지난 6월 3일부터 6월 5일까지 워싱턴DC에서 개최된 ‘가트너 시큐리티 서밋 2024(Gartner Security & Risk Management Summit 2024)에서 Sr Principal Analyst Alex Michaels(이하 알렉스)는 “How to Overcome the Cybersecurity Talent Crunch”를 주제로 강연했다.
알렉스는 강연에 앞서 ROTC 시절의 일화를 소개했다. “대학시절 ROTC 고참 교관 한 명이 떠오른다. 나는 생도 시절 지형 탐사를 위해 외딴 곳에 보내졌고 밤이 되면서 길을 잃었다. 결국 정해진 시간에 돌아오지 못했고 결국 머리를 숙이고 말았다.” 이때 고참 교관의 선택권은 두가지였다면서 “나를 조롱하고 웃음거리로 만들거나, 따뜻하게 맞아주고 적절한 조언을 해주거나 였는데, 그는 후자를 선택했고 그 덕분에 그를 본받게 됐다.”고 말했다. 아울러 강연에 참여한 모든 분들이 훌륭한 리더를 본받고 좋은 점은 취하고 나쁜 점은 버려 더 좋은 리더로 거듭나기를 기대한다면서 강연을 시작했다.
알렉스는 “최근 몇 년간 사이버 보안인재 수요도 증가했지만 보안인재 공급 문제도 발생했다면서, 대부분의 인재 부족 원인은 통제 불가능한 요인들이기 때문에 최고보안책임자 또는 보안 운영 조직은 통제할 수 있는 범위 내에서 최선을 다해 대응하는 것이 중요하다.”고 전달했다. 예를 들어 통제 불가능한 요인이란 제한적인 예산, 원하는 급여에 대한 기대치 등이다. 이를 다시한번 언급한 이유는 현실 상황을 직시하고 인식해야지만 하며, 절대로 통제 불가능한 요인에 불필요하게 힘을 쏟다가 더 중요한 보안 인재를 잃지 말자라는 의미를 담는다. 아주 중요한 포인트이다.
알렉스가 강연한 “인재 관리 생애 주기”의 네가지 단계는 다음과 같다.
1. 채용 단계 (Recruit) - 적합한 인재를 어떻게 데려올 것인가?
2. 업그레이드 단계 (Renew) - 팀원의 스킬 업그레이드와 유사 경험을 보유한 인재를 어떻게 팀에 데려올 것인가?
3. 고용 유지 단계 (Retain) - 고용 유지율을 어떻게 유지할 것인가?
4. 보내주거나 변경 단계 (Release) - 통제 불가능한 해고는 어떻게 관리되어야 하는가?
◆첫 번째, 채용 단계 (Recruit)
조직이 극복해야 할 오해에 대해 “기술적 전문성을 중시하는 채용이다. 공고와 관련된 직무 설명서를 보면 가장 먼저 보이는 것이 무수히 많은 자격증과 기술 경험 목록이다. 이 부분이 잘못된 부분이다. 이제 역할에 맞는 특성과 역량을 갖춘 인재를 채용해야 한다. 즉, 오래된 관습처럼 성공적인 인재상을 그대로 복사해 직무 설명서를 작성하지 말아야 한다.”고 설명했다. 또한 보안 업무를 하는 조직에 입사한 적이 없는 인재를 인터뷰하면서, 보안 경험을 요구하는 것은 비효율적이라고 언급했다, 더불어 진보적인 보안 리더들은 다음 세가지 주요 활동을 통해 새로운 인재를 발굴한다고. 밝혔다.
▶대학과의 협력으로 인턴십을 통해 새로운 인재 모집
▶성별, 인종, 연령대 등의 폭넓은 인재 풀의 다양화
▶업무와 관련된 자격증 이외에, 다면적인 평가 항목 추가
이어서 보안인재 채용 이후, 기업의 온보딩 프로세스는 필수 절차임을 강조했다.
다음 그림은 온보딩 프로세스 만족도에 따른 설문 내용이다.
◆두 번째, 업그레이드 단계 (Renew)
보안 인재를 어떻게 교육하고, 추가 발굴할 수 있는지에 대한 주제이다. “기업이 중점을 두어야 할 사항은 꼭 기술적이거나 전술적인 접근에서 벗어나야 될 필요성도 있다.”고 말하면서 민첩성, 대인 관계 기술, 문제 해결 능력 등을 보안 인재들이 갖출 수 있도록 여러가지 프로그램을 고려해야 된다고 덧붙였다.
알렉스는 이 프레젠테이션을 다른 컨퍼런스에 공유했을 때의 사례를 언급하는데, “한 사이버 보안 리더는 실제로 간호사를 고용했다. 간호사는 의외로 사이버 보안 팀에서 문제 해결 능력, 근본 원인 분석 능력, 패턴 식별 능력이 뛰어났고, 이는 보안 운영 센터 인재가 갖고 있어야 될 자질이었기 때문에 성공적인 채용이었다”고 말했다.
그러면서 조직 내 인재 발굴을 위한 범위는 “인사, 재무, 마케팅, 법무 등 다양한 부서에서 인재를 찾을 수 있다.”고 말했으며, “조직 변화 관리, 경제적 사이버 심리학, 기본 심리학 등을 이해하는 사람들이 조직의 훌륭한 보안 인재가 될 수 있다.”고 전달했다.
알렉스가 전달하고자 했던 의미는 기술 또는 전술적 접근이 아니라, 보안 인재가 갖춰야 될 자질을 교육하거나 이런 역량을 갖는 인재를 조직내에서 찾을 수 있다는 것이다.
◆고용 유지 단계 (Retain)
이 단계에서는 직원 가치 제안(Employee Value Proposition) 그리고 보상과 혜택에 대한 부분을 언급했다.
먼저 직원 가치 제안은 회사가 구성원에게 제공할 수 있는 가치를 말한다. 직원들이 회사에 계속 머무를 수 있도록 가능성을 높이는 직원 가치 제안에 대해 다음과 같은 사항을 언급했다.
제공할 수 있는 근무지의 지리적 위치
▶조직이 구성원에게 보여주는 존경의 정도
▶리더에 대한 구성원의 만족도
▶보상
▶제공되는 교육 및 훈련의 가치
아울러 인재 개발 및 유지를 위해 다른 조직들이 하고 있는 일들을 소개하면서, 이 모든 것들이 필수적이지는 않지만 조직은 고려할 필요가 있다고 설명했다.
▶멘토링 프로그램
▶자격증 취득을 위한 훈련 제공
▶시험 비용 지원
▶기술 습득을 위한 교육 과정
알렉스는 온보딩 프로세스의 중요성에 대해, 보안인재 유지 단계에서도 다시한번 언급했는데 그만큼 중요한 절차임을 강조했다.
“조직에서 첫 날을 기억하는 사람이 있는지? 첫 날의 느낌은 어땠는지? 멘토는 있었는지? 몇 가지 질문을 하면서 첫 90일간의 온보딩이 제대로 이루어진다면 팀원과 동료는 같은 생각을 할 가능성이 높아지고, 조직에서 긴 경력을 이어갈 가능성 또한 높아진다.”고 말하면서 많은 부분이 온보딩 프로세스와 관련되어 있음을 다시한번 안내했다.
◆보내주거나, 변경 단계 (Release)
마지막으로 “보내주거나, 변경 단계”에서는 직원 가치 제안에 대한 피드백과 퇴직 인터뷰에 대해 설명했다.
퇴직 인터뷰를 통해 구성원이 조직을 떠날 때 제공하는 피드백을 수집할 수 있는 중요한 기회라면서 “이를 통해 조직의 개선점을 식별하고, 향후 인재 발굴과 유지에 도움이 되는 전략을 개발할 수 있다.”고 말했다. 그렇지만 퇴직을 하는 구성원이 솔직하게 피드백을 전달하기란 쉽지 않다. 어색하고 어렵게 느껴질 수 있는 퇴직 인터뷰를 편안하고 신뢰할 수 있는 환경을 조성해 더 나은 조직 환경을 만들 수 있도록 많은 피드백을 수집하는 것은 매우 중요하다.
기고자 또한 최근 본인이 몸담고 있는 조직을 떠난 구성원의 퇴직 인터뷰를 통해 몇 가지 문제점과 좋은 점들을 파악할 수 있었고 많은 배움을 얻은 사례가 있다.
알렉스는 강연을 마무리하면서 “사람 중심의 접근 방식이 중요하다. 기술이나 전략 그리고 프로세스가 아닌 사람을 중심으로 생각하고, 인재 관리 생애 주기(채용, 갱신, 유지, 보내주는 단계)를 기반으로 미래 지향적인 사이버 보안 프로그램을 개발하는 것이 중요하다.”고 설명했다.
기고자는 이 글을 쓰면서 많은 어려움이 있었다. 인사 관리 책임자도 아닐 뿐더러 리더십이라는 주제에 대해 최근에 많은 생각을 했기 때문이다. 그런데 이 강연을 통해 많은 부분을 생각할 수 있었다. 결과적으로 대부분의 인재 관리 생애 주기에 대해서 많은 기업과 조직들이 알고 있는 부분 일거라 추측되지만 다시한번 돌아볼 수 있는 기회가 되기를 바래 본다.
[글. 권표 수석 / 파고네트웍스 MDR센터 / CPTO (Chief Product & Technology Officer)]
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
