보안 사고들이 잇따라 터지면서 미국에서는 데이터 보안 분석가들의 인기도 상승하고 있다. 데이터 보안 분석가들이 면접 과정에서 듣게 될 수 있는
제로(Xero), 엑스페리안(Experian), 톡톡(TalkTalk) 등에서 최근 발생한 데이터 유출 사고를 보면 데이터 보안 분석가에 대한 수요가 왜 높은지 잘 알 수 있다.
이런 데이터 보안 분석가들은 기업의 데이터를 안전하게 지키는 업무를 담당한다. 이들은 보안 감사와 위험 산정을 수행하고 데이터 시스템 보안을 개선시키고 잠재적 유출을 감지하는 방법을 알고 취약점을 수정해 신속하게 솔루션을 제시하기도 한다.
채용 담당자들은 방화벽 운영, 암호화 기술, 네트워크 프로토콜 등 컴퓨터와 네트워크 보안에 대해 포괄적으로 이해하는 데이터 보안 분석가를 채용하기 원한다고 IT 인력 업체 RHT(Robert Half Technology)측은 이야기한다. RHT는 데이터 보안 분석가의 연봉 폭이 10만 6,250달러에서 14만 9,000달러로 2015년 상위 5대 연봉 기술 직종에 올렸다.
RHT의 2016 기술 연봉 가이드(Technology Salary Guide)에 따르면 이런 수요가 증가하는 데이터 보안 분석가의 연봉은 앞으로 더 상승할 것으로 예측된다. 내년 데이터 보안 분석가의 연봉은 7% 인상된 11만 3,500달러에서 16만 달러선이 될 것으로 전망된다.
RHT의 선임 경영 디렉터 존 리드는 “유능한 데이터 보안 분석가를 찾는 일은 여전히 기업에게는 어려운 과제”라며 “데이터 보안은 새로운 게 아니지만 현재 구직 시장에 나와있는 유능한 인재를 찾는 건 힘든 일이다. 이는 [기업들이] 데이터 보안 분석가를 다른 회사로부터 이직시켜야 함을 의미하는데 이는 바로 연봉 인상과 직결된다”고 밝혔다.
또 연봉에 영향을 미치는 요소는 기업들과 그 고객들에 대한 사이버 공격의 증가다. IT 인력 업체 모디스(Modis)는 “이런 공격들은 조직의 이미지, 생산성, 수익성에 크게 부정적인 영향을 미친다”고 이야기했다. “이런 환경에서 회사가 사이버 유출에 대처하고 고도로 효과적인 사이버보안 전략을 개발하는데 도움을 주기 위해 분석가들이 필요하다”고 모디스는 전했다.
데이터 보안 분석가들은 기술과 인적 능력을 적절히 조합하고 있어야 한다. 훌륭한 커뮤니케이터, 문제 해결사, 멀티태스커가 돼야 하고 훌륭한 판단력을 선보이고 긴박한 상황 속에서도 흔들리지 말아야 한다. 보안 유출의 성격을 볼 때 업계 정부 규제와 업계 보안 트렌드에도 뒤쳐지지 않아야 한다고 RHT는 전했다.
IT 인력 업체 몬도(Mondo)의 채용 매니저 펠릭스 퍼민은 기술적인 역량과 인적 능력 외에 채용 관리자는 전문 자격증으로 보안 프로토콜에 대한 깊은 이해를 증명할 수 있는 사람을 좋아한다고 말했다. 최고의 자격증들로는 CISSP(Certified Information Systems Security Professional), ISSEP(Information Systems Security Engineering), GIAC(Global Information Assurance Certifications) 등이 있다.
현재 인가 많은 데이터 보안 분석가 채용 면접을 앞두고 있는 독자라면 제대로 실력을 발휘해야 한다. 여기 채용 관리자들이 물을 수 있는 4가지 면접 질문들과 함께 이들이 듣고 싶어하는 중요한 정보를 소개한다.
1. 우리 같은 회사가 걱정해야 할 보안 문제를 내가 이해할 수 있도록 설명해보라
기업들은 데이터 보안 분석가가 잠재적 취약점 식별에 있어서 대응적이 아닌 생산적인 태도를 취하길 원한다고 RHT의 리드는 이야기한다. “만약 당신이 우리 환경에서 일하게 된다면 어디부터 손대겠는가? 가장 가치가 큰 부분은 어디인가?”라고 리드는 말했다. “이 질문에 대한 당신의 대답은 채용 관리자에게 당신이 보안 지형을 얼마나 잘 이해하고 있는지, 가능한 위협을 실제로 발생하기 전에 얼마나 잘 인식하고 있는지 등을 알려준다”고 그는 설명했다.
이 질문은 채용 관리자가 당신이 보안 감사, 위험 산정, 분석 등 모든 데이터 보안 분석가의 핵심 책임분야들에 당신이 어떻게 접근할 것인지를 알 수 있게 해준다. 최신 취약점들과 예방 방법을 알고 있으며 그게 특별히 해당 회사와 어떻게 연관이 있는지 알고 있다는 것을 증명해줄 자세한 사례를 활용해 답변해야 한다.
2. 보안 지형을 놓치지 않는 당신의 방법은 무엇인가?
새로운 유출, 취약점, 위협, 공격 등으로 인해 보안 분야가 지속적으로 변화하고 있기 때문에 데이터 보안 분석가는 최신 업계 동향과 개발에 대한 최신 정보는 물론 해당되는 정부 규제를 항상 꿰고 있어야 한다고 몬도의 퍼민은 말했다. 이 질문은 채용 관리자들에게 당신이 변화하는 분야에서 어떻게 흐름을 놓치지 않는지에 대한 통찰을 가능하게 해준다.
이 질문은 당신이 구독하는 블로그, 웹사이트, 뉴스레터 등의 실제 이름을 대고 당신이 취득했거나 취득 준비중인 자격증을 부각시킬 수 있는 좋은 기회라고 퍼민은 강조했다.
3. 당신이 보안 문제를 감지할 수 있었던 시나리오를 설명해보라. 그 문제를 어떻게 식별해냈고 어떤 프로세스를 통해서 했나?
보안 문제를 식별해내는 것도 중요하지만 그 문제에 어떻게 대처 하는가도 그만큼이나 중요하다. 채용 관리자는 이 질문을 통해 당신이 어떻게 솔루션에 도달하는지를 보고 보안 문제를 식별하고 해결하는 당신의 일 처리 방식을 보기 위해 이 질문을 던지는 것이라고 리드는 이야기했다.
“기업들은 기술만 뛰어난 사람이 아니라 잠재적 문제점을 예측하고 그게 문제가 되기 전에 솔루션을 내놓는 경험 가진 사람을 뽑고 싶어한다”고 그는 말했다. “그들은 당신이 당신의 네트워크에 침입하고자 하는 이들보다 한발 앞서있길 원한다”고 리드는 밝혔다.
이런 질문에는 당신이 보안 문제를 어떻게 발견했는지 상세히 설명하고 그것을 수정하기 위해 어떤 작업을 했는지, 왜 그리고 어떻게 당신이 그런 결정을 내렸는지를 설명해야 한다.
4. 데이터 보안 분야에서 자신이 가장 잘했다고 생각하는 업적은 무엇인가?
당신이 특별히 파괴적이었던 공격이나 대형 데이터 손실을 예방했다면? 이런 질문이 바로 당신의 그런 과거 업적들을 자랑할 수 있는 기회라고 퍼민은 귀띔했다.
채용 관리자에게 그 사건의 과정을 설명하라. 취약점을 어떻게 발견했는지, 그 문제를 방지하기 위해 취한 절차는 무엇인지, 당신이 차후 그와 비슷한 문제를 예방하기 위해 취한 조치나 보안 정책은 무엇인지 등에 대해 이야기하라. 이 질문에 대한 대답은 당신의 분석력, 문제 해결능력, 판단력을 잘 보여줄 수 있고, 이를 통해 이 분야에 대한 당신의 열정과 헌신까지도 전달할 수 있는 좋은 기회가 될 수 있다. dl-ciokorea@foundryco.com
