기업 인사담당자가 원하는 보안 인재상은?

일반입력 :2014/12/05 11:07    수정: 2014/12/05 11:12

손경호 기자

모의해킹, 취약점 분석 등 특정 기술이나 분야에 전문성을 가진 사람보다는 전체 보안 프로세스를 폭넓게 이해하고, 팀에서 리더십을 발휘할 수 있는 인재들을 원합니다.

기업에서 실제 보안실무를 담당하고, 직접 관련 인력을 채용하는 담당자들이 원하는 인재상은 '스페셜리스트(specialist)'라기보다는 '제너럴리스트(generalist)'인 것으로 나타났다.

4일 서울 논현동 파티오나인에서 개최된 해킹방지워크샵2014에 '우리가 필요로 하는 보안인력'을 주제로 열린 패널토의에 참석한 롯데카드 최고정보보안책임자(CISO) 최동근 이사와 현대오토에버 이병권 실장이 만나 현업에서 정말 필요로 하는 인재상에 대한 얘기를 나눴다.

25년 간 보안업계에 종사했던 최 이사는 보안회사, IT회사, 제조 및 서비스업종을 담당하고 일반 회사마다 차이가 있기는 하지만 일반 회사 입장에서는 너무 기술적인 부분에만 치우치기보다는 정보보호와 관련된 전체 아웃라인을 이해할 수 있는 사람을 원한다고 밝혔다. 일반회사의 경우 전문적인 해킹실력을 갖춘 전문가들을 원하는 곳은 오히려 드물다는 설명이다.

이 실장 역시 종합적인 뷰를 가진 사람이 유리하고, 보안은 특별히 하지 말라는 것들이 많기 때문에 현업 실무자들에게 이러한 내용을 반영시킬 수 있도록 상당한 소통력을 가진 사람들이 유리할 것이라고 말했다.

이어 일반 기업 보안은 기술 자체에 초점을 맞추기 보다는 이를 활용해 총괄적인 리스크를 줄이는 것이 중요하다고 덧붙였다. 일반 회사 보안담당자 입장에서 리스크를 줄이기 위해 필요할 경우 보안컨설팅이나 모의해킹, 각종 취약점 분석 등을 수행할 수 있는 외주인력을 활용할 수 있다는 점 때문이다.

일반 회사 보안담당자로 입사할 경우 높은 직급으로 올라갈수록 현업 실무자들과 커뮤니케이션이 중요해진다. 최 이사는 사원, 대리, 과장급의 경우 자기에게 주어진 업무를 얼마나 잘 수행했느냐가 승진을 위한 주요 평가요소라면, 이후부터는 금융이나 통신 등 현업에 대한 이해를 바탕으로 보안을 접근할 수 있는가, 여기서 팀워크를 유지하고, 리더십을 발휘할 수 있는가가 중요한 잣대로 작용한다고 말했다.

이들은 현재 정부가 수행하고 있는 화이트해커 양성 계획에 대해서는 불만을 드러냈다. 더 많은 보안전문가들을 양성하는 것은 바람직한 일이지만 다양한 보안분야 중 해킹이나 취약점 분석 등 너무 공격과 방어 자체에만 너무 치중돼 있는 것 아니냐는 지적이다.

최 이사는 보안 범주에서 일부가 모의해킹이나 시스템 점검인데 이것들이 보안 전체를 설명하는 것 같은 뉘앙스를 준다는 점에서 '화이트해커'라는 말에 부정적인 입장이라고 밝혔다.

그는 열쇠전문가가 나쁜 짓을 하면 감옥에 가지만 자기 이름으로 점포를 만들어서 고객들에게 서비스를 제공하면 좋은 의미의 전문가로 볼 수 있지만 마치 열쇠전문가가 문을 열 수 있다는 것이 집 전체를 지키는 것처럼 여겨지고 있는 것은 문제라고 주장했다.

물론 일반기업에서만 보안인력을 채용하는 것은 아니다. 정보보안전문회사나 IT회사 등에서는 실제 모의해킹, 취약점 분석, 보안관제 업무 등을 수행할 수 있는 실무에 강한 인력을 원한다.

따라서 보안 분야에서 뜻을 펴려는 지원자들은 보안전문회사나 IT회사, 일반기업에 맞게 투트랙 전략을 펼 필요가 있다.

관련기사

중소기업 혹은 벤처기업이 대부분인 보안회사에서는 필요할 때마다 수시채용하기 때문에 항상 해당 회사 정보를 눈여겨 봐야하나. 언제 자신이 가진 전문성을 원하는 사람을 채용할 지 모르기 때문이다.

비보안/IT 분야의 대기업들의 경우 정기채용을 진행하는 만큼 기본적인 서류전형을 제대로 준비해야 1차 관문을 통과할 수 있다. 최 이사는 서류를 통과해 면접을 볼 수 있는 기회가 생기면 그 회사 선배들을 통해 필요한 정보를 얻는 것이 가장 중요하다고 조언했다.