보안 운영 인재 개발

Tom Avant(Director of AWS Security Operations)와의 대화

보안 운영 인재 개발에 대한 리더의 관점

많은 것이 걸려 있고 정확성이 중요한 보안 운영 분야에서 적합한 인재를 찾는 일은 매우 중요합니다. AWS Security Operations Center(SOC) 책임자인 Tom Avant에게서 AWS SOC의 사이버 보안 인재 발굴, 교육, 유지 방법을 들어보세요.

대화의 스크립트

AWS의 Security Operations, Tom Avant Director와 AWS의 Enterprise Strategy Director Clarke Rodgers 출연

보안 운영 채용: 원하는 사고 방식 및 기술

Clarke Rodgers:
채용을 할 때, 내부 채용이든 외부 채용이든, SOC 분석가 역할이나 조직 내 기타 역할을 채용할 때 어떤 점에 주목하시나요? 특별히 눈여겨보는 사고 방식이나 기술이 있나요? 무엇인가요?

Tom Avant:
우리 조직에는 12개 직군이 있습니다. 다들 이렇게 말하죠. “뭐라고요? 조직에 12개 직군이 있다고요?” 사실입니다. PM, TPM, 지원 엔지니어, 시스템 엔지니어부터 소규모 전술 개발 팀도 있습니다. 소프트웨어 개발 엔지니어, SDM, 보안 엔지니어도 있고요. 이러다 다 나오겠네요. 그 밖에도 많습니다.

대체로 특정 직무에 따른 특정 요구 사항, 즉 기본 자격(BQ)이 있습니다. 하지만 우리 조직 전체를 놓고 보자면 판단력이 뛰어난 인재를 찾고 있습니다. 애매한 상황에서 일하는 데 능한 사람을 찾고 있죠. 우리는 옳은 일을 하려는 성향을 타고난 사람들에게 익숙합니다... 불 속으로 뛰어들라고 말하지는 않겠습니다. 딱히 그걸 좋아하지는 않아요. 하지만 뛰어들기 전에 평가하고 올바른 길로 들어서는 건지 확인할 필요는 있겠죠.

우리가 찾는 인재 유형은 어떤 직위에 있건 높은 소명 의식이 있고 그에 부응하려는 성향을 이미 갖추고 있는 사람입니다.

► 팟캐스트 듣기: 다양성과 자율성을 갖춘 보안 조직 구축

Clarke Rodgers:
어느 정도 호기심이 있어야 할 것 같습니다. “어떻게 혁신해야 다시 잘못되지 않게 만들 수 있을까?”

Tom Avant:
100% 동감입니다. 같은 일을 반복하는 걸 싫어하는 사람도 필요합니다. 글로벌 운영 센터를 연중무휴 운영하다 보면 단조로워질 수 밖에 없어요. 저는 그걸 지겨워하는 사람을 원합니다. 이렇게 말하는 사람이죠. “세상에, 이걸 6주 동안 하고 있다고요? 난 더 못 하겠어요.” 그런 다음 그걸 타개할 방법이나 더 혁신적인 문제 해결 방법을 생각해 내거나 솔루션을 자동화하는 거죠. “잠깐, 이 프로세스를 다른 방법으로 시도해 보죠.”

제가 찾는 인재는, “왜 이걸 이 방식으로 하고 있나요?”라고 질문하는 사람입니다. 그 방식이 합리적이면 조직에 합류하는 거고 합리적이지 않으면 그 일을 안 할 방법을 찾아 다른 데서 일하겠죠. 그게 바로 제가 찾고 있는 사람입니다.

연중무휴 보안 운영에서 번아웃 방지

Clarke Rodgers:
연중무휴 운영되는 센터라고 하셨는데요. 시간이 길다 보니 스트레스가 상당하겠습니다. 인력 관리 관점에서 직원들이 번아웃되지 않고 12개 직군 중 하나 이상을 순환 근무하면서 직장에서 지치지 않고 만족스러운 경력을 쌓도록 하려면 어떻게 해야 할까요?

Tom Avant:
우리 리더십 팀에는 다양한 경력을 지닌 사람이 많습니다. 경력 개발은 그런 경력을 꽃피울 수 있는 중요한 초석입니다. 제가 몇 년 전에 이 분야를 맡았을 때는 그런 게 없었어요. 하지만 사람들이 진로를 찾도록 하려면 이걸 통합하는 게 중요하다고 생각했습니다.

단순히 직급 기준이 아닙니다. 다음 직급으로 승진하는 문제가 아니라 기술 개발, 역할 개발, 비즈니스 이해가 중요합니다. 예를 들어 우리 공간도 단순한 물리적 공간에서 물리, 사이버, 논리가 융합된 공간으로 바뀌지 않았습니까? 말하자면 “이미 좋은 성과를 내고 있는 사람을 어떻게 더 발전시킬 수 있을까? 어떻게 하면 더 큰 기회를 줄 수 있을까? 다른 팀과 어떻게 짝지을 수 있을까? 어떻게 하면 도움을 주고, 성장하고, 배울 수 있는 더 많은 기회를 찾을 수 있을까? 어떻게 하면 최고의 인재를 채용하고 발전시킬 수 있을까?” 이것이 바로 ‘최고를 육성한다’에서 집중해야 할 부분이고 우리가 천착한 부분이죠.

‘풀 스펙트럼’ 보안 분석가 육성

Tom Avant:
위협 환경은 대부분의 사람들이 생각하는 것보다 빠르게 계속 변하고 있습니다. 따라서 어느 한 분야에만 뛰어난 보안 전문가만 양성해서는 세상의 빠른 변화를 따라잡을 수가 없습니다.

그래서 리더십 팀과 함께 이른바 ‘풀 스펙트럼’ 보안 분석가를 어떻게 만들 수 있을지 고민하기 시작했죠. 한 분야에 정통하면서 다른 분야의 기술도 쌓고 발전하는 사람을 어떻게 육성할 수 있을까요? 일단 작은 책임을 맡는 것부터 시작합니다. 몇 가지 교육을 거쳐 다양한 교육 프로그램이나 영업 과정 같은 것을 시도했습니다. 그러다 결국 다른 팀이 하고 있는 일까지 맡기로 결정했습니다. 규모가 커졌는데도 아주 잘해냈기 때문이죠.

SOC의 좋은 점은 떠받치고 있는 건 사람이지만 첫 번째 원칙은 언제나 솔루션을 먼저 자동화하는 것입니다. 인간은 최후의 수단입니다. 그 과정에서 자동화가 최선이라 하더라도 판단력이 뛰어난 개인이 있어야 뭔가를 할 수 있는 워크로드도 여전히 있습니다. 그런데 그런 개인들의 기술 세트는 각양각색입니다. 기술이 엄청나게 뛰어난 개인을 뽑아 놓고는 정작 그 기술을 다 활용할 필요가 없는 일에 투입하면 안 됩니다. 그 자원을 제대로 활용하는 게 아니니까요.

► 동영상 보기: 보안의 인간적 측면: 보안 팀 관리를 위한 조언

생각해 보면 자원 관리와 비슷합니다. 토론 과정에서 이걸 활용하면 여러 분야에서 일할 수 있는 직원 역량을 구축할 수 있다는 의견이 모아졌습니다. 그와 동시에 조직 반대쪽에 있는 동료들이 좀 더 애매한 업무를 처리할 수 있는 리소스도 확보되죠.

실제 일상적 측면에서는 할 수 있는 작고 간단한 일을 하려 합니다. 예를 들어 스낵바를 두는 거죠. 전에 운영 센터에서 일해 본 사람들 이야기를 들어보면 놀랄 겁니다, 정말 일이 힘들거든요.

Clarke Rodgers:
피자가 큰 도움이 되죠.

Tom Avant:
피자가 큰 도움이 되죠. 피자, 음료 몇 잔, 약간의 과자. 사람들이 행복해져요. 실없는 소리가 아니라 정말로요...

Clarke Rodgers:
맞습니다. 진짜 효과가 있죠.

Tom Avant:
정말 그래요. 운영 센터에서 일에 너무 몰두하다 보면 4시간 내내 문제 해결에 매달릴 때도 있습니다. 시간이 얼마나 흘렀는지도 모르고요. 계속 일하려면 재충전이 필요합니다.

또한 말씀드린 것처럼 직원들이 여러 역할을 돌아가며 맡을 기회를 줍니다. 그래야 다른 역할로 옮기려면 무엇이 필요한지 알게 되죠.

SOC에는 여전히 비상 대기가 있습니다. 글로벌 시스템을 운영하다 보면 비상 대기는 피할 수 없어요. 하지만 많은 부분에서 글로벌 시스템으로 발전했기 때문에 한 팀이 핸드오프하면 다른 팀이 픽업하는 식으로 시스템이 쉬지 않고 돌아갑니다.

펀트가 아닌 패스: 팀 간의 원활한 핸드오프

Clarke Rodgers:
이 인터뷰를 준비하면서 내부 팀의 Wiki를 봤는데, 거기 게시된 원칙이 있더군요. 개별 특정 상황에 대한 구체적 처방이 없을 때 지침으로 삼을 수 있도록 AWS 전체에서 사용하는 원칙 말이죠. 그게 운영 방식이군요. 앞서 사람을 통한 확장은 최후의 수단이라고 하셨는데, 자동화가 합리적이라면 자동화에 주력한 다음에 사람이 위험에 기반한 결정을 내릴 수 있다는 뜻이겠죠. 몇 가지 더 듣고 싶은 게 있습니다. 정말 대단하다고 생각하거든요.

Tom Avant:
맞습니다.

Clarke Rodgers:
첫 번째, “우리는 펀트하지 않고 패스한다.”

Tom Avant:
맞습니다.

Clarke Rodgers:
그 얘기 좀 해 주세요.

Tom Avant:
정신없이 바쁠 때 자주 보는 일인데, 보통은 부하 직원 한 명이 이럽니다. “그건 제 소관이 아닙니다.” 내부 고객이나 외부 고객에게 이렇게 말하면 안 됩니다. 자기 담당 업무가 아니면 적절한 담당자를 찾아서 원활하게 핸드오프해야죠. 자기 일이 아니라는 핑계로 그냥 차 버려서는 안 됩니다.

내부에서도 마찬가지입니다. 전화를 걸어 A팀을 찾는데 C팀이 전화를 받습니다. C팀은 A팀에 걸어야 한다는 걸 알려주지 않고 나중에 물어보죠. “A팀, 그거 하고 있어? 잘 돼 가?” 두 번째 아니면 세 번째 전근 전후로 그렇게 넘겨받는 쪽에 있다 보니 이런 생각이 들더군요. “이 조직은 왜 이러지?”

Clarke Rodgers:
“같은 회사 다니는 거 아닌가? 어떻게 서로 말도 안 하지?”

Tom Avant:
어떻게 서로 말도 안 하지? 바로 그거예요. 그래서 우리가 이 일을 한 겁니다.

사이버 보안에 대한 오해 불식: 누구나 환영하고 질문을 장려한다

Clarke Rodgers:
마음에 듭니다. 다른 하나는 설명이 좀 필요할 수도 있겠습니다. “보안은 비밀 결사가 아니다.” 무슨 말인가요?

Tom Avant:
사이버 보안 쪽 배경이 없거나 첨단 기술 분야에서 일해 보지 않은 사람은 대체로 보안을 겁내는 것 같습니다. “세상에, 난 못 배우겠어,” “난 코딩도 못 하는데.” 그럼 전 이렇게 말하죠. “내가 아는 사람은 대부분 코딩을 못해요.” 물론 우리 주위에 코딩을 잘 하는 사람도 많이 있긴 합니다.

두 가지 유형이 모두 있지만 다들 잘 알듯이 사이버 보안 업계에는 모든 유형이 필요합니다. 군인 두 명을 모아 놓으면, 같은 군 소속이더라도 5분 안에 쓰는 언어가 달라지기 시작합니다. 두문자어가 튀어나오고, 들어본 적 없는 기지 이야기가 나오고, TDY나 배치 등을 가리키는 단어도 다르기 때문이죠.

사이버 보안 분야에서도 같은 일이 벌어집니다. 사람들이 온갖 암호명과 두문자어를 사용하는데, 무슨 뜻인지 물어보면 완벽히 이해할 수 있습니다. 하지만 모르면서 듣고만 있으면 R2D2처럼 들릴 거예요. 의미를 알 수 없는 알파벳 두문자어죠. 너무 겁이 나니까 못 하겠다고 하는 겁니다. 사실 이건 전혀 사실이 아닙니다.

그래서 우리는 오해를 없애려고 합니다. “이렇게 합시다. 우리가 배울 수 있는 환경을 만들어 보죠. 두려움이 없는 환경을 만들어 봅시다.” 질문을 하세요. 회의 때 제가 행동으로 보여 주는데, 들어본 적 없는 두문자어가 나오면 저는 물어봅니다. 부끄러울 것 없어요. “그게 무슨 뜻인가요? 그게 뭐죠?” 그렇게 해서 알게 되면 다른 사람에게도 알려 줄 수 있습니다. 제가 얼마나 많이 물어봤고 모른다고 답한 상대방이 얼마나 많았는지 알면 놀라실 겁니다.

Clarke Rodgers:
다들 두문자어를 쓰는데 말이죠.

Tom Avant:
두문자어에 너무 익숙해서 문제죠. 원래 그렇습니다. 한편으로 드는 생각은, 이렇게 하면 언어를 더 정확하게 사용할 수 있을 뿐 아니라 용어와 단어를 어떻게 사용하고 있는지도 이해할 수 있다는 겁니다. 그러면 더 많은 사람이 환영받고 기여할 수 있는 환경이 조성되죠. 이건 진심인데, 이런 환경의 장점은 회의실 안에 답을 알고 있거나 우리가 미처 생각 못한 것을 생각한 사람이 있다는 겁니다. 그런데 창피하거나 우습게 보일까 두려워 자기 생각을 말하지 않는 거라면, 주저 없이 의견을 말해 주기를 바랍니다. 그들의 생각을 알고 싶어요. 우리 업무 방식을 완전히 바꿔 놓을 수도 있으니까요.

► 동영상 보기: 보안 보증 인재를 고용하고 양성하는 방법

Clarke Rodgers:
AWS와 AWS 고객에게 도움이 되고, 어쩌면 그 이상일 수도 있겠네요?

Tom Avant:
세상에 도움이 됩니다.

Clarke Rodgers:
세상에 도움이 되겠군요.

Tom Avant:
물론입니다.

Clarke Rodgers:
정말 좋은 대화였습니다, Tom. 오늘 시간 내 주셔서 정말 감사합니다. 감사합니다.

Tom Avant:
초대해 주셔서 감사합니다. 저도 감사합니다.