Africa

Americas

Asia

Europe

Oceania

인기 토픽

토픽

About

정책

네트워크

자세히 보기

robert_wood
By robert_wood

‘보안을 만드는 사람들’ 보안 엔지니어링 팀의 기본 자질 8가지

뉴스
2023.02.146분
IT 리더십IT 운영보안

보안 팀과 보안 엔지니어링 팀은 다르다. 보안 팀이 수동적 방어 태세를 유지한다면 보엔 엔지니어링 팀은 방어책을 적극적으로 설계한다.

2021년 IBM 보고서에 따르면 고도의 보안 작전 센터(Security Operations Center)를 운영하며 보안 엔지니어링 부서를 갖춘 기업이 보안 사고에 63% 더 빨리 대응하며 50% 더 빨리 해결한다. 2020년 ISC2 보안 관련 직원 대비 보안 엔지니어의 비율이 더 높은 기업일수록 데이터 침해 공격에 당할 가능성이 줄어든다고 밝힌 바 있다. 

보안 팀은 기본적인 보안 운영, 준수, 정책 관련 작업을 다루는 관리직이다. 이와 다르게 보안 엔지니어링 팀은 쉽게 말해 무언가를 만드는 일을 한다. 보안 서비스를 만들고, 프로세스를 자동화하며, 배치된 소프트웨어를 간소화하는 것이 목표다. 그래서 보안 엔지니어링 팀은 소프트웨어 및 인프라 엔지니어, 설계자, 프로덕트 매니저 등으로 이루어져 있다. 

이렇듯 무언가를 만들어야 하는 엔지니어링 팀의 접근 방식은 침투 테스트 팀이나 외부에서 온 리스크 평가 팀 무척 다르다. 기존 보안 팀을 운영하는 데 익숙한 CSO에게 이는 낯설게 다가오기 쉽다. 그러나 보안 엔지니어링 팀의 역할이 점점 커짐에 따라 CSO는 보안 엔지니어링에 대해 더 배우고 팀을 효과적으로 육성할 필요가 있다.  

믿을 수 있는 보안 엔지니어링 팀이 갖춰야 할 3가지 기본 역량은 크게 기술, 리더십, 그리고 개인별 소프트 스킬이다. 

보안 엔지니어링: 기술적 역량

엔지니어링은 기본적으로 기술 분야이기 때문에 이 역할의 근본은 기술적 역량이다. 보안 엔지니어링 팀이 확보해야 하는 스킬을 알아보자.

1. 기술 환경 파악하기
기술 역량은 너무 당연히 느껴질 테지만 강조될 필요가 있다. 예를 들어, 기업이 쿠버네티스(Kubernetes)에서 서비스를 배치하고 엔지니어링 팀이 컨테이너를 다뤄본 적이 없는 경우 문제가 될 수 있다. 

반대로 역량을 다양하게 확보하는 일에도 신경 쓸 필요가 있다. 스킬 세트는 물론이거니와 문제 해결의 관점, 다양한 부서에서의 경험이 될 수도 있다. 성별과 인종부터 학력, 과거의 직업 경험 및 연령까지 팀의 다양성을 추구하고 개발하는 다양한 방법이 존재한다. 엔지니어링 팀은 수많은 아이디어를 논의하고 반복해야 하므로 다양성은 팀의 창의적인 에너지를 촉진하는 첨가제가 될 수 있다.

하지만 리더는 다양성을 신중하게 관리해야 한다. 사고방식 및 협업 프로세스에서 과도한 변화를 가져오거나 마찰을 빛는다면 의도와 다른 역효과가 나타날 수도 있다. 팀이 실천하는 대신에 실천에 대해 생각하는 상태에 고착돼 아무것도 하지 못한 채 방치될 위험이 있다. 

2. 스택 전체를 소유하기 
보안 엔지니어링 팀은 자신이 만드는 보안 서비스를 직접 구축하고 운영할 수 있어야 한다. 이렇게 전적인 소유권을 가지고 있어야 기술적으로도 바람직하며, 모두가 확실하게 책임지는 분위기를 조성할 수 있다. 

서비스를 직접 소유하는 팀이 인프라, CI/CD 툴링, 보안 툴링, 애플리케이션 코드, 배치 및 원격 측정 관리에서 더 능숙할 것이 당연하다. 이런 역량은 다른 팀을 지원하는 데도 큰 힘을 발휘할 것이다. 

3. 개발자 경험(DevX)을 이해하고 수용하기 
개발자 경험(DevX)을 잘 이해하고 실천하는 보안 팀은 개발팀의 일을 크게 덜어준다. 보안 팀은 개발 과정에서 마찰을 없애는 데 집중해야 한다. 

어쩔 때는 마찰이 요구된다. 예를 들어 매우 중요한 핵심 코드를 메인 코드에 병합하기 전에는 중간 검토가 필요하다. 명확한 목표와 이유가 있는 일시중단 및 검토는 바람직하다. 이렇듯 보안 팀이 개발 과정에 딴지를 걸려면 분명한 목표가 있어야 한다. 예컨대 보안 컴플리언스를 위해 어쩔 수 없이 수동으로 검토해야 할 때가 있다. 이런 검토 과정은 신중하게 진행되어야 한다. 만일 정말 필요한 절차가 아닐 경우 큰 기회비용이 발생하기 때문이다. 

개발자 경험을 최우선 순위로 두는 보안 엔지니어링 팀은 여러 개발 스택에서 소프트웨어를 만는 데 사용되는 툴링과 플로를 이해해야 한다. 이런 개발자 우선 사고방식을 도입하기 위해서 인프라 또는 플랫폼 엔지니어링 스킬이 필요할 수도 있다. 

반대로 보안 엔지니어링 팀의 작업은 똑같이 워크플로우를 자동화하고, 서비스를 상호 연결하는 등 확장에 적합한 환경을 만드려는 다른 모든 팀에게 귀감이 될 수도 있다. 이 모든 것은 개발자의 속도를 높이고 마찰을 감소시키는 데 도움이 되는 일이기 때문이다. 

보안 엔지니어링: 리더십과 협업 스킬

보안 엔지니어링 팀은 외부와 단절된 상태에서 일하지 않는다. 다른 팀과 협력하는 것이 중요한 이유다. 

4. 의사소통 및 협업 역량 
보안 엔지니어링 팀원은 서로뿐만 아니라 그룹 외부의 이해관계자와 소통할 수 있어야 한다. 또한, 공통의 목표를 달성하기 위해 협력할 수 있도록 행동해야 한다. 

문제 정의, 마찰 지점, 제약사항, 보안 주도 개발 방식을 이해하는 것부터 시작해보자. 궁극적으로, 제대로 하는 것이 단순히 효율적으로 일하는 것보다 중요하다는 점을 잊지 말아야 한다. 

이러한 문제는 의사소통 및 협업 노력으로 해결해야 한다. 이는 인간 중심적인 디자인 원칙, 매트릭스 기반 리소스, 팀 토폴로지 기반 정리에서 나타날 수 있다. 물론, 팀 전반에 걸쳐 의사를 소통하고 협업하기 위한 만병통치약은 없다. 신뢰를 구축하고, 공감하고, 공통의 목표를 향해 달리며 사명을 위해 자존심을 버리려는 의지를 표하는 등의 마음을 다해야 한다. 

5. 동료를 이끌기 
베스트 셀러 작가이자 마케팅 전문가인 세스 고딘은 누구든 리더가 될 수 있다고 말했다. 즉 리더십은 직위가 아니라 선택의 문제다. 중요한 것은 결국 무수한 아이디어를 한데 모으고, 중구난방이 돼버린 방향을 바로 잡을 의지다.

사이버보안 엔지니어링 팀의 성공은 다른 사람에게 달려 있다. 팀이 얼마나 잘하느냐는 크게 상관 없다. 보안책을 구축하고 나서 그대로 내버려 두면 잘못되기에 십상이다. 다른 사람에게 경청하고 소통하며 보안 수칙을 시행하도록 설득해야 한다. 

이 모든 것에 리더십이 필요하다. 특히, 리더십은 있되 권위가 없어야 한다. 이런 분위기에서 좋은 팀원은 스스로 문제를 해결하고 오히려 사이버 엔지니어링 팀을 성공의 길로 이끌 수 있다. 좋은 팀원이란 같은 회사의 이해관계자가 될 수도 있고 특정 서비스의 내부 사용자일 수도 있다. 

보안 엔지니어를 위한 소프트 스킬

보안 엔지니어링 팀의 역량은 소통과 협업에서 그치지 않는다. 기술적 역량에 더해 소프트스킬도 갖춰야 한다. 

6. 시간 및 우선순위 관리
보안 엔지니어는 언제나 할 일이 많다. 엔지니어는 처음부터 무수한 요구사항, 할 일 등 환경 전반에 걸쳐 구축, 강화, 패치, 또는 개입 요청을 받을 것이다. 

시간은 모든 팀에게 있어 공통 제약사항이다. 그래서 개인과 팀은 더욱 효과적으로 우선순위를 설정해야 한다. 효율적이지만 일을 잘못하게 되면 진척이 이루어지지 않는다. 일의 우선순위를 설정하고 복잡성 대비 가치를 측정하며 고객 만족도 또는 다양한 요소의 평가에 집중할 수 있는 많은 기법이 존재한다. 

고객 요구사항이나 및 컴플라이언스 요건은 팀 우선순위에 영향을 주는 요소 중 하나다. 요청사항이 쏟아지더라도 엔지니어링 팀은 요청을 들어오는 대로 무작정 처리하지 말고 끈질기게 우선순위를 설정해 효율적인 작업 방식을 고수해야 한다. 

7. 적응력
보안 엔지니어링 팀은 변화하는 요건, 기술, 환경에 적응할 수 있어야 한다. 이것이 보안 및 기술 분야에서 일하는 즐거움 중 하나이다. 상황이 계속해서 바뀐다. 

적응력은 작업의 우선순위를 설정하는 것보다 중요하다. 이해관계자의 필요에 따라 문제에 맞춰 접근방식을 바꿔야 하기 때문이다. 팀이 성장함에 따라 역할을 조정하고, 이해관계자의 관계를 조율하며 문제 해결 방식에서 다양한 사람의 목소리를 경청해야 한다. 단지 기술을 도입하는 데 그치지 않고 워크플로우와 프로세스를 정착시켜야 한다. 

8. 끝없이 배우려는 자세 
적응력을 기반으로 끊임없이 새로운 스킬, 환경, 정책, 업무 방식을 배우려는 팀은 현명할 뿐 아니라 오늘날 어디에서나 필요한 인재다. 

보안 엔지니어링 팀의 구성원은 계속 발전하며 기존의 멘탈 모델과 경험을 활용해야 한다. 아담 그랜트는 씽크 어게인(Think Again)에서 이 부분을 자세히 다뤘다. 그는 과거의 경험에서 멘탈 모델을 가져와 새로운 문제를 해결하라고 조언했다. 이 멘탈 모델을 통해 사람들은 이전에 접한 적이 있는 상황과 유사한 상황에서 빛을 발휘할 수 있다. 

끝없는 배움은 기업 전반의 문화에 파급효과를 미친다. 지식은 공유로 이어지고, 공유는 논의로 이어지며, 새로운 것을 논의하면 관심과 대화가 생긴다. 이런 멘탈 모델이 기업 전체에 스며들면 직원들이 보안을 대하는 태도가 달라진다. 

이렇듯 보안 같은 전문적 분야에서 일한다고 해서 기술에만 집중하면 안 된다. 뛰어난 보안 엔지니어링 팀은 사람, 문제 탐구, 관계 구축, 우선순위 같은 요소 모두에 신경 써야 한다. dl-ciokorea@foundryco.com

robert_wood
By robert_wood
CISO, Centers for Medicare and Medicaid Services

Robert Wood is a seasoned security pro and currently a chief information security officer (CISO) of a large healthcare enterprise. With experience across many technical security disciplines, management consulting, he leads operations, security engineering, privacy, compliance, and counterintelligence efforts, leading his team and culture to stay ahead of the game in a rapidly evolving digital landscape. Previously, Mr. Wood built and managed security programs in the tech sector of several startup organizations. He also served as a principal consultant at Cigital where he advised and supported enterprises on their software security programs. He also founded and led the red team assessment practice, helping organizations identify and manage risks from every angle.

추천 콘텐츠

기획

현직 IT 리더들이 말하는 ‘실패 없는 벤더 관계 관리법’

By Patrizia Licata
6분
클라우드 컴퓨팅ICT 파트너공급업체 관리
이미지
케이스 스터디

사례 | "유행에 무작정 뛰어들지 않아 성공했다" 美 엠플리파이헬스의 AI 도입 전략

By Joanne Carew
4분
인공지능디지털 트랜스포메이션의료 산업
이미지
뉴스

'美 연방정부 투자설 나오는 가운데…' 인텔, 전현직 CEO 간 갈등은 심화

By Andy Patrizio
4분
산업서버기술 업계 동향
이미지