다음의 8가지 질문을 건넨다면 지원자가 보안 애널리스트 직무에 필요한 역량과 특성을 갖추고 있는지 파악할 수 있을 것이다.
보안 애널리스트 직무에 지원한 후보자를 인터뷰하고 있다. 한 명은 공식적인 기술 관련 경력이 없는 역사 전공자다.
다른 한 명은 사이버 보안에 중점을 둔 컴퓨터 공학 분야에서 고급 학위를 취득했다. 또 침투 테스트와 보안 운영센터에서 10년의 경력을 가지고 있다.
어떤 사람을 채용할까?
美 보안 교육 업체 ‘인포섹(InfoSec)’의 수석 보안 연구원 키트론 에반스는 전자(경력 없는 역사 전공자)를 채용했다고 밝혔다.
그는 적합한 질문을 통해 (해당 후보자에게서) 보안 애널리스트에게 가장 필요한 자질(문제 해결 능력, 호기심, 배우고자 하는 열망, 사이버 보안 분야에 관한 열정 등)을 봤기 때문이라고 설명했다.
한편 보안 애널리스트를 찾는 수요가 그 어느 때보다 높다. 이러한 추세는 앞으로도 계속될 전망이다. 美 노동 통계청(Bureau of Labor Statistics)에 따르면 보안 애널리스트 채용은 2019년부터 2029년까지 31% 증가할 것으로 예상된다.
다음은 보안 애널리스트를 성공적으로 채용할 수 있도록 하는 데 도움이 되는 인터뷰 질문 8가지다.
1. TCP란 무엇인가?
‘소켓 연결 설정(3-way handshake)’이나 ‘TCP 통신 표준’ 같은 주제에 대해 이야기하는 방식은 해당 지원자가 보안의 기본적인 사항을 얼마나 잘 이해하고 있는지 드러낸다.
에반스에 따르면 경력이 없었던 (역사 전공) 후보자가 교과서뿐만 아니라 실제 컴퓨팅 환경에서 공부한 것처럼 TCP에 대해 이야기했다. 그는 “지원자 중에 경험은 가장 적었지만 TCP 같은 프로토콜을 직접 만든 것처럼 대답했다”라고 전했다.
넥서스 IT 그룹(Nexus IT Group)의 사이버 보안 부문 관리 책임자 트래비스 린데모엄은 다른 기본 사항으로 ▲대칭 암호화와 비대칭 암호화의 차이, ▲각 암호화를 가장 적합하게 사용할 수 있는 경우, ▲손상된 시스템을 나타내는 이상 징후, ▲중간자 공격(Man-in-the-middle attack)에 대처하는 방법 등을 꼽았다. 그는 “이러한 유형의 공격을 해결하기 위해 훈련받은 과정을 파악하는 것”이라고 말했다.
브룩스 컨설팅 인터내셔널(Brooks Consulting International)의 대표이자 조지타운 대학(Georgetown University)의 교수 척 브룩스는 NIST, SANS, MITRE 등 프레임워크를 잘 알고 있는 것도 ‘디테일’을 보여준다고 언급했다. 그는 “이런 프레임워크에는 기본적인 방어 및 위험 관리를 안내해주는 요소가 많다”라고 설명했다.
2. 이 데이터 침해를 어떻게 대처할 것인가?
하지만 에반스가 전자에게 깊은 인상을 받은 부분은 따로 있다. 이 지원자가 데이터 침해 대응에 관한 10가지 질문에 답해야 하는 기술 시나리오 문제를 해결했던 방법이었다.
해당 문제에는 작업을 할 수 있도록 클라우드 기반 실험실 환경에 연결된 컴퓨터와 최근 익스플로잇에 대한 최신 정보 등 필요한 자료를 조사할 수 있도록 인터넷에 연결된 컴퓨터 총 2대가 사용됐다.
그는 “해당 후보자는 조사용 컴퓨터를 능숙하게 활용했다. 반면에 경력이 더 많은 지원자는 이 컴퓨터에 손도 대지 않았다. 이로 인해 대부분이 패킷과 메모리 덤프를 조사해 대답해야 하는 마지막 2가지 질문을 놓쳤다”라고 지적했다.
또한 에반스는 후보자들에게 네트워크에서 작동할 수 있는 고정 IP를 가상 머신에 제공하도록 요구했다. 설명서를 읽어야 알 수 있는 지시였다.
그는 “한 후보자는 설명서의 지침을 따라야 한다는 걸 깨닫기까지 15분이 걸렸다”라면서, “SOC 작업 중에는 세부사항에 주의를 기울이고, 메모를 읽으며, 다른 애널리스트가 수집한 정보를 처리해야 하는 업무가 많다”라고 말했다.
3. 이 경고를 어떻게 분류할 것인가?
침해와 관련된 시나리오를 대화로 다룰 수도 있다. 이러한 상호작용적 접근법(대화)은 지원자가 어떻게 생각하고, 커뮤니케이션하며, 협력하는지 알려준다. 또 면접관은 면접을 진행하면서 후보자의 경험 수준에 맞춰 질문을 맞춤 조정할 수 있다.
사이버 보안 분야 커리어 및 리쿠르팅 업체 ‘사이버SN(CyberSN)’의 최고 보안 책임자 돔 글라바흐는 무엇보다 편안한 분위기를 조성하는 게 중요하다고 강조했다. 긴장한 사람은 파악하기 어려울 수 있기 때문이라는 설명이다.
따라서 글라바흐는 잘 알려진 솔라윈즈(SolarWinds) 공격와 같은 사례를 질문하면서 시작한다고 밝혔다. 그는 “만약 잘 모르더라도 솔라윈즈는 검색하는 데 몇 초밖에 걸리지 않는다”라고 말했다.
이 접근법은 현장 상황을 반영한다. 보안 애널리스트는 지금 알고 있는 지식이 아니라 위험을 신속하게 평가하고 해결 방법을 이야기할 수 있는 능력을 갖춰야 하기 때문이다.
그다음 글라바흐는 시나리오에 관한 다음과 같은 대화를 시작한다. “멋진 주말을 보내고 오늘은 월요일이다. 그런데 전날 밤 뉴욕과 샌프란시스코에서 5분 간격으로 이상한 로그인 경고가 발생했다. 심지어 그중 하나는 성공했다. 또 남부 사무실에서 코발트 스트라이크와 비콘을 감지했다. 이를 어떻게 분류해야 할까?”
나머지 대화는 SOC에서 동료 간 일어나는 일을 시뮬레이션한다고 그는 전했다. 이를테면 아이디어를 놓고 협력하고, 지식을 공유하며, 상황의 심각성을 평가하고, 해결을 위해 무엇을 해야 하는지 평가하는 등이다.
4. 새로운 위협 정보를 받은 후 가장 먼저 무엇을 할 것인가?
또 다른 시나리오 기반 접근법은 예를 들어 새로운 위협 정보를 입수하거나 시스템이나 장치에서 취약점을 새로 발견했을 때 취하는 첫 번째 조치 또는 묻게 되는 첫 번째 질문에 초점을 맞춘다.
GCI 커뮤니케이션(GCI Communication Corp)의 사이버 보안 담당 수석 책임자 피터 그레고리는 이에 관한 대답은 위협이 조직과 크게 관련돼 있는지에 중점을 둬야 한다고 말했다. 그는 “효과적인 자산 관리의 필요성을 지적해야 한다. 그래야 보안 애널리스트가 신속하게 답을 얻을 수 있다”라고 전했다.
지원자가 자산 관리를 잘 알지 못하더라도 자산 관리가 문제 해결에 얼마나 중요한지 인식하고 있음을 말해주는 대답이 나와야 한다고 그는 강조했다.
에반스는 데이터 침해로 특정 시스템이 손상됐을 때 무엇을 해야 하는지 질문하면서 ‘첫 번째 조치’를 파악한다고 밝혔다. 경험이 적은 후보자는 시스템을 끄고, 하드 드라이브 이미지를 만들 것을 제안할 수 있다.
반면에 경험이 많은 사람은 적절한 메모리 진단과 네트워크 패킷 분석을 통해 침해 원인을 확인하는 데 집중할 수 있다. 그는 “시스템을 끄는 건 기본적인 포렌식 기법이지만 사고 대응에 중점을 두고 있지 않다”라고 설명했다.
그에 따르면 적절한 사고 대응 정책에 맞추는 게 중요하다고 강조하는 것도 좋은 대답이다. 또는 핵심 시스템 및 장치의 위치를 보여주는 정확한 네트워크 다이어그램이 필요하다는 대답도 좋다. 에반스는 “사고 대응에서는 사고를 봉쇄(억제)하는 것이 큰 부분을 차지한다. 그러나 환경의 경계를 모르면 이런 봉쇄가 불가능하다”라고 말했다.
5. 사이버 보안은 업무인가? 아니면 라이프스타일인가?
사이버 보안의 인재는 업무 시간에만 여기에 관심을 두지 않는다. 일상을 지배할 정도로 열정을 갖고 있다. 린데모엄은 이를 파악하기 위해 지원자의 홈 네트워크 설정을 질문한다고 밝혔다.
그는 “WPA2와 WPA, WEP 가운데 무엇을 사용하는지 묻는다. 손님이 무선 네트워크를 사용할 경우를 위해 별도의 네트워크를 설정했는지 여부를 묻는다. 아주 단순한 것이지만 이들이 일상에서 보안에 대해 어떻게 생각하는지 알 수 있다”라고 전했다.
또한 가장 참석하고 싶은 사이버보안 컨퍼런스와 참석하고 싶은 이유를 묻는다고 그는 덧붙였다. 린데모엄은 “유명 컨퍼런스를 언급하는 대신, 자신이 관심을 가지고 있는 틈새 분야나 열정을 가진 분야의 컨퍼런스에 대해 언급하는 사람들을 볼 수 있다”라고 말했다.
글라바흐는 CTF(Capture-the-flag) 및 기타 사이버 칼리스테닉(Calisthenics) 활동에 참여하는 것도 또 다른 좋은 바로미터라고 언급했다. 이런 프로그램은 무료이기 때문에 돈이 드는 자격증보다 열정을 더 잘 드러낸다는 설명이다.
그는 “후보자가 자격증은 없지만 데프콘 CTF나 SASN 할러데이 핵 같은 CTF에 참여하고 있다면 이 사람은 사이버 보안에 아주 열정적이라는 의미다. 호기심이 많고 자신이 원하는 분야에 크게 매진하고 있음을 알려준다”라고 설명했다.
또한 글라바흐는 사이버 보안의 공격 측면, 공격자 간 협력 필요성 등을 포함해 공격의 작동 방식에 대해 질문한다고 전했다. 그는 “방어하는 입장에서 좋아하는 공격, 자신이 읽은 것 중 가장 매료되는 공격에 대한 질문을 묻기 좋아한다. 누구나 궁금해하고, 호기심을 갖는 것이 있기 마련이다”라고 말했다.
6. ‘버즈워드’를 사용하지 않고 문장을 끝낼 수 있는가?
보안 애널리스트가 성공하기 위해서는 ‘2가지 언어’를 말할 수 있어야 한다. 기술적인 관점과 비즈니스 관점 모두에서 이야기를 할 수 있어야 한다는 의미다.
글라바흐는 “IT, 보안 관련 약어, 버즈워드를 사용하지 않고 비즈니스 부문 임원과 대화할 수 있어야 한다. 즉 비즈니스 용어로 표현할 수 있어야 한다”라고 강조했다.
CFO에게 자산 관리의 중요성을 설명한다고 해보자. 2가지 언어를 말할 수 있는 보안 애널리스트는 우리가 보유하고 있는 것을 알기만 하면 새로운 위협을 파악하는 시간을 줄이고 대신 비즈니스 보호에 더 많은 시간을 할애할 수 있다고 말할 것이다.
글라바흐는 (마치 일상적인 SOC 회의에서 동료와 대화하는 것처럼) 후보자에게 잘 알려진 공격에 관한 질문을 하면서 커뮤니케이션 능력을 평가한다. 이때 초점은 방어에 필요한 것을 이해하고 있는지다.
그다음 기술에 대해 잘 모르는 비즈니스 부문 사람을 대상으로 인식을 높이기 위해 어떤 식으로 같은 정보를 설명할지 묻는다. 그러면 ‘크리덴셜 스터핑’이나 ‘정찰’ 같은 단어를 사용하지 않는 대화가 된다.
그에 따르면 또 다른 방법은 회사 정책에 위배되지만 고위 임원이 집에서 사용하는 장치를 기업 네트워크에 설치하도록 요청했을 때 어떻게 대응할지 묻는 것이다.
글라바흐는 “‘외교적’인 대답을 추구한다. 임원에게 필요한 것을 제공하려 노력하면서도 동시에 정책에 위배되지 않고 기업을 외부 위험에 노출시키지 않는 ‘윈-윈’인 해결책을 제시하는 대답을 찾는다”라고 말했다.
7. 보안 분야의 AI에 관한 생각은?
방어와 공격 측면 모두, 위협 지형은 계속 변하고, 새로운 기술들도 계속 등장한다. 이런 점을 감안했을 때, 보안 애널리스트는 호기심을 가져야 하고, 항상 더 많은 것을 배워야 한다.
브룩스는 “사람들은 전문 개발자나 IT에 깊이 몰입한 사람들이 필요하다는 생각을 한다. 그러나 이는 사이버 보안 분야의 초점이 아니다. 이는 다양하고 다각적인 양상을 가진 분야이기 때문이다. 학습할 수 있는 사람을 구해야 한다. 위협이 계속 변하기 때문이다”라고 강조했다.
브룩스는 지원자에게 인공지능에 대해 알고 있는 것 그리고 이를 다크웹과 위협 탐지 자동화에 활용하는 방법을 물어보라고 조언했다.
그는 “방어를 강화하고 위협이 무엇인지 이해하기 위해 사이버 방어 태세가 무엇을 의미하는지 기초적인 이해가 있는 사람을 찾는다. 현재 AI는 아주 큰 역할을 한다. 이를 활용할 것이기 때문에 이해하고 있어야 한다”라고 설명했다.
8. ‘콜로니얼 파이프라인(Colonial Pipeline)’ 공격을 어떻게 대처했을 것인가?
사이버 보안은 과학인 동시에 예술이다. 현재 상태에 얽매이지 않는 창의적 사고를 하는 사람이 유능한 인재인 이유다.
혁신 수준을 평가하는 좋은 방법은 후보자가 잘 알려진 공격과 동일한 상황에 직면했을 때 어떻게 다르게 대처했을지 물어보는 것이다. 글라바흐는 “이들의 아이디어가 얼마나 혁신적인지 알 수 있는 방법”이라고 말했다.