다음의 8가지 질문을 건넨다면 지원자가 보안 애널리스트 직무에 필요한 역량과 특성을 갖추고 있는지 파악할 수 있을 것이다.
보안 애널리스트 직무에 지원한 후보자를 인터뷰하고 있다. 한 명은 공식적인 기술 관련 경력이 없는 역사 전공자다. 다른 한 명은 사이버 보안에 중점을 둔 컴퓨터 공학 분야에서 고급 학위를 취득했다. 또 침투 테스트와 보안 운영센터에서 10년의 경력을 가지고 있다.
어떤 사람을 채용할까?
美 보안 교육 업체 ‘인포섹(InfoSec)’의 수석 보안 연구원 키트론 에반스는 전자(경력 없는 역사 전공자)를 채용했다고 밝혔다. 그는 적합한 질문을 통해 (해당 후보자에게서) 보안 애널리스트에게 가장 필요한 자질(문제 해결 능력, 호기심, 배우고자 하는 열망, 사이버 보안 분야에 관한 열정 등)을 봤기 때문이라고 설명했다.
한편 보안 애널리스트를 찾는 수요가 그 어느 때보다 높다. 이러한 추세는 앞으로도 계속될 전망이다. 美 노동 통계청(Bureau of Labor Statistics)에 따르면 보안 애널리스트 채용은 2019년부터 2029년까지 31% 증가할 것으로 예상된다.
다음은 보안 애널리스트를 성공적으로 채용할 수 있도록 하는 데 도움이 되는 인터뷰 질문 8가지다.
1. TCP란 무엇인가?
‘소켓 연결 설정(3-way handshake)’이나 ‘TCP 통신 표준’ 같은 주제에 대해 이야기하는 방식은 해당 지원자가 보안의 기본적인 사항을 얼마나 잘 이해하고 있는지 드러낸다.
에반스에 따르면 경력이 없었던 (역사 전공) 후보자가 교과서뿐만 아니라 실제 컴퓨팅 환경에서 공부한 것처럼 TCP에 대해 이야기했다. 그는 “지원자 중에 경험은 가장 적었지만 TCP 같은 프로토콜을 직접 만든 것처럼 대답했다”라고 전했다.
넥서스 IT 그룹(Nexus IT Group)의 사이버 보안 부문 관리 책임자 트래비스 린데모엄은 다른 기본 사항으로 ▲대칭 암호화와 비대칭 암호화의 차이, ▲각 암호화를 가장 적합하게 사용할 수 있는 경우, ▲손상된 시스템을 나타내는 이상 징후, ▲중간자 공격(Man-in-the-middle attack)에 대처하는 방법 등을 꼽았다. 그는 “이러한 유형의 공격을 해결하기 위해 훈련받은 과정을 파악하는 것”이라고 말했다.
브룩스 컨설팅 인터내셔널(Brooks Consulting International)의 대표이자 조지타운 대학(Georgetown University)의 교수 척 브룩스는 NIST, SANS, MITRE 등 프레임워크를 잘 알고 있는 것도 ‘디테일’을 보여준다고 언급했다. 그는 “이런 프레임워크에는 기본적인 방어 및 위험 관리를 안내해주는 요소가 많다”라고 설명했다.
2. 이 데이터 침해를 어떻게 대처할 것인가?
하지만 에반스가 전자에게 깊은 인상을 받은 부분은 따로 있다. 이 지원자가 데이터 침해 대응에 관한 10가지 질문에 답해야 하는 기술 시나리오 문제를 해결했던 방법이었다.
해당 문제에는 작업을 할 수 있도록 클라우드 기반 실험실 환경에 연결된 컴퓨터와 최근 익스플로잇에 대한 최신 정보 등 필요한 자료를 조사할 수 있도록 인터넷에 연결된 컴퓨터 총 2대가 사용됐다.
그는 “해당 후보자는 조사용 컴퓨터를 능숙하게 활용했다. 반면에 경력이 더 많은 지원자는 이 컴퓨터에 손도 대지 않았다. 이로 인해 대부분이 패킷과 메모리 덤프를 조사해 대답해야 하는 마지막 2가지 질문을 놓쳤다”라고 지적했다.
또한 에반스는 후보자들에게 네트워크에서 작동할 수 있는 고정 IP를 가상 머신에 제공하도록 요구했다. 설명서를 읽어야 알 수 있는 지시였다.
그는 “한 후보자는 설명서의 지침을 따라야 한다는 걸 깨닫기까지 15분이 걸렸다”라면서, “SOC 작업 중에는 세부사항에 주의를 기울이고, 메모를 읽으며, 다른 애널리스트가 수집한 정보를 처리해야 하는 업무가 많다”라고 말했다.
3. 이 경고를 어떻게 분류할 것인가?
침해와 관련된 시나리오를 대화로 다룰 수도 있다. 이러한 상호작용적 접근법(대화)은 지원자가 어떻게 생각하고, 커뮤니케이션하며, 협력하는지 알려준다. 또 면접관은 면접을 진행하면서 후보자의 경험 수준에 맞춰 질문을 맞춤 조정할 수 있다.
사이버 보안 분야 커리어 및 리쿠르팅 업체 ‘사이버SN(CyberSN)’의 최고 보안 책임자 돔 글라바흐는 무엇보다 편안한 분위기를 조성하는 게 중요하다고 강조했다. 긴장한 사람은 파악하기 어려울 수 있기 때문이라는 설명이다.
따라서 글라바흐는 잘 알려진 솔라윈즈(SolarWinds) 공격와 같은 사례를 질문하면서 시작한다고 밝혔다. 그는 “만약 잘 모르더라도 솔라윈즈는 검색하는 데 몇 초밖에 걸리지 않는다”라고 말했다.
이 접근법은 현장 상황을 반영한다. 보안 애널리스트는 지금 알고 있는 지식이 아니라 위험을 신속하게 평가하고 해결 방법을 이야기할 수 있는 능력을 갖춰야 하기 때문이다.
그다음 글라바흐는 시나리오에 관한 다음과 같은 대화를 시작한다. “멋진 주말을 보내고 오늘은 월요일이다. 그런데 전날 밤 뉴욕과 샌프란시스코에서 5분 간격으로 이상한 로그인 경고가 발생했다. 심지어 그중 하나는 성공했다. 또 남부 사무실에서 코발트 스트라이크와 비콘을 감지했다. 이를 어떻게 분류해야 할까?”
나머지 대화는 SOC에서 동료 간 일어나는 일을 시뮬레이션한다고 그는 전했다. 이를테면 아이디어를 놓고 협력하고, 지식을 공유하며, 상황의 심각성을 평가하고, 해결을 위해 무엇을 해야 하는지 평가하는 등이다.
4. 새로운 위협 정보를 받은 후 가장 먼저 무엇을 할 것인가?
또 다른 시나리오 기반 접근법은 예를 들어 새로운 위협 정보를 입수하거나 시스템이나 장치에서 취약점을 새로 발견했을 때 취하는 첫 번째 조치 또는 묻게 되는 첫 번째 질문에 초점을 맞춘다.
GCI 커뮤니케이션(GCI Communication Corp)의 사이버 보안 담당 수석 책임자 피터 그레고리는 이에 관한 대답은 위협이 조직과 크게 관련돼 있는지에 중점을 둬야 한다고 말했다. 그는 “효과적인 자산 관리의 필요성을 지적해야 한다. 그래야 보안 애널리스트가 신속하게 답을 얻을 수 있다”라고 전했다.
지원자가 자산 관리를 잘 알지 못하더라도 자산 관리가 문제 해결에 얼마나 중요한지 인식하고 있음을 말해주는 대답이 나와야 한다고 그는 강조했다.
에반스는 데이터 침해로 특정 시스템이 손상됐을 때 무엇을 해야 하는지 질문하면서 ‘첫 번째 조치’를 파악한다고 밝혔다. 경험이 적은 후보자는 시스템을 끄고, 하드 드라이브 이미지를 만들 것을 제안할 수 있다.
반면에 경험이 많은 사람은 적절한 메모리 진단과 네트워크 패킷 분석을 통해 침해 원인을 확인하는 데 집중할 수 있다. 그는 “시스템을 끄는 건 기본적인 포렌식 기법이지만 사고 대응에 중점을 두고 있지 않다”라고 설명했다.
그에 따르면 적절한 사고 대응 정책에 맞추는 게 중요하다고 강조하는 것도 좋은 대답이다. 또는 핵심 시스템 및 장치의 위치를 보여주는 정확한 네트워크 다이어그램이 필요하다는 대답도 좋다. 에반스는 “사고 대응에서는 사고를 봉쇄(억제)하는 것이 큰 부분을 차지한다. 그러나 환경의 경계를 모르면 이런 봉쇄가 불가능하다”라고 말했다.
5. 사이버 보안은 업무인가? 아니면 라이프스타일인가?
사이버 보안의 인재는 업무 시간에만 여기에 관심을 두지 않는다. 일상을 지배할 정도로 열정을 갖고 있다. 린데모엄은 이를 파악하기 위해 지원자의 홈 네트워크 설정을 질문한다고 밝혔다.
그는 “WPA2와 WPA, WEP 가운데 무엇을 사용하는지 묻는다. 손님이 무선 네트워크를 사용할 경우를 위해 별도의 네트워크를 설정했는지 여부를 묻는다. 아주 단순한 것이지만 이들이 일상에서 보안에 대해 어떻게 생각하는지 알 수 있다”라고 전했다.
또한 가장 참석하고 싶은 사이버보안 컨퍼런스와 참석하고 싶은 이유를 묻는다고 그는 덧붙였다. 린데모엄은 “유명 컨퍼런스를 언급하는 대신, 자신이 관심을 가지고 있는 틈새 분야나 열정을 가진 분야의 컨퍼런스에 대해 언급하는 사람들을 볼 수 있다”라고 말했다.
글라바흐는 CTF(Capture-the-flag) 및 기타 사이버 칼리스테닉(Calisthenics) 활동에 참여하는 것도 또 다른 좋은 바로미터라고 언급했다. 이런 프로그램은 무료이기 때문에 돈이 드는 자격증보다 열정을 더 잘 드러낸다는 설명이다.
그는 “후보자가 자격증은 없지만 데프콘 CTF나 SASN 할러데이 핵 같은 CTF에 참여하고 있다면 이 사람은 사이버 보안에 아주 열정적이라는 의미다. 호기심이 많고 자신이 원하는 분야에 크게 매진하고 있음을 알려준다”라고 설명했다.
또한 글라바흐는 사이버 보안의 공격 측면, 공격자 간 협력 필요성 등을 포함해 공격의 작동 방식에 대해 질문한다고 전했다. 그는 “방어하는 입장에서 좋아하는 공격, 자신이 읽은 것 중 가장 매료되는 공격에 대한 질문을 묻기 좋아한다. 누구나 궁금해하고, 호기심을 갖는 것이 있기 마련이다”라고 말했다.
6. ‘버즈워드’를 사용하지 않고 문장을 끝낼 수 있는가?
보안 애널리스트가 성공하기 위해서는 ‘2가지 언어’를 말할 수 있어야 한다. 기술적인 관점과 비즈니스 관점 모두에서 이야기를 할 수 있어야 한다는 의미다. 글라바흐는 “IT, 보안 관련 약어, 버즈워드를 사용하지 않고 비즈니스 부문 임원과 대화할 수 있어야 한다. 즉 비즈니스 용어로 표현할 수 있어야 한다”라고 강조했다.
CFO에게 자산 관리의 중요성을 설명한다고 해보자. 2가지 언어를 말할 수 있는 보안 애널리스트는 우리가 보유하고 있는 것을 알기만 하면 새로운 위협을 파악하는 시간을 줄이고 대신 비즈니스 보호에 더 많은 시간을 할애할 수 있다고 말할 것이다.
글라바흐는 (마치 일상적인 SOC 회의에서 동료와 대화하는 것처럼) 후보자에게 잘 알려진 공격에 관한 질문을 하면서 커뮤니케이션 능력을 평가한다. 이때 초점은 방어에 필요한 것을 이해하고 있는지다.
그다음 기술에 대해 잘 모르는 비즈니스 부문 사람을 대상으로 인식을 높이기 위해 어떤 식으로 같은 정보를 설명할지 묻는다. 그러면 ‘크리덴셜 스터핑’이나 ‘정찰’ 같은 단어를 사용하지 않는 대화가 된다.
그에 따르면 또 다른 방법은 회사 정책에 위배되지만 고위 임원이 집에서 사용하는 장치를 기업 네트워크에 설치하도록 요청했을 때 어떻게 대응할지 묻는 것이다.
글라바흐는 “‘외교적’인 대답을 추구한다. 임원에게 필요한 것을 제공하려 노력하면서도 동시에 정책에 위배되지 않고 기업을 외부 위험에 노출시키지 않는 ‘윈-윈’인 해결책을 제시하는 대답을 찾는다”라고 말했다.
7. 보안 분야의 AI에 관한 생각은?
방어와 공격 측면 모두, 위협 지형은 계속 변하고, 새로운 기술들도 계속 등장한다. 이런 점을 감안했을 때, 보안 애널리스트는 호기심을 가져야 하고, 항상 더 많은 것을 배워야 한다.
브룩스는 “사람들은 전문 개발자나 IT에 깊이 몰입한 사람들이 필요하다는 생각을 한다. 그러나 이는 사이버 보안 분야의 초점이 아니다. 이는 다양하고 다각적인 양상을 가진 분야이기 때문이다. 학습할 수 있는 사람을 구해야 한다. 위협이 계속 변하기 때문이다”라고 강조했다.
브룩스는 지원자에게 인공지능에 대해 알고 있는 것 그리고 이를 다크웹과 위협 탐지 자동화에 활용하는 방법을 물어보라고 조언했다. 그는 “방어를 강화하고 위협이 무엇인지 이해하기 위해 사이버 방어 태세가 무엇을 의미하는지 기초적인 이해가 있는 사람을 찾는다. 현재 AI는 아주 큰 역할을 한다. 이를 활용할 것이기 때문에 이해하고 있어야 한다”라고 설명했다.
8. ‘콜로니얼 파이프라인(Colonial Pipeline)’ 공격을 어떻게 대처했을 것인가?
사이버 보안은 과학인 동시에 예술이다. 현재 상태에 얽매이지 않는 창의적 사고를 하는 사람이 유능한 인재인 이유다. 혁신 수준을 평가하는 좋은 방법은 후보자가 잘 알려진 공격과 동일한 상황에 직면했을 때 어떻게 다르게 대처했을지 물어보는 것이다. 글라바흐는 “이들의 아이디어가 얼마나 혁신적인지 알 수 있는 방법”이라고 말했다. ciokr@idg.co.kr
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다.
동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다.
무료 VPN, 정말 괜찮을까?
무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다.
보안 우려
대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다.
속도와 대역폭 제한
무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다.
서비스 제한
무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다.
광고 및 추적
일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다.
제한된 기능
무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다.
유료 VPN의 필요성
최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다.
그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다.
보안 강화
해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다.
개인 정보 보호
인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다.
지역 제한 해제
해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다.
빠르고 안전한 유료 VPN, 서프샤크 VPN
뛰어난 보안
서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다.
다양한 서버 위치
서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다.
속도와 대역폭
서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다.
다양한 플랫폼 지원
서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다.
디바이스 무제한 연결
서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.