[독후감] ISACA 저널 2021년 1호 인적자원개발: The New Workforce

출처: Volume 1, 2021 (isaca.org)

 

2021년 1월호에는 총 9편의 글이 실렸다. 이번 호는 인적자원 개발에 관련된 주제들을 다루고 있는데 주로 사이버보안 인력 개발 및 확충에 대한 글이 대부분이다. 사이버 보안 프로그램 개발 및 문화개선에 관련된 사례연구 및 실질적인 제안을 담은 글들이 좋았다. 

*Note: This Korean writing is description of my personal thought about the articles in the ISACA journal. This is not a translation of full text from ISACA journal. If you would like to read the original and full copy, please visit ISACA website.

 

★ 읽기 추천에 대한 색깔 표시
원문읽기 추천 ●●●
나쁘지 않음. 시간이 있다면 원문읽기 추천●●
원문읽기 글쎄?●

 

기밀정보와 개인정보: Information Security Matters: Secrecy and Privacy (by Steven J. Ross)●◐

• 기밀정보와 개인정보의 공통점과 차이점에 대해 설명하면서 기밀정보를 어떻게 다루어야 하는지에 대해 이야기하고 있다. 최근 개인정보 보호에 관해 많은 토론이 이루어지고 있지만 기밀정보 보호에 대한 토론이 아직 많이 부족하다고 하면서 개인정보 보호 프로그램의 확장선 상에서 기밀정보 보호에 대한 대책 및 프로그램 개발이 필요하다고 이야기한다. 단순한 문제 제기일 뿐 구체적인 제언은 없는 글이다. 단골 기고가가 화둣거리로 쓴 글 정도로 생각하면 될 듯 하다.

 

뉴노멀시대, 원격근무환경에서 고려해야할 리스크 - IS Audit in Practice: Watching Out for Workforce Risk in the New Normal (by Cindy Baxter)●●●

• 팬데믹 영향 아래 뉴노멀 시대가 도래하면서 원격근무가 일반화되기 시작했다. 원격근무 환경에서 근무자들에 대한 보안 및 정보접근 관리를 어떻게 해야할 것인가에 대해 1) 조직 관리 측면, 2) 변화 및 접근관리 측면, 3) 정보교환과 투명성 관리 측면, 4) 통제활동 측면에서 바라보았다. 구체적인 리스크 시나리오를 이야기 형식으로 기술해나가는 것이 흥미로웠다. 
• 이 기고문의 핵심 메세지는 내부 감사 및 통제전문가들이 효과적인 거버넌스 모델을 수립하기 위해서는 원격 근무 환경 아래 근무자들에게 영향을 미칠 리스크 및 통제활동을 분석하고 이를 감사계획 및 리스크 평가에 반영해야 한다는 것이다.

 

평범치 않은 일용품, 인공지능 : The Bleeding Edge: Intelligence: A Not-So-Mediocre Commodity (by Dustin Brewer)●

• AI Guest Writer라는 인공지능 툴을 이용해 예문을 지어보면서 인공지능 시대 고려해야할 리스크에 대해 "간략히" 다루었다. 단골기고가가 쓴 "구체적인 제언 없이 문제제기만 있는" 단순한 글이다. 너무 가혹한 평인가? 그래도 이 글을 읽고 난 뒤 드는 허탈한 기분은 어쩔 수 없다.

 

사이버보안 인력 확충의 기회: 팬데믹 시대 실업률 상승은 사이버 인력 부족 현상에 종지부를 찍을 수 있다. - A Windows of Opportunity: Ending the Cyberworkforce Shortage Once and For All (by Phillip Casesa)●●◐

• 팬데믹 이후 많은 실업자들이 다양한 직종에서 발생했다. 다양한 분야의 실업자를 흡수하여 사이버 보안 인력을 키우자는 것이 이 글의 요지다. 필자는 사이버 보안 인력 부족 현상은 보안 전문가가 충분치 않아서 생기는 것이 아니라 인력 개발 방법의 문제라고 이야기한다. 사이버 보안 인력은 단순한 정보보안 기술에 대한 지식과 숙련도로 평가할 것이 아니라 문제 해결 능력이 초점을 맞추어야 한다고 지적한다. 문제 원인이 무엇인지 정확히 파악하고 창조적인 대안을 내놓면서 이에 대한 커뮤니케이션을 잘 하는 능력이 필요하다는 것이다. 그리고 이러한 능력은 IT 경력에 제한하지 않고 다양한 배경의 후보자들을 대상으로 평가한 후 사이버 보안 지식 및 기술훈련을 해도 늦지 않다고 이야기한다.
• 다양한 배경의 후보자들을 평가하기 위해서는 채용공고문을 준비할 때 직무기술 또는 사무분장 (job description)을 IT 전공자 중심의 구체적인 요구조건을 기술하기 보다는 문제해결능력, 리더쉽, 의사소통능력 등과 같은 소프트스킬 (soft skill)을 중심으로 만드는 것이 좋다. 예를 들면 컴퓨터 관련 전공자, 정보기술 관련 자격증 소지자 우대, 최소 몇년이상의 경력자 우대 등의 조건을 제시하면 다양한 배경의 후보자군을 끌어오는데 실패할 수도 있다.
• 이 글에서는 사이버 보안 인력 확중은 단기적인 기술인력 확충으로 보지 말고 장기적인 관점에서 인력을 개발해야한다고 이야기한다. 팬데믹 시대 기업은 조직을 다운사이징 하는 대신 조직내 타부서 인력을 훈련시켜 사이버 보안인력을 양성하는 것도 좋은 방법이라고 조언한다. 사이버 보안 인력 개발에 대한 간략한 방법론도 제시하고 있다. 첫번째로 사이버 보안 인력의 업무분장과 필요한 기술을 정의하고, 두번째로 현재 팀의 수행능력을 평가한 후 세번째로 미래 비전과 계획을 수립한 후 이에 필요한 인력 및 기술교육을 수행한다. 또한 이러한 인력의 기술 습득 상태를 정기적으로 체크하면서 인력 개인 및 팀의 업무수행능력을 정기적으로 모니터링하는 것이 중요하다고 이야기한다. 사이버 인력 개발은 IT부서와 내부감사팀과의 유기적인 협력 속에서 이루어지는 것이 중요하다고 강조하면서 내부감사자들이 사이버 보안 인력의 적격한 후보자가 될 수 있다고 언급하며 글을 마무리하고 있다.
• 이번 호에 나온 글 중 상당히 공감하며 읽은 글이다. 이 이야기는 비단 사이버 인력 채용에만 국한되는 이야기가 아닐 수도 있다. 대부분 회사에서 경력직 채용시 많은 조건들이 따라오게 된다. 후보자들이 요구조건들을 보고 지레 겁을 먹고 지원을 포기하는 것이 대부분이다. 회사에 도움이 될 수 있는 인력을 찾기 위해서는 요구조건 작성시 소프트 스킬 관점에서 이 후보자들을 어떻게 키워낼 것인가에 중점을 두는 것이 더 도움이 될 수도 있다. 회사의 인재상과 채용공고에서 나오는 요구조건이 불협화음을 내지 않기 위해 인사 담당자가 한번쯤 읽어볼만한 글이라 생각된다.

 

내부감사팀 능력 개발에 대해 : Reskilling Internal Audit (by Kevin M. Alvero & Stefanie Sullivan)●●●

• 기업 전략 및 리스크 평가가 팬데믹 이후 많은 변화를 겪게 됨에 따라서 내부감사팀에 대한 요구사항도 변화하고 있다. 유례없는 새로운 리스크의 출현(emerging and atypical risk)을 사전에 인지하고 최고 경영진이 이를 인지할 수 있도록 도와주는 미래지향적인 사고방식이 내부감사팀에게 요청되고 있다. 이를 위해 내부감사팀은 데이터 분석과 기술혁신을 통해 이러한 리스크를 인지할 수 있는 능력을 향상시켜야 한다. 
• 내부감사팀은 정보 기술을 활용하는 것 뿐만이 아니라 현재 회사내에서 이용되는 정보 기술에 대해 이해하고 있어야 한다. 빅데이터를 이용한 의사 결정 과정, 인공지능 기술 및 이에 따른 선입견 오류 리스크 및 잠재적 기회 등에 대한 이해가 필요하다. 따라서 복잡해진 정보기술과 리스크를 능동적으로 받아들일 수 있는 혁신적인 태도가 내부감사자들에게 요구된다.
• 내부감사팀에 있어서 필수적인 능력은 어떤 것일까? 최근 조사에 따르면 복잡한 데이터 분석 및 비판적 사고 능력 (critical thinking)이 95%로 1위를 차지했고 커뮤니케이션 능력이 94%로 2위를, 감사 프로세스에 대한 지식 및 이해력이 85%로 3위를 차지했다. 이것은 내부감사팀의 인재상이 조직의 리스크 및 전략 변화를 재빨리 인지하고 새로운 것을 능동적으로 배우는 사람으로 변하고 있다는 것을 의미한다.
• 훈련 및 교육프로그램을 통해 내부감사팀의 능력개발을 달성하는 것이 대부분인데 교육프로그램을 선택하는데 있어서 일상업무에 실제로 얼마만큼 활용될 수 있고 이에 대한 효과성을 고려하는 것이 필요하다. 팬데믹 이후 내부감사팀의 역할이 보다 신속하게 조직의 리스크를 인지하고 대응하는 것으로 초점이 맞춰지고 있다. 이에 따라 리스크에 대한 신속하고 민첩한 대응 그리고 기업 상황에 따라 유연하게 대처할 수있는 능력을 향상시키는 것이 내부감사팀 능력개발에 있어서 핵심고려사항이 될 것이다.
• 결국 팬데믹으로 인해서 기업 안팎의 리스크 환경이 바뀌면서 내부감사팀의 역할이 그만큼 중요해졌다고 볼 수 있다. 그리고 이에 따른 감사팀 훈련 및 능력 개발을 새로운 관점에서 바라보아야 한다고 이야기하고 있다. 내부감사팀의 역할에 대한 흥미로운 문제제기와 제언이 있는 글이었다.

 

사례연구: 프린스턴 대학의 보안 인식 교육 프로그램 구축을 통한 보안 문화 개선 사례 - Case Study: Transforming Princeton's Security Culture Through Awareness (by Dan Blum, David Sherry, & Tara Schaufler)●●●

• 프린스턴 대학이 2016년부터 3년동안 구축한 보안 인식 교육 프로그램 (Security Awareness and training program) 사례에 대해 다룬 장문의 글이다. 구축 초기, 정보보안팀 (InfoSec team)이 상대로 한 대학 구성원들 (대학 직원, 교수, 학생)을 상대로 보안 인식 교육의 어려움을 어떻게 극복했는지 알려주고 있다. 보안팀은 우선 대학 구성원들의 관심을 얻기 위해 대학내 인플루언서들과의 관계를 구축하고 대학 구성원이 기존에 가지고 있던 보안에 대한 사고방식에 대해 점진적인 커뮤니케이션을 통해 변화시키고자 했다. 이는 보안 인식 교육에 대한 조직 구성원들의 반발과 비협조적인 태도를 최대한 완화시키기 위한 방편이었다. 대학구성원의 보안교육에 대한 태도를 보다 긍정적으로 바꾼 뒤에는 보안 교육 프로그램의 내용과 질적 향상을 추구하였고 이후 대학구성원들이 의무적으로 보안 교육을 받을 수 있도록 제도화하기 시작했다.
• 프린스턴 대학은 ProofPoint와 같은 자동화된 위협감지장치와 피싱예방교육 웹싸이트 운용과 같은 보인인식교육 프로그램, 교육세미나 개최, 보안사고 및 해킹에 대한 분석 등을 통해 보안문화 향상을 꾀했다. 그들은 3년동안의 경험을 통해 교육프로그램을 보다 단순화 및 각자의 필요에 최적화시키고 참여자들에게 직접적으로 영향을 미칠 보안 리스크를 강조하는 것이 중요하다는 것을 깨달았다.
• 프린스턴 대학 보안 인식 교육 프로그램의 성공적인 구축사례는 현재 기업내 IT 리스크 및 통제프로그램을 구축하고 있는 나에게 좋은 방향점을 보여주었다. 인플루언서 활용과 인내심을 가지고 장기적인 관점을 가지고 프로그램을 구축하는 것을 어떻게 소화해낼 것인지가 관건인 듯 하다.

 

애자일 시대의 IT 보안 및 리스크관리 Adaptation of Information Security in the Agile World (by Gerald Pang)

• 시스템 개발에 있어서 유연성을 장점으로 하는 애자일(Agile) 환경에서 어떻게 보안 및 리스크 거버넌스를 구축할 수 있을 것인가? 이 기고문에서는 측정가능한 애자일 프레임워크에서 정의된 10개의 린-애자일(Lean-Agile) 원칙을 바탕으로 보안리스크 접근법을 제시하고 있다.
  • 린(Lean)은 효율적인 제조과정 혹운 운영 방법론으로 20세기 중반 도요타 제조시스템에 기초를 두고 있다. 최소한 일과 자원활용을 통해 최대한의 가치를 끌어내는 프로세스향상에 중점을 둔다. 인간 능력에 대한 무한한 신뢰를 바탕으로 소비자 뿐만이 아닌 공장노동자, 하도급업체, 커뮤니티 전반이 그들 최대한 능력을 발휘할 수 있는 환경을 만들어주고 최소한 노력으로 최대한의 가치를 창출하는 과정을 말한다. 
  • 10개의 린-애자일 원칙은 살펴보면:
    • 솔루션을 개발하는데 있어서 보다 거시적이고 전체적인 관점에서 시스템적인 사고방식을 가지는 것.
      • 시스템 개발 프로세스에서 보안팀의 적극적 참여를 유도.
    • 불확실성을 염두에 두고 의사결정을 하는데 있어서 다양한 옵션 고려
      • 보안정책을 바탕으로 한 시스템 개발 프로세스 내 보안관련 의사결정
    • 보안 통제활동 설계시 현실적인 비용과 손익계산 고려
    • 보안이 창출할 수 있는 가치분석
    • 애자일원칙에 따라 보다 빠르게 반응하고 보안원칙과 통합된 시스템개발 사이클
    • 참여자들이 이해하기 쉽도록 개념을 시각화하는 노력을 극대화하고 할당량을 최적화하는 노력
    • 일관적인 루틴관리로 개발자들의 집중력 극대화시키고 각기 다른 도메인 간의 연결고리를 최대한 활용하여 팀간의 시너지 극대화
    • 업무 프로세스 내 마일스톤(중요한 시점) 정의하고 이 시점에 프로세스와 배달물에 대한 객관적 평가가 이루어져야.
    • 지식 노동자들의 대한 동기부여
    • 탑다운 의사결정이 아닌 실무자 중심의 분산화된 의사결정 프로세스
• 애자일 방법론이 광범위하게 이용되면서 기존의 보안통제활동을 어떻게 통합시킬 것인가에 대한 고민을 담은 기고문이다. 최근 데브세크옵스(DevSecOps)라는 기존의 데브옵스에 보안활동을 포함시킨 시스템 개발 프로세스에 대한 토론이 활발하다. 이런 추세에 좋은 방향점을 제시해준 기고문이라 생각한다.

Tips for Strengthening Organizations From Within, the Tom Hanks Way (by Abdelelah Alzaghloul)●●

• 톰 행크스 (Tom Hanks)가 영화에서 보여준 각각의 캐릭터를 바탕으로 사이버 보안 프로그램 구축과 보안인력관리 전략에 대한 방향점을 제시했다. 성공적인 사이버 보안 프로그램은 공통된 원칙(principle)과 실행사항 (Practice)에 근간을 둔다. 저자는 그 원칙을 배우 톰 행크스가 출연한 영화를 통해 설명하고자 했다.
  • 라이언일병 구하기 : 눈 앞에 주어진 업무 및 문제 처리보다는 큰 그림을 보고 조직 전체를 위한 해결책을 모색해야 한다.
  • 아폴로 13: 협업과 원활한 커뮤니케이션이 중요하다.
  • 캡틴필립스: 해적대응을 위한 끊임없는 훈련이 중요하듯 보안사고에 대비하는 실전같은 훈련이 중요하다.
  • 터미널: 어떤 문제와 상황을 헤쳐나갈 수 있는 강인한 정신(Antifragility)이 필요하다.
  • 캐스트 어웨이: 조그마한 성공에 감사하고 다음 목표 성취를 위한 기반대로 삼아라.
• 5개의 영화 모두 개인적으로 재미있게 본 영화라서 그런지 저자가 전달하려는 메세지를 쉽게 이해할 수 있었다. 사이버보안 전략과 그 실행을 이해하기 쉽게 풀이해 쓴 글이지만 구체적인 실행 방법이나 사례가 제시되지 않은 점이 아쉬웠다. 시간이 난다면 소설책 읽듯 한번 쭉 읽어볼만한 글이다.

Security Discipline and Hygiene  Mean Healthy, Naturally (by Sundaresan Ramaseshan)●●◐

• 이 기고문은 전 직원을 대상으로 한 보안교육 및 문화정립의 중요성을 강조한 글이다. IT 보안점검 (IT Security hygiene)을 상향식 (Bottom up)과 하향식 (Top down) 접근 방법으로 나누고 7개 계층으로 구성된 개방형 시스템간 상호접속 모델 (Open system interconnection: OSI)을 이용해 그 상태를 점검하는 것에 대해 이야기한다. 참고로 OSI 7개 계층은 물리적 환경(Physical), 데이터링크(Data Link), 네트워크(Network), 전송(Transport), 세션(Session), 프리젠테이션(Presentation), 애플리케이션(Application)이다. 
• 정보 보안 정책 (Information Seucrity Policies: ISP)의 중요성도 강조했다. 보안정책을 수립하는데 필요한 프레임워크를 아래와 같이 제시한다.
  • Payment Card Industry Data Security Standard (PCI DSS)
  • ISO/International Electrotechnical Commission (ISO/IEC 27001)
  • Center for Internet Security (CIS) Critical Security Controls
  • US National Institute of Standards and Technology (NIST)
• IT 보안점검에 있어서 사람, 프로세스, 정보기술에 대한 측면에 대해 이야기한다. 사람은 보안을 수행하는 주체는 직원이며 자신의 직무와 연관된 보안관련지식을 습득하고 실천하는 것이 중요하다. 최고경영진 역시 보안에 대한 철저한 이해와 더불어 보안 리스크를 대하는 태도 역시 중요하다고 언급하고 있다. 프로세스는 보안 업무의 문서화 및 보안이 체계적인 워크플로우에 내재되도록 해야한다. 정보기술 측면은 하드웨어와 소프트웨어 측면에서 지속적인 패치 업데이트와 취약점 관리가 중요하다. 
• 또한 재난복구 계획 (Disaster Recovery) 수립 및 지속적인 훈련을 통해 보안에 관려된 사항을 숙지시켜야 한다. 코로나바이러스 팬데맥 상황에서 비즈니스 연속성 (Business Continuity)를 고려한 보안 계획 수립이 이루어져야 한다고 강조하고 있다.
• OSI 7개계층 모델을 중심으로 IT 보안 점검사항을 리뷰하는 것이 흥미로웠다. 회사구성원의 보안에 대한 이해와 인식, 실천 중요하다는 저자의 주장에도 공감이 간다. 꼭 보안담당자가 아니라도 회사내 IT 부서 근무자라면 읽어볼만한 글이라 생각된다.