2021.03.02

“보안은 ‘직원’에서 시작된다”··· 지원자 '백그라운드 체크' 하우투

John Edwards | CSO
기업의 사이버보안은 ‘신뢰할 수 있는 직원’에서 시작된다. 현재와 미래의 직원들이 비밀을 숨기고 있진 않은지 확인하는 방법을 살펴본다. 

보안팀 구성원은 기업의 사이버 자산을 방어하는 핵심 요소다. 따라서 현재 일하고 있는 보안팀 직원은 물론이고 앞으로 채용할 신입직원을 대상으로 필수 시스템과 데이터를 위험에 처하게 할 만한 문제가 있는지 확인하는 건 중요하다. 
 
ⓒGetty Images

안타깝게도, 철저한 ‘배경 조사(Background Checks)’는 쉽지도 않고 간단하지도 않다. 당사자가 이에 동의하더라도 직원 및 지원자에 대한 부당한 뒷조사나 채용 관행을 막는 보호 규정 때문에 한 사람의 개인사와 학력, 이력 등을 캐는 일은 어렵다. 

하지만 적절한 질문을 던지고 현재 사용할 수 있는 몇 가지 도구를 활용한다면 잠재적으로 기업의 사이버보안을 위태롭게 할 가능성이 있는 사람을 잡아낼 수 있을 것이다. 

면접 과정에서 파악해야 할 것
면접을 하면서 아래와 같은 질문을 던져 답변을 듣거나 확인해야 한다. 

• 보안에 영향을 미쳤을 수도 있는 행동을 한 적 있는가? 
배경 조사의 목적은 단순하다. 한 개인이 어느 정도 믿을 만한지 평가하는 것이다. 대상자의 무결성이 확실하게 검증된 후에야 시설과 시스템, 민감한 정보에 관한 접근권을 부여할 수 있어서다. 그러므로 기업이나 시스템 또는 데이터 보안에 영향을 미쳤을 수도 있는 행동을 의도적으로든 혹은 우발적으로든 한 적이 있는지 물어보는 게 좋다. 

美연방인사관리처 전 처장직무대행이자 렉시스넥시스 리스크 솔루션즈(LexisNexis Risk Solutions)의 전략 연방 솔루션 디렉터 짐 오누스코는 “지원자 또는 직원이 사안을 완전히 밝히지 않거나 아니면 추궁당하고 나서야 토로하는 경우 해당 지원자나 직원의 분별력, 신뢰성에 의구심이 생기게 된다”라면서, “불리한 정보를 고의로 누락했거나 보고 규정을 준수하지 않은 경우에 특히 그렇다”고 말했다.

• 입증된 행동 역량이 있는가?
보안팀에 합류하는 데 필요한 행동 역량(behavioral skills)을 보유하고 있는지 여부는 강력한 신뢰성 지표다. 회계 및 비즈니스 자문 회사 아이즈너앰퍼(EisnerAmper)의 대표 리제 스튜어트는 “직원들이 원격에서 독립적으로 일할 때도 해당 조직의 문화와 기대에 부합하는 행동을 보여줘야 한다. 그렇지 않으면 결국 팀 내에서 골칫거리이자 의욕을 꺾는 요소가 될 것”이라고 지적했다.  

이어서 그는 현재 및 예비 보안팀 직원의 배경을 확인할 때 현재 및 과거 동료가 어떻게 평가하는지 알아보는 게 좋다고 그는 덧붙였다. 스튜어트에 따르면 관리직 및 동료와 잘 지내는 사람은 (그렇지 않은) 외톨이나 불평분자와 비교해 커뮤니케이션에 능하고 업무, 즉 엔터프라이즈 보안에 충실할 가능성이 훨씬 크다. 

그는 “특히, 첨단기술 분야에서 직원을 채용할 때 흔하게 저지르는 실수는 지원자의 기술 역량에만 치중하는 것”이라면서, “실제로 기술적 역량이 아니라 행동 때문에 직원을 해고하는 경우가 많다. 기술적 역량은 대부분 가르칠 수 있다”라고 설명했다. 

• 보안 문제를 처리하는 방식이 어떠한가?
보안 모니터링 및 관리업체 RAS 워치(RAS Watch)의 CEO 라이언 스콘펠드는 “팀원들이 과거에 보안 문제를 어떻게 접근했는지 확인해야 한다. 이를테면 전통적인 방식에 치중하는지, 아니면 좀 더 현대적인 방식을 추구하는지다. 이를 채용 과정에서 감안한다면 단순히 이력서에 기재된 내용을 넘어서 지원자가 어떤 사람인지 알 수 있다”라고 전했다. 

해서는 안 되는 질문
스튜어트는 “그렇다고 해서 생활방식, 나이, 결혼 여부, 장애, 종교 등에 관해 질문해선 안 된다”라고 주의를 당부했다. 코로나19 팬데믹 기간 동안 재택근무를 계획 중인 여성을 대상으로 업무 시간 중에 자녀를 어떻게 할 것인지 묻는 잘못이 많이 저질러졌다. 

스튜어트에 따르면 “기업 입장에서는… 지원자의 가정환경을 걱정할 수 있을지도 모르겠지만 육아 계획 관련 질문은 선을 넘는 것이며 차별적인 행동으로 비칠 수 있다. 이 문제에 관해서는 ‘업무 시간 동안 이 역할을 수행할 때 지장을 주리라 예상되는 요소가 있는가?’라고 물어보는 편이 낫다.”

규정을 준수하는 배경 조사
기업은 현 직원이나 입사 지원자의 배경 조사를 시작하기에 앞서 적절한 절차를 따라야 한다. 예를 들면 배경 조사에서 소비자 신용 보고서 등의 자료를 활용할 가능성이 있다면 그 사실을 반드시 고지해야 한다. 

이때 고지는 별도의 서면 양식으로 당사자에게 제공돼야 한다. 일반적으로 모든 기업은 공정신용정보법(FCRA) 및 미국 고용평등기회위원회(EEOC) 요건 일체와 관련 주 규정을 반드시 준수해야 한다.

또한 기업은 배경 조사가 최대한 정확하게 이뤄질 수 있도록 만전을 기해야 한다. 채용 관련 배경 조사 업체 스카우트로직(ScoutLogic)의 CEO 데이빗 가르시아는 “형사 및 민사법원 기록과 같이 일반에 고용되는 문서를 조회하고, 이전 기업에서 고용 사실을 확인하며, 대학교에서 취득한 학위를 검증해야 한다는 뜻”이라고 언급했다. 

한편 현재와 미래의 보안팀 구성원을 더욱 더 자세히 알아보기 위해 소셜 미디어를 살펴보는 기업이 늘고 있다. 스콘펠드는 “이 프로세스가 공정하게 관리되고 적용되게끔 지침이 될 만한 기업 정책을 마련하는 게 중요하다”라고 조언했다. 

이 밖에 지문, 망막, 손 스캔, 안면 기하학 구조, 음성인식 등과 같은 생체정보 확인 기술은 대상자가 사용에 동의하는 한 허용된다(이러한 엄격한 보안 조치를 비밀번호 및 다른 ID 확인 방법과 함께 사용해 특정 수준의 엔터프라이즈 시스템 및 데이터 액세스를 제한할 수도 있다). 

효과적인 배경 조사를 위한 6단계
직원, 시스템, 장비 보호 전문 보안 회사 빌딩시큐리티(BuildingSecurity)의 창업주 조셉 페르디난도는 효과적인 배경 조사에는 다음과 같은 여섯 가지 단계가 있다고 밝혔다.

1. 평판 조회(Reference check): 개인 이력서에 기재된 모든 정보를 지원자가 제공한 정보원을 통해 확인한다.

2. 신원 확인(Identity confirmation): 개인 신원을 검증하고 기재한 기본 개인정보가 잘못되지 않았는지 확인한다. 출생증명서, 운전면허증, 여권 등의 공식 서류가 여기에서 사용될 수 있다.

3. 법원 기록 조회(Court record check): 법원 기록 확인을 통해 개인이 과거의 범법 행위를 숨기고 있지 않은지 확인한다.

4. 주소 확인(Address corroboration): 실제 주소를 밝히지 못하는 사람은 뭔가를 숨기려고 할 가능성이 높다. 주소 확인 시에는 해당 위치가 친구 또는 친척의 거주지이거나 돈을 내고 사용하는 우편물 배달지가 아닌 개인의 실제 집인지 확인하는 게 중요하다.

5. 학력사항 검증(Education verification): 학위, 졸업장, 자격증의 진위 여부는 물론 수강 과목, 성적, 우등 여부 등 기재 내용의 정확성을 확인한다.

6. 데이터베이스 조회(Database check): 국가별 및 전 세계 데이터베이스를 검색하면 한 개인이 사기 등의 범죄와 관련된 행동에 연루돼 있는지 확인할 수 있다. 또 대상자가 조직범죄에 연관돼 있는지 아니면 법률, 평판 또는 규정 준수 분야와 관련된 위험 요소가 있는지 확인할 수 있다.

오누스코는 보안팀 구성원이 믿을 만한지 확인하기 위해 이러한 리소스를 활용하는 것은 궁극적으로 CISO에게 달려있다고 전했다. 그는 “오늘날 디지털 세계에서 신분증을 확인하고 위조문서를 탐지하기 위해 최신 기술을 도입하는 것 그리고 디지털 공간에서의 의심스러운 행동을 식별하는 것은 매우 중요하다”라고 덧붙였다.
 
ciokr@idg.co.kr



2021.03.02

“보안은 ‘직원’에서 시작된다”··· 지원자 '백그라운드 체크' 하우투

John Edwards | CSO
기업의 사이버보안은 ‘신뢰할 수 있는 직원’에서 시작된다. 현재와 미래의 직원들이 비밀을 숨기고 있진 않은지 확인하는 방법을 살펴본다. 

보안팀 구성원은 기업의 사이버 자산을 방어하는 핵심 요소다. 따라서 현재 일하고 있는 보안팀 직원은 물론이고 앞으로 채용할 신입직원을 대상으로 필수 시스템과 데이터를 위험에 처하게 할 만한 문제가 있는지 확인하는 건 중요하다. 
 
ⓒGetty Images

안타깝게도, 철저한 ‘배경 조사(Background Checks)’는 쉽지도 않고 간단하지도 않다. 당사자가 이에 동의하더라도 직원 및 지원자에 대한 부당한 뒷조사나 채용 관행을 막는 보호 규정 때문에 한 사람의 개인사와 학력, 이력 등을 캐는 일은 어렵다. 

하지만 적절한 질문을 던지고 현재 사용할 수 있는 몇 가지 도구를 활용한다면 잠재적으로 기업의 사이버보안을 위태롭게 할 가능성이 있는 사람을 잡아낼 수 있을 것이다. 

면접 과정에서 파악해야 할 것
면접을 하면서 아래와 같은 질문을 던져 답변을 듣거나 확인해야 한다. 

• 보안에 영향을 미쳤을 수도 있는 행동을 한 적 있는가? 
배경 조사의 목적은 단순하다. 한 개인이 어느 정도 믿을 만한지 평가하는 것이다. 대상자의 무결성이 확실하게 검증된 후에야 시설과 시스템, 민감한 정보에 관한 접근권을 부여할 수 있어서다. 그러므로 기업이나 시스템 또는 데이터 보안에 영향을 미쳤을 수도 있는 행동을 의도적으로든 혹은 우발적으로든 한 적이 있는지 물어보는 게 좋다. 

美연방인사관리처 전 처장직무대행이자 렉시스넥시스 리스크 솔루션즈(LexisNexis Risk Solutions)의 전략 연방 솔루션 디렉터 짐 오누스코는 “지원자 또는 직원이 사안을 완전히 밝히지 않거나 아니면 추궁당하고 나서야 토로하는 경우 해당 지원자나 직원의 분별력, 신뢰성에 의구심이 생기게 된다”라면서, “불리한 정보를 고의로 누락했거나 보고 규정을 준수하지 않은 경우에 특히 그렇다”고 말했다.

• 입증된 행동 역량이 있는가?
보안팀에 합류하는 데 필요한 행동 역량(behavioral skills)을 보유하고 있는지 여부는 강력한 신뢰성 지표다. 회계 및 비즈니스 자문 회사 아이즈너앰퍼(EisnerAmper)의 대표 리제 스튜어트는 “직원들이 원격에서 독립적으로 일할 때도 해당 조직의 문화와 기대에 부합하는 행동을 보여줘야 한다. 그렇지 않으면 결국 팀 내에서 골칫거리이자 의욕을 꺾는 요소가 될 것”이라고 지적했다.  

이어서 그는 현재 및 예비 보안팀 직원의 배경을 확인할 때 현재 및 과거 동료가 어떻게 평가하는지 알아보는 게 좋다고 그는 덧붙였다. 스튜어트에 따르면 관리직 및 동료와 잘 지내는 사람은 (그렇지 않은) 외톨이나 불평분자와 비교해 커뮤니케이션에 능하고 업무, 즉 엔터프라이즈 보안에 충실할 가능성이 훨씬 크다. 

그는 “특히, 첨단기술 분야에서 직원을 채용할 때 흔하게 저지르는 실수는 지원자의 기술 역량에만 치중하는 것”이라면서, “실제로 기술적 역량이 아니라 행동 때문에 직원을 해고하는 경우가 많다. 기술적 역량은 대부분 가르칠 수 있다”라고 설명했다. 

• 보안 문제를 처리하는 방식이 어떠한가?
보안 모니터링 및 관리업체 RAS 워치(RAS Watch)의 CEO 라이언 스콘펠드는 “팀원들이 과거에 보안 문제를 어떻게 접근했는지 확인해야 한다. 이를테면 전통적인 방식에 치중하는지, 아니면 좀 더 현대적인 방식을 추구하는지다. 이를 채용 과정에서 감안한다면 단순히 이력서에 기재된 내용을 넘어서 지원자가 어떤 사람인지 알 수 있다”라고 전했다. 

해서는 안 되는 질문
스튜어트는 “그렇다고 해서 생활방식, 나이, 결혼 여부, 장애, 종교 등에 관해 질문해선 안 된다”라고 주의를 당부했다. 코로나19 팬데믹 기간 동안 재택근무를 계획 중인 여성을 대상으로 업무 시간 중에 자녀를 어떻게 할 것인지 묻는 잘못이 많이 저질러졌다. 

스튜어트에 따르면 “기업 입장에서는… 지원자의 가정환경을 걱정할 수 있을지도 모르겠지만 육아 계획 관련 질문은 선을 넘는 것이며 차별적인 행동으로 비칠 수 있다. 이 문제에 관해서는 ‘업무 시간 동안 이 역할을 수행할 때 지장을 주리라 예상되는 요소가 있는가?’라고 물어보는 편이 낫다.”

규정을 준수하는 배경 조사
기업은 현 직원이나 입사 지원자의 배경 조사를 시작하기에 앞서 적절한 절차를 따라야 한다. 예를 들면 배경 조사에서 소비자 신용 보고서 등의 자료를 활용할 가능성이 있다면 그 사실을 반드시 고지해야 한다. 

이때 고지는 별도의 서면 양식으로 당사자에게 제공돼야 한다. 일반적으로 모든 기업은 공정신용정보법(FCRA) 및 미국 고용평등기회위원회(EEOC) 요건 일체와 관련 주 규정을 반드시 준수해야 한다.

또한 기업은 배경 조사가 최대한 정확하게 이뤄질 수 있도록 만전을 기해야 한다. 채용 관련 배경 조사 업체 스카우트로직(ScoutLogic)의 CEO 데이빗 가르시아는 “형사 및 민사법원 기록과 같이 일반에 고용되는 문서를 조회하고, 이전 기업에서 고용 사실을 확인하며, 대학교에서 취득한 학위를 검증해야 한다는 뜻”이라고 언급했다. 

한편 현재와 미래의 보안팀 구성원을 더욱 더 자세히 알아보기 위해 소셜 미디어를 살펴보는 기업이 늘고 있다. 스콘펠드는 “이 프로세스가 공정하게 관리되고 적용되게끔 지침이 될 만한 기업 정책을 마련하는 게 중요하다”라고 조언했다. 

이 밖에 지문, 망막, 손 스캔, 안면 기하학 구조, 음성인식 등과 같은 생체정보 확인 기술은 대상자가 사용에 동의하는 한 허용된다(이러한 엄격한 보안 조치를 비밀번호 및 다른 ID 확인 방법과 함께 사용해 특정 수준의 엔터프라이즈 시스템 및 데이터 액세스를 제한할 수도 있다). 

효과적인 배경 조사를 위한 6단계
직원, 시스템, 장비 보호 전문 보안 회사 빌딩시큐리티(BuildingSecurity)의 창업주 조셉 페르디난도는 효과적인 배경 조사에는 다음과 같은 여섯 가지 단계가 있다고 밝혔다.

1. 평판 조회(Reference check): 개인 이력서에 기재된 모든 정보를 지원자가 제공한 정보원을 통해 확인한다.

2. 신원 확인(Identity confirmation): 개인 신원을 검증하고 기재한 기본 개인정보가 잘못되지 않았는지 확인한다. 출생증명서, 운전면허증, 여권 등의 공식 서류가 여기에서 사용될 수 있다.

3. 법원 기록 조회(Court record check): 법원 기록 확인을 통해 개인이 과거의 범법 행위를 숨기고 있지 않은지 확인한다.

4. 주소 확인(Address corroboration): 실제 주소를 밝히지 못하는 사람은 뭔가를 숨기려고 할 가능성이 높다. 주소 확인 시에는 해당 위치가 친구 또는 친척의 거주지이거나 돈을 내고 사용하는 우편물 배달지가 아닌 개인의 실제 집인지 확인하는 게 중요하다.

5. 학력사항 검증(Education verification): 학위, 졸업장, 자격증의 진위 여부는 물론 수강 과목, 성적, 우등 여부 등 기재 내용의 정확성을 확인한다.

6. 데이터베이스 조회(Database check): 국가별 및 전 세계 데이터베이스를 검색하면 한 개인이 사기 등의 범죄와 관련된 행동에 연루돼 있는지 확인할 수 있다. 또 대상자가 조직범죄에 연관돼 있는지 아니면 법률, 평판 또는 규정 준수 분야와 관련된 위험 요소가 있는지 확인할 수 있다.

오누스코는 보안팀 구성원이 믿을 만한지 확인하기 위해 이러한 리소스를 활용하는 것은 궁극적으로 CISO에게 달려있다고 전했다. 그는 “오늘날 디지털 세계에서 신분증을 확인하고 위조문서를 탐지하기 위해 최신 기술을 도입하는 것 그리고 디지털 공간에서의 의심스러운 행동을 식별하는 것은 매우 중요하다”라고 덧붙였다.
 
ciokr@idg.co.kr

X