2020년에도 사이버 위협이 증가할 것으로 전망되는 가운데, 여전히 많은 조직이 사이버보안 전문 인력을 확보하는 데 어려움을 겪고 있다. 하지만 수요가 공급을 초과한다고 해서 보안 경력이 있는 누구나 수월하게 직장을 구할 수 있는 것은 아니다.
보안 임원과 고용 전문가들에게 면접 시 자주 묻는 까다로운 질문들을 물어봤다. 지원자들이 들을 수도 있는 질문 10가지와 면접관에게 긍정적인 인상을 남길 수 있는 답변 방법은 아래와 같다.
Q1. 지금까지 담당했던 프로젝트 중 가장 자랑스럽게 생각하는 것은 무엇인가?
사이버보안 분야 헤드헌팅 회사인 블랙미어 컨설팅의 CEO 도미니 클락은 이 질문을 통해 지원자가 가장 즐겁게 진행했던 프로젝트를 보여줄 수 있다고 답했다. 클락은 “이 질문은 지원자의 열의를 보기 위한 것이다. 지원자는 자신이 선호하는 것뿐만 아니라 개인적으로 만족스러운 성취라고 느낀 것을 드러낼 수 있다”라고 설명했다.
예를 들어 한 정보보호 최고책임자(CISO)가 조직을 위해 개발한 보안 정책이 가장 자랑스러웠다고 답했다면, 자신이 배치한 제품이나 보안 아키텍처를 말한 CISO보다 보안 정책을 중요시하는 조직에 더 잘 어울릴 것이다.
Q2. 현재 직장을 그만두려는 이유가 무엇인가?
사이버보안 업계 리서치에 따르면 보안 임원의 재직 기간이 평균 2~4년이라고 히트러스트 얼라이언스(HITRUST Alliance)의 CISO 제이슨 토울은 밝혔다.
토울은 “이전 회사에서의 재직 기간이 짧은 CISO라면, 그만둔 이유를 질문받았을 때 어떻게 대답해야 할까? 더 많은 급여나 수당이 이유라면, 그냥 그렇게 말해야 한다. 단, 과거에 이리저리 옮겨 다닌 이력이 없어야 한다. 이전 고용주가 보안 업무나 직위를 적절하게 존중해주지 않았기 때문이라면, 이것 역시 솔직하게 말하는 게 좋다”라고 말했다.
이어서 그는 CISO들이 비윤리적, 불법적 행위에 참여하기 보다는 아예 회사를 떠나는 경우가 많아지고 있으며, 이전 고용주가 과도한 위험 부담을 요구했기 때문인 경우도 있다고 덧붙였다. 토울은 이러한 상황에 대해 답변할 때는 “외교적이고도 섬세한 언사가 필요한 순간이다. 자세한 상황을 밝히지 않되 무슨 일이 발생했든 간에 긍정적 측면을 강조하면서 답변하는 것이 좋다”라고 언급했다.
Q3. 가장 큰 실패는 무엇이었고, 그 경험으로 무엇을 배웠는가?
유능한 리더들은 여러 차례 실패했고, 그 실패를 통해 빠르게 학습하는 것을 배웠다고 클락은 강조했다. 그는 “현명한 사람들은 자신의 실패를 용기의 징표로 생각한다. 이 질문은 개인이 자신의 실패를 얼마나 편안하게 받아들이는가를 드러낸다. 아울러 위험을 견디는 능력, 실패로부터 배우고 회복하는 능력에 대한 확신, 압박 하에서의 전반적 사고 과정도 알 수 있다”라고 설명했다.
또한 클락은 이 질문에 대답할 때 약간의 유머를 구사하면서도 진정성 있게 접근한다면 플러스 요인이 될 것이라고 덧붙였다.
Q4. 지난 2년 동안 주도했던 가장 복잡한 보안 이니셔티브는 무엇인가?
보안 임원은 복잡하고 압박이 심한 이니셔티브를 떠맡도록 요구받을지도 모른다. 이에 따라 면접관은 지원자가 업무를 감당할 능력과 어떻게 복잡성에 대처할 것인지를 알고 싶어 한다.
클락은 “이는 복잡성에 대한 지원자의 관점을 이해할 수 있는 질문이다. 특히 크기와 범위 측면의 감당 능력을 이해할 수 있게 해준다. 5명으로 구성된 보안팀과 포춘 10대 기업의 보안팀 사이에서 이는 차이가 있을 것이다”라고 말했다.
Q5. 어떻게 다양한 인력 풀을 구성해 조직의 니즈를 충족할 것인가?
다양성은 소외되는 직원 계층이 참여하는 것 이상을 의미한다고 컨설팅 회사 이사이버 어드바이저리 그룹의 사장 빌 보니는 지적했다.
“이것은 생각, 직무 기술, 직무 영역의 다양성을 의미하기도 한다. 제품과 서비스를 공급하는 방식을 변화시키지 않는다면, 조직의 니즈를 충족시키기에 충분한 사이버 애널리스트나 사이버 엔지니어를 육성하거나 고용할 수 없다”라고 그는 진단했다.
보니는 다양한 인재 풀을 구성하는 데 단기적인 활동 또한 포함된다고 덧붙였다. 예를 들면 일하기 좋은 직장을 만드는 등이다.
Q6. 어떻게 고품질의 서비스를 계속 제공할 것인가?
보안팀은 기본적으로 조직에게 서비스를 제공한다. 이를테면 데이터, 네트워크, 시스템, 애플리케이션, 디바이스, 기타 IT 컴포넌트를 보호하는 것이다. 헌트 비즈니스 인텔리전스의 CISO 스티브 헌트는 “품질과 서비스는 우연이 아니다. 일을 제대로 하려는 열의, 지속적인 개선의 결과이다”라고 말했다.
헌트는 해당 질문에 대해 다음과 같이 대답할 것을 제안했다. 성과 우수 모델(performance excellence frameworks)를 중심으로 구축된 품질 및 서비스 문화에서 지원자가 보안팀과 어떻게 상호작용할 것인지 설명하는 것이다. 아울러 고품질의 보안 서비스를 어떻게 유지할 것인지 증명해야 한다고 그는 언급했다.
Q7. 유출 사건 발생 시 자신의 역할과 경영진의 역할이 무엇이라고 생각하는가?
이 질문이나 이를 변형한 질문이 면접에 나올 수 있다. 명확한 답변을 준비하는 것이 중요하다. 한 가지 접근 방식은 구체적인 조치 방안을 설명하는 것이다. 예를 들어 사건 대응을 위한 보고 경로를 즉시 검토하고, 모든 경영진에게 유출 사건 이전, 도중, 이후 각자 해야 할 역할을 이해시키는 것 등이다.
보니는 “유출 사건 관리에는 3가지 기본 요소가 있다. 사건 자체에 대응하는 것, 모든 관계자와 소통하는 것 그리고 회사 업무 탄력성이다”라고 말했다.
Q8. 기업에 대한 자신의 기여도를 어떻게 측정할 것인가?
자신의 기여도를 측정하고 입증하는 능력은 중요하다. 헌트는 “가치를 평가하는 2가지 일반적인 방식은 ‘전체 매출’과 ‘순이익’을 보는 것이다”라고 설명했다.
보안 임원은 자신의 직무가 새로운 매출 기회, 높은 고객 만족, 새로운 성장 분야 발굴 등으로 전체 매출에 영향을 줄 가능성을 보여주어야 한다. 또한 위험 감소, 효율적 보안 절차를 통해 비용을 절감함으로써 순이익에 줄 잠재적 영향도 입증해야 한다.
Q9. 왜 지금이 이직을 위한 적당한 시점이라고 생각하는가?
이 질문은 정답이 없기 때문에 특히나 워딩이 중요하다고 클락은 전했다. 그는 “정직하고 진실된 답변은 이직의 진정한 동기를 파악하는 데 도움이 된다”라고 덧붙였다.
클락은 “실제 대부분 사람들이 그들의 삶에서 큰 변화를 그다지 좋아하지 않는다. 기존의 직장 생활을 기꺼이 뒤집어 버릴 수준이라면, 어떤 압박을 경험하고 있다는 의미다. 이러한 요인이 이직에 영향을 미칠 수 있다”라고 말했다.
예를 들어 이직 사유가 관리 업무를 좋아하지 않아서라면, 그 사람에게 책임자 자리를 맡기진 않을 것이라고 클락은 지적했다. 그는 “마찬가지로 지나친 출장 때문에 이직을 결심한 사람이라면, 전국을 돌며 컨설팅하는 업무를 맡기진 않을 것이다”라고 설명했다.
Q10. 당신의 다음 단계는 무엇인가?
클락은 “모두 자신만의 꿈과 희망이 있지만, 종종 이를 다른 사람의 ‘틀(container)’에 억지로 맞추려고 노력하는 경우가 있다. 우리가 원하는 프레임을 찾지 못했기 때문이다”라고 언급했다.
이어서 그는 “회사는 최대한 그 목표들을 파악하려는 경향이 있다. 해당 지원자가 회사에 적합한지 확인해야 하기 때문이다. 이 질문을 심사숙고해 답변을 찾는다면, 과거에 분명하지 않았던 가능성과 기회가 열릴 수 있다”라고 말했다. dl-ciokorea@foundryco.com
