2020.02.05

보안전문가가 준비해야 할 까다로운 면접 질문 10가지

Bob Violino | CSO
2020년에도 사이버 위협이 증가할 것으로 전망되는 가운데, 여전히 많은 조직이 사이버보안 전문 인력을 확보하는 데 어려움을 겪고 있다. 하지만 수요가 공급을 초과한다고 해서 보안 경력이 있는 누구나 수월하게 직장을 구할 수 있는 것은 아니다.
 
보안 임원과 고용 전문가들에게 면접 시 자주 묻는 까다로운 질문들을 물어봤다. 지원자들이 들을 수도 있는 질문 10가지와 면접관에게 긍정적인 인상을 남길 수 있는 답변 방법은 아래와 같다.  
 
ⓒGetty Images

Q1. 지금까지 담당했던 프로젝트 중 가장 자랑스럽게 생각하는 것은 무엇인가? 
사이버보안 분야 헤드헌팅 회사인 블랙미어 컨설팅의 CEO 도미니 클락은 이 질문을 통해 지원자가 가장 즐겁게 진행했던 프로젝트를 보여줄 수 있다고 답했다. 클락은 “이 질문은 지원자의 열의를 보기 위한 것이다. 지원자는 자신이 선호하는 것뿐만 아니라 개인적으로 만족스러운 성취라고 느낀 것을 드러낼 수 있다”라고 설명했다. 

예를 들어 한 정보보호 최고책임자(CISO)가 조직을 위해 개발한 보안 정책이 가장 자랑스러웠다고 답했다면, 자신이 배치한 제품이나 보안 아키텍처를 말한 CISO보다 보안 정책을 중요시하는 조직에 더 잘 어울릴 것이다. 

Q2. 현재 직장을 그만두려는 이유가 무엇인가? 
사이버보안 업계 리서치에 따르면 보안 임원의 재직 기간이 평균 2~4년이라고 히트러스트 얼라이언스(HITRUST Alliance)의 CISO 제이슨 토울은 밝혔다. 

토울은 “이전 회사에서의 재직 기간이 짧은 CISO라면, 그만둔 이유를 질문받았을 때 어떻게 대답해야 할까? 더 많은 급여나 수당이 이유라면, 그냥 그렇게 말해야 한다. 단, 과거에 이리저리 옮겨 다닌 이력이 없어야 한다. 이전 고용주가 보안 업무나 직위를 적절하게 존중해주지 않았기 때문이라면, 이것 역시 솔직하게 말하는 게 좋다”라고 말했다. 

이어서 그는 CISO들이 비윤리적, 불법적 행위에 참여하기 보다는 아예 회사를 떠나는 경우가 많아지고 있으며, 이전 고용주가 과도한 위험 부담을 요구했기 때문인 경우도 있다고 덧붙였다. 토울은 이러한 상황에 대해 답변할 때는 “외교적이고도 섬세한 언사가 필요한 순간이다. 자세한 상황을 밝히지 않되 무슨 일이 발생했든 간에 긍정적 측면을 강조하면서 답변하는 것이 좋다”라고 언급했다. 

Q3. 가장 큰 실패는 무엇이었고, 그 경험으로 무엇을 배웠는가? 
유능한 리더들은 여러 차례 실패했고, 그 실패를 통해 빠르게 학습하는 것을 배웠다고 클락은 강조했다. 그는 “현명한 사람들은 자신의 실패를 용기의 징표로 생각한다. 이 질문은 개인이 자신의 실패를 얼마나 편안하게 받아들이는가를 드러낸다. 아울러 위험을 견디는 능력, 실패로부터 배우고 회복하는 능력에 대한 확신, 압박 하에서의 전반적 사고 과정도 알 수 있다”라고 설명했다. 

또한 클락은 이 질문에 대답할 때 약간의 유머를 구사하면서도 진정성 있게 접근한다면 플러스 요인이 될 것이라고 덧붙였다. 

Q4. 지난 2년 동안 주도했던 가장 복잡한 보안 이니셔티브는 무엇인가? 
보안 임원은 복잡하고 압박이 심한 이니셔티브를 떠맡도록 요구받을지도 모른다. 이에 따라 면접관은 지원자가 업무를 감당할 능력과 어떻게 복잡성에 대처할 것인지를 알고 싶어 한다. 

클락은 “이는 복잡성에 대한 지원자의 관점을 이해할 수 있는 질문이다. 특히 크기와 범위 측면의 감당 능력을 이해할 수 있게 해준다. 5명으로 구성된 보안팀과 포춘 10대 기업의 보안팀 사이에서 이는 차이가 있을 것이다”라고 말했다. 

Q5. 어떻게 다양한 인력 풀을 구성해 조직의 니즈를 충족할 것인가? 
다양성은 소외되는 직원 계층이 참여하는 것 이상을 의미한다고 컨설팅 회사 이사이버 어드바이저리 그룹의 사장 빌 보니는 지적했다. 

“이것은 생각, 직무 기술, 직무 영역의 다양성을 의미하기도 한다. 제품과 서비스를 공급하는 방식을 변화시키지 않는다면, 조직의 니즈를 충족시키기에 충분한 사이버 애널리스트나 사이버 엔지니어를 육성하거나 고용할 수 없다”라고 그는 진단했다. 

보니는 다양한 인재 풀을 구성하는 데 단기적인 활동 또한 포함된다고 덧붙였다. 예를 들면 일하기 좋은 직장을 만드는 등이다.  
 
 



2020.02.05

보안전문가가 준비해야 할 까다로운 면접 질문 10가지

Bob Violino | CSO
2020년에도 사이버 위협이 증가할 것으로 전망되는 가운데, 여전히 많은 조직이 사이버보안 전문 인력을 확보하는 데 어려움을 겪고 있다. 하지만 수요가 공급을 초과한다고 해서 보안 경력이 있는 누구나 수월하게 직장을 구할 수 있는 것은 아니다.
 
보안 임원과 고용 전문가들에게 면접 시 자주 묻는 까다로운 질문들을 물어봤다. 지원자들이 들을 수도 있는 질문 10가지와 면접관에게 긍정적인 인상을 남길 수 있는 답변 방법은 아래와 같다.  
 
ⓒGetty Images

Q1. 지금까지 담당했던 프로젝트 중 가장 자랑스럽게 생각하는 것은 무엇인가? 
사이버보안 분야 헤드헌팅 회사인 블랙미어 컨설팅의 CEO 도미니 클락은 이 질문을 통해 지원자가 가장 즐겁게 진행했던 프로젝트를 보여줄 수 있다고 답했다. 클락은 “이 질문은 지원자의 열의를 보기 위한 것이다. 지원자는 자신이 선호하는 것뿐만 아니라 개인적으로 만족스러운 성취라고 느낀 것을 드러낼 수 있다”라고 설명했다. 

예를 들어 한 정보보호 최고책임자(CISO)가 조직을 위해 개발한 보안 정책이 가장 자랑스러웠다고 답했다면, 자신이 배치한 제품이나 보안 아키텍처를 말한 CISO보다 보안 정책을 중요시하는 조직에 더 잘 어울릴 것이다. 

Q2. 현재 직장을 그만두려는 이유가 무엇인가? 
사이버보안 업계 리서치에 따르면 보안 임원의 재직 기간이 평균 2~4년이라고 히트러스트 얼라이언스(HITRUST Alliance)의 CISO 제이슨 토울은 밝혔다. 

토울은 “이전 회사에서의 재직 기간이 짧은 CISO라면, 그만둔 이유를 질문받았을 때 어떻게 대답해야 할까? 더 많은 급여나 수당이 이유라면, 그냥 그렇게 말해야 한다. 단, 과거에 이리저리 옮겨 다닌 이력이 없어야 한다. 이전 고용주가 보안 업무나 직위를 적절하게 존중해주지 않았기 때문이라면, 이것 역시 솔직하게 말하는 게 좋다”라고 말했다. 

이어서 그는 CISO들이 비윤리적, 불법적 행위에 참여하기 보다는 아예 회사를 떠나는 경우가 많아지고 있으며, 이전 고용주가 과도한 위험 부담을 요구했기 때문인 경우도 있다고 덧붙였다. 토울은 이러한 상황에 대해 답변할 때는 “외교적이고도 섬세한 언사가 필요한 순간이다. 자세한 상황을 밝히지 않되 무슨 일이 발생했든 간에 긍정적 측면을 강조하면서 답변하는 것이 좋다”라고 언급했다. 

Q3. 가장 큰 실패는 무엇이었고, 그 경험으로 무엇을 배웠는가? 
유능한 리더들은 여러 차례 실패했고, 그 실패를 통해 빠르게 학습하는 것을 배웠다고 클락은 강조했다. 그는 “현명한 사람들은 자신의 실패를 용기의 징표로 생각한다. 이 질문은 개인이 자신의 실패를 얼마나 편안하게 받아들이는가를 드러낸다. 아울러 위험을 견디는 능력, 실패로부터 배우고 회복하는 능력에 대한 확신, 압박 하에서의 전반적 사고 과정도 알 수 있다”라고 설명했다. 

또한 클락은 이 질문에 대답할 때 약간의 유머를 구사하면서도 진정성 있게 접근한다면 플러스 요인이 될 것이라고 덧붙였다. 

Q4. 지난 2년 동안 주도했던 가장 복잡한 보안 이니셔티브는 무엇인가? 
보안 임원은 복잡하고 압박이 심한 이니셔티브를 떠맡도록 요구받을지도 모른다. 이에 따라 면접관은 지원자가 업무를 감당할 능력과 어떻게 복잡성에 대처할 것인지를 알고 싶어 한다. 

클락은 “이는 복잡성에 대한 지원자의 관점을 이해할 수 있는 질문이다. 특히 크기와 범위 측면의 감당 능력을 이해할 수 있게 해준다. 5명으로 구성된 보안팀과 포춘 10대 기업의 보안팀 사이에서 이는 차이가 있을 것이다”라고 말했다. 

Q5. 어떻게 다양한 인력 풀을 구성해 조직의 니즈를 충족할 것인가? 
다양성은 소외되는 직원 계층이 참여하는 것 이상을 의미한다고 컨설팅 회사 이사이버 어드바이저리 그룹의 사장 빌 보니는 지적했다. 

“이것은 생각, 직무 기술, 직무 영역의 다양성을 의미하기도 한다. 제품과 서비스를 공급하는 방식을 변화시키지 않는다면, 조직의 니즈를 충족시키기에 충분한 사이버 애널리스트나 사이버 엔지니어를 육성하거나 고용할 수 없다”라고 그는 진단했다. 

보니는 다양한 인재 풀을 구성하는 데 단기적인 활동 또한 포함된다고 덧붙였다. 예를 들면 일하기 좋은 직장을 만드는 등이다.  
 
 

X