스 및 윈도우 운영체제 관리자가 되기 위해 공부하고 있었다.

마운트버넌나자렌대학교(Mt. Vernon Nazarene College)에서 비즈니스 행정 및 컴퓨터 공학을 전공하던 셔먼은 자신이 프로그래밍에 큰 관심이 없다는 사실을 발견하고는 학위를 중단했다. 이후 셔먼은 워싱턴대학교(Washington College)에서 경영학 학위를 취득하기로 하고 이후 2006년 금융 서비스 기업 GE 캐피탈(GE Capital)에서 컴퓨터 포렌식(Forensic) 조사관이라는 직업에 ‘빠졌다가’ 결국 최고 포렌식 조사관이 되었다.

셔먼은 여러 사고의 분석 및 복구 시 팀을 이끌고 디지털 포렌식 분석 및 전자 발견을 수행했다. 그는 이 직위에 있으면서 샹플랭대학교(Champlain College)에서 디지털 포렌식 경영 석사 학위를 취득했다.

셔먼은 “MBA와 함께 법학 과정, 준수성 과정, 디지털 포렌식 과정 등을 고려하고 있다면 이 과정이 바로 그런 과정이었다”고 이야기했다. 그는 잠재적인 고용주들에게 자신이 ‘단순한 관리자’가 아니라 기술 기여자라는 점을 보여주기 위해 두 번째 디지털 포렌식 공학 석사 학위를 취득했다.

셔먼은 “두 번째 석사 학위를 받으면서 많은 친구가 ‘두 번째 학위를 받는 이유’를 물었다. 또한 그로 인해 소득이 늘지 않을 것이라고도 말했다. 내가 두 번째 석사 학위를 취득한 이유는 돈이나 인지도 때문이 아니었다. 나 자신을 위한 것이었다”고 이야기했다.

셔먼은 IT분야에서 근무하면서 기술이 지속해서 변화하면서 6개월 전에는 새로웠던 것이 오늘은 구식이 돼버린다는 점을 배웠다. 그는 “사이버 보안은 이에 비할 바가 아닐 것”이라며 “항상 새로운 위협, 새로운 취약성, 새로운 위해의 조짐이 존재한다”고 강조했다.

분석적인 사고
셔먼은 어린 시절에 사물의 본질에 대한 호기심이 있었고 결국 그로 인해 분석적인 사고 능력을 갖추게 됐다고 말했다. 그는 직업 생활을 시작하면서도 호기심을 잃지 않았다. 그는 IT부서와 관리자들이 일하는 방식과 성과에 대해 궁금했다.

2011년, 그는 GE(General Electric)에 수석 사이버 조사관으로 입사했다. 거기에서 그는 사고 대응 시 정보를 계속 탐구해야 할 필요성에 대해 배웠다. 셔먼은 “이를 통해 디지털 포렌식뿐 아니라 사고 대응에 관한 나의 직업윤리가 정립되었다”고 말했다.

얼마 후 셔먼은 NASA의 GRC(Glenn Research Center)에 사고 대응 관리자로 입사했다. 거기에서 그의 팀은 내부 및 외부 위협을 담당했으며 보안 프로젝트도 지원했다. 그는 기술 분야에서 고위 임원으로 승진했으며 보안 전문가들 사이에서 ‘코치’로서 힘썼다고 전했다.

셔먼은 대응 관리자로서 고위급 임원을 위한 유의미한 지표를 수집했고 처리하는 위협에 대한 월간 ‘공백 분석’을 제공했다. 이 정보를 통해 그의 팀은 환경의 보안을 강화하여 NASA를 보호할 수 있었다. 2016년, 셔먼은 플라워 푸즈에 입사하여 보안 사고 관리를 감독했다.

셔먼이 일자리를 선택하는 가장 중요한 기준은 조직이 사이버 보안을 얼마나 중요하게 여기는지다. 그는 “경영진이 보안에 집중하지 않는다면 처음부터 싸움이 힘들어진다”고 밝혔다.

셔먼은 자신의 직업 생활 동안 사고 관리 역할 책임자가 되는 데 필요한 일을 했다. 그는 “직업 생활 초기부터 많은 기술에 관해 배웠고 내가 생각하는 ‘코칭 스타일’로 접어들었다”며 “나의 팀과 일할 때는 필요에 따라 주도하기도 하고 탐구하는 것이 중요하다고 생각한다”고 이야기했다.

셔먼은 예전에 소방관으로 근무한 적이 있으며 그 경력이 사고 대응 전문가가 되는 발판을 마련하는 계기가 됐다고 밝혔다. “나는 소방 기술을 활용해 사고 대응을 모방했다”고 그는 말했다. “소방관의 임무는 보호다. 소방관에게 보호는 화재 안전성 교육, 훈련, 새로운 도구에 대한 학습 등일 수 있다. 보호를 위한 사고 대응도 마찬가지라고 볼 수 있다. 스스로 생각하고 도구를 이용하며 사고 책임자를 보유하고 시의적절하게 대응하는 것이 모두 사고 대응에 포함된다.”

직업윤리
멘토들도 셔먼의 직업 생활에 크게 기여했다. 그중에는 컴퓨터 포렌식 및 소송 서비스 제공 기업 CWRA(Curtis W. Rose & Associates)의 소유자 커티스 로즈도 있었다. 셔먼은 “커티스가 다르게 생각하고 강력한 직업윤리를 수립하는 방법을 가르쳐 주었다”며 “그는 이유를 이해하는 방법에 대해 알려주었다. 컴퓨터에 무슨 일이 생기면 그 원인, 과정, 이유를 파악해야 한다”고 전했다.

셔먼에 따르면, 조사가 진행되면서 방향이 여러 번 바뀔 수 있기 때문에 로즈는 “시간이 지나면 다시 기본으로 돌아오게 된다”고 가르쳤다. 셔먼은 “개인적으로 디지털 포렌식/사고 대응에서 가장 중요한 것은 대화할 사람을 확보하는 것이다”고 강조했다.

셔먼은 현지 다른 학위 과정을 밟고 있지는 않지만 계속해서 배우고 있다. 예를 들어, 그는 포괄적인 보안 교육인 SANS 인스티튜트(Institute)의 과정을 수강하고 있다. 그는 “모르는 것은 모를 수밖에 없다고 생각한다”며 “그래서 사이버 보안 분야에서 여러 조직에 속해 있는 동료 및 친구와 깊은 관계를 유지하면서 계속해서 새로운 것을 배우고 있다”고 말했다.

셔먼은 직업 생활의 가장 큰 목표가 항상 타인을 보호하는 것이라고 밝혔다. 그는 “타인을 보호한다는 것은 타인의 데이터를 보호한다는 의미일 수 있다”며 “데이터를 보호한다는 것은 그들의 일자리 그리고 조직이나 기업의 이익을 보호한다는 의미일 수 있다. 앞으로도 다른 사람들이 따르고 싶은 더 나은 조사 책임자가 되는 것이 목표다”고 덧붙였다. ciokr@idg.co.kr
 

2017.06.23

기술 이외에 보안 사고 대응 전문가에게 필요한 역량

Bob Violino | CSO
요즈음 사이버 보안 대응팀들은 조직을 겨냥한 정기적인 해킹 및 공격이 증가하면서 바쁜 나날을 보내고 있다. 보안 대응팀의 전문가 구성원들은 이런 공격을 시의적절하게 평가하고 대응할 수 있는 기술을 갖추고 있으며 조직의 피해를 최소화할 수 있다.



정보보안 인재채용 기업 레드버드(Redbud)의 사장 겸 공동 설립자 데비 헨리에 따르면, 사이버 보안 사고 대응 전문가에 대한 수요가 여전히 높다. 레드버드가 소개하는 일자리 3곳 중 2곳은 사고 대응 역할과 직간접적으로 관련되어 있다. 헨리는 “조직이 우리에게 연락을 취하면 일반적으로 자체적으로 자격을 갖춘 전문가를 찾는데 어려움을 겪고 있기 때문이다”고 설명했다.

헨리는 수요의 원인을 사이버 범죄 활동의 증가뿐 아니라 더 많은 조직이 필요를 인식하고 사이버 방어팀을 서둘러 충원하거나 꾸리고 있기 때문으로 분석했다. 헨리는 “2020년까지 전 세계적으로 사이버 보안 일자리 중 150만 개가 공석으로 남아 있을 것으로 예상되며 사고 대응 전문가도 상당수 필요할 것이다”며 “부족 현상이 심각하다”고 지적했다.

헨리에 따르면, 사고 관리 아웃소싱은 실현 가능성이 있는 보안 접근방식이다. 그녀는 “레드버드가 사고 대응 전문가에 대해 받은 요청에 따라 사고 대응 관리의 약 65%가 내부적으로 처리되는 것으로 보이기 때문에 분명 복합적인 상황이다”고 말했다.

기술력+경영 지식
양질의 사고 대응 전문가에게 필요한 기술은 인간적인 부분과 기술적인 부분 등 2개 그룹으로 분류할 수 있다. 헨리는 “기술인 부분이 뛰어날수록 더 나은 사고 대응 전문가라고 볼 수 있다”고 밝혔다.

요구되는 기술에는 기밀성, 진정성, 출입 관리, 프라이버시 등의 기본적인 보안 원칙, 보안 취약성, 물리적인 보안 문제, 프로토콜 설계 결함, 악성 코드, 이행 결함, 구성상 약점, 사용자 오류나 무관심 등에 대한 적절한 이해가 포함된다.

또한 대응 전문가는 사물인터넷(IoT), 위험 관리, 네트워크 프로토콜, 네트워크 애플리케이션 및 서비스, 악성코드, 프로그래밍 기술, 침입자 기법 등에 관해 알아야 한다.

대응팀의 리더 또는 구성원이 되는 IT보안 전문가가 우회적인 경로로 이런 직위에 도달하는 경우가 가끔 발생한다. 예를 들어, 포장된 제과 제빵 제공 기업 플라워스 푸즈(Flowers Foods)의 사고 관리 책임자 롭 셔먼은 유닉스 및 윈도우 운영체제 관리자가 되기 위해 공부하고 있었다.

마운트버넌나자렌대학교(Mt. Vernon Nazarene College)에서 비즈니스 행정 및 컴퓨터 공학을 전공하던 셔먼은 자신이 프로그래밍에 큰 관심이 없다는 사실을 발견하고는 학위를 중단했다. 이후 셔먼은 워싱턴대학교(Washington College)에서 경영학 학위를 취득하기로 하고 이후 2006년 금융 서비스 기업 GE 캐피탈(GE Capital)에서 컴퓨터 포렌식(Forensic) 조사관이라는 직업에 ‘빠졌다가’ 결국 최고 포렌식 조사관이 되었다.

셔먼은 여러 사고의 분석 및 복구 시 팀을 이끌고 디지털 포렌식 분석 및 전자 발견을 수행했다. 그는 이 직위에 있으면서 샹플랭대학교(Champlain College)에서 디지털 포렌식 경영 석사 학위를 취득했다.

셔먼은 “MBA와 함께 법학 과정, 준수성 과정, 디지털 포렌식 과정 등을 고려하고 있다면 이 과정이 바로 그런 과정이었다”고 이야기했다. 그는 잠재적인 고용주들에게 자신이 ‘단순한 관리자’가 아니라 기술 기여자라는 점을 보여주기 위해 두 번째 디지털 포렌식 공학 석사 학위를 취득했다.

셔먼은 “두 번째 석사 학위를 받으면서 많은 친구가 ‘두 번째 학위를 받는 이유’를 물었다. 또한 그로 인해 소득이 늘지 않을 것이라고도 말했다. 내가 두 번째 석사 학위를 취득한 이유는 돈이나 인지도 때문이 아니었다. 나 자신을 위한 것이었다”고 이야기했다.

셔먼은 IT분야에서 근무하면서 기술이 지속해서 변화하면서 6개월 전에는 새로웠던 것이 오늘은 구식이 돼버린다는 점을 배웠다. 그는 “사이버 보안은 이에 비할 바가 아닐 것”이라며 “항상 새로운 위협, 새로운 취약성, 새로운 위해의 조짐이 존재한다”고 강조했다.

분석적인 사고
셔먼은 어린 시절에 사물의 본질에 대한 호기심이 있었고 결국 그로 인해 분석적인 사고 능력을 갖추게 됐다고 말했다. 그는 직업 생활을 시작하면서도 호기심을 잃지 않았다. 그는 IT부서와 관리자들이 일하는 방식과 성과에 대해 궁금했다.

2011년, 그는 GE(General Electric)에 수석 사이버 조사관으로 입사했다. 거기에서 그는 사고 대응 시 정보를 계속 탐구해야 할 필요성에 대해 배웠다. 셔먼은 “이를 통해 디지털 포렌식뿐 아니라 사고 대응에 관한 나의 직업윤리가 정립되었다”고 말했다.

얼마 후 셔먼은 NASA의 GRC(Glenn Research Center)에 사고 대응 관리자로 입사했다. 거기에서 그의 팀은 내부 및 외부 위협을 담당했으며 보안 프로젝트도 지원했다. 그는 기술 분야에서 고위 임원으로 승진했으며 보안 전문가들 사이에서 ‘코치’로서 힘썼다고 전했다.

셔먼은 대응 관리자로서 고위급 임원을 위한 유의미한 지표를 수집했고 처리하는 위협에 대한 월간 ‘공백 분석’을 제공했다. 이 정보를 통해 그의 팀은 환경의 보안을 강화하여 NASA를 보호할 수 있었다. 2016년, 셔먼은 플라워 푸즈에 입사하여 보안 사고 관리를 감독했다.

셔먼이 일자리를 선택하는 가장 중요한 기준은 조직이 사이버 보안을 얼마나 중요하게 여기는지다. 그는 “경영진이 보안에 집중하지 않는다면 처음부터 싸움이 힘들어진다”고 밝혔다.

셔먼은 자신의 직업 생활 동안 사고 관리 역할 책임자가 되는 데 필요한 일을 했다. 그는 “직업 생활 초기부터 많은 기술에 관해 배웠고 내가 생각하는 ‘코칭 스타일’로 접어들었다”며 “나의 팀과 일할 때는 필요에 따라 주도하기도 하고 탐구하는 것이 중요하다고 생각한다”고 이야기했다.

셔먼은 예전에 소방관으로 근무한 적이 있으며 그 경력이 사고 대응 전문가가 되는 발판을 마련하는 계기가 됐다고 밝혔다. “나는 소방 기술을 활용해 사고 대응을 모방했다”고 그는 말했다. “소방관의 임무는 보호다. 소방관에게 보호는 화재 안전성 교육, 훈련, 새로운 도구에 대한 학습 등일 수 있다. 보호를 위한 사고 대응도 마찬가지라고 볼 수 있다. 스스로 생각하고 도구를 이용하며 사고 책임자를 보유하고 시의적절하게 대응하는 것이 모두 사고 대응에 포함된다.”

직업윤리
멘토들도 셔먼의 직업 생활에 크게 기여했다. 그중에는 컴퓨터 포렌식 및 소송 서비스 제공 기업 CWRA(Curtis W. Rose & Associates)의 소유자 커티스 로즈도 있었다. 셔먼은 “커티스가 다르게 생각하고 강력한 직업윤리를 수립하는 방법을 가르쳐 주었다”며 “그는 이유를 이해하는 방법에 대해 알려주었다. 컴퓨터에 무슨 일이 생기면 그 원인, 과정, 이유를 파악해야 한다”고 전했다.

셔먼에 따르면, 조사가 진행되면서 방향이 여러 번 바뀔 수 있기 때문에 로즈는 “시간이 지나면 다시 기본으로 돌아오게 된다”고 가르쳤다. 셔먼은 “개인적으로 디지털 포렌식/사고 대응에서 가장 중요한 것은 대화할 사람을 확보하는 것이다”고 강조했다.

셔먼은 현지 다른 학위 과정을 밟고 있지는 않지만 계속해서 배우고 있다. 예를 들어, 그는 포괄적인 보안 교육인 SANS 인스티튜트(Institute)의 과정을 수강하고 있다. 그는 “모르는 것은 모를 수밖에 없다고 생각한다”며 “그래서 사이버 보안 분야에서 여러 조직에 속해 있는 동료 및 친구와 깊은 관계를 유지하면서 계속해서 새로운 것을 배우고 있다”고 말했다.

셔먼은 직업 생활의 가장 큰 목표가 항상 타인을 보호하는 것이라고 밝혔다. 그는 “타인을 보호한다는 것은 타인의 데이터를 보호한다는 의미일 수 있다”며 “데이터를 보호한다는 것은 그들의 일자리 그리고 조직이나 기업의 이익을 보호한다는 의미일 수 있다. 앞으로도 다른 사람들이 따르고 싶은 더 나은 조사 책임자가 되는 것이 목표다”고 덧붙였다. ciokr@idg.co.kr
 

X