철저하게 전략적으로 접근해야... 인사부에 모든 걸 맡길 순 없어
열린 질문, 갑작스런 질문, 가벼운 함정 파기 등 면접 때 할 수 있는 일들
[보안뉴스 문가용] ‘알곡과 쭉정이’의 비유는 현대 영미권은 물론 약간의 형태만 바뀌어서 여러 문화권에서도 사용되고 있다. 주로 진짜 필요한 것과 그렇지 않은 것을 구분해야 한다는 맥락에서 등장한다. 이는 뒤집어 생각해보면, 우리에게 일어나는 좋은 것들이 항상 정제된 포장지 속에 싸여 오지 않는다는 걸 알 수 있다. 정말 좋은 걸 얻으려면 앉아서 거르는 작업이 반드시 필요하다.
.jpg)
이런 작업을 당장 해야 하는 사람은 수도 없이 많겠지만, 그 중에 하나인 인사담당자 혹은 면접관들에 대해 이야기해보고자 한다. 특히 보안 인력을 채용해야 하는 면접관들은 도대체 뭘 기준으로 알곡과 쭉정이를 구분해낼 수 있을까? 여러 보안 담당자들과 이야기를 나눠보면 ‘사람 뽑는 게 제일 어렵다’는 말을 자주 듣는다. 솔직히 말해 사람은 전략적으로 뽑아야 하는데, ‘감’이란 것에 너무 의존하니 이런 어려움이 발생하는 듯도 하다.
채용 모집 광고에 지원하는 사람들은 말 그대로 ‘다양하다.’ 그렇기 때문에 인사과에서 먼저 이력서를 검토해서 1차적으로 원하는 사람을 뽑아낸다. 그리고 선정된 사람들의 이력서는 보안 담당 팀장이나 관련 업무를 처리하는 사람에게로 넘어간다. 인사업무도 매우 전문적인 분야이긴 하지만, 인사부는 회사 전체의 인원에 대한 인사를 담당한다. 특정 직군에 대해 더 잘 알거나 할 수는 있지만 이들에게 모든 걸 일임할 수는 없다. 보안 부서에 딱 필요한 인재를 짚어내기를 기대해서도 안 된다는 것이다.
게다가 요즘 구직자들은 매우 영리하다. 1차 선택을 인사부에서 하는 것을 알고 있어, ‘인사부’가 좋아할 만한 내용을 서류로 꾸리는 것이다. 업계 내 깊이 관여해 있지 않은 사람이 보면 그럴싸한 전문용어로 가득한 경력과 자기소개를 작성하고, 그렇게 해서 1차 심사를 통과한다. 그러니 1차 심사가 점점 그 의미를 잃어간다. 실제 이런 사람들이 고용되어 현장에 투입되는 경우도 있는데, 이는 대부분 엄청난 고통과 비극으로 결론이 난다.
사람이 없다고 불평하기는 쉽다. 인재를 키워야 한다고 말하는 것도 쉽다. 하지만 정말로 조직들이 해야 할 일은 무엇일까? 가장 먼저는 1차 통과 서류를 무조건 믿지 말고 반드시 면접을 하는 것이다. 아마, 대부분 회사들이 면접을 거쳐서 사람을 뽑긴 할 것이다. 그렇다면 중요해지는 건 면접 시 해야 할 질문이다. 무엇을 묻고, 어떤 점을 캐치해야 하는 것일까? 내 경험을 몇 가지 공유해보고자 한다.
정답이 없는 질문을 하라
물론 심플하고 직선적인 질문들도 면접 시에는 필요하다. 하지만 정보 보안을 담당하는 자에게는 갑작스럽고 구조화되지 않은 정보를 다루는 순발력과 해결 능력이 필수요소다. 그러므로 여러 답이 나올 수 있는 질문을 던져보면서 그 사람의 말과 행동을 관찰해볼 필요가 있다. 예로는 다음과 같은 질문이 있다. “로그 세 개, 침해 지표 한 개를 가지고 유출 여부를 조사해야 한다면, 어떤 출처의 로그를 요구할 것이며 조사 과정을 어떤 식으로 구조화할 것인가?” 이 문제에 답하려면 분석 기술, 생각을 정리하는 기술, 해결 과정을 전개하는 능력, 그걸 말로서 전달하는 능력까지 있어야 한다.
면접자를 안전구역에서 밀어내라
한 사람의 성격이 가장 적나라하게 드러나는 건 바로 극한 상황에 내몰렸을 때다. 물론 직업 면접에서 사람을 극한 상황에 내몰 수는 없다. 다만 ‘편안하다’고 느끼는 안전구역에서 잠깐 나오게 할 수는 있다. 안전구역에서 나왔을 때 싸움닭 같은 모습이 내비쳐지는지, 여전히 여유롭고 예의바른지, 긴장으로 아무 말도 못하는지, 살필 수 있다. 조직 내에서 일을 할 때에는 성격도 중요하다.
주의를 끌라
갑작스런 소음, 면접관의 찡그린 표정 등 주의를 끌 수 있는 장치를 배치하고, 그런 부차적인 요소들에 신경 팔리지 않고 면접에 온전히 집중할 수 있는지도 파악하는 것도 좋다. 혹은 상호충돌을 일으키는 정보를 주어 그것을 발견해낼 수 있는지를 알아보는 것도 ‘생각의 집중도’를 알아볼 척도가 된다. 면접관이 다리를 떨고 있다고 계속 그쪽만 쳐다본다거나, 제시된 정보가 맞는지 틀리는지도 판별하지 못하고 그저 고개만 끄덕인다면, 실제로 노이즈와 각종 잘못된 정보와 오탐으로 가득한 정보보안 현장에서 실수할 가능성이 높다.
가장 자신 있다고 말하는 분야를 진짜 시켜보라
면접을 볼 때는 자신감 있는 태도가 중요하다고 말한다. 그래서 그런지 ‘장인’이라든가 ‘마스터했다’는 표현을 별 다른 고민 없이 말하는 이들도 많다. 그렇다면 진짜 시켜보면 된다. 어떤 툴을 잘 다룬다고 하면, 자세하게 물어보고 해당 툴이 설치된 시스템을 구해다가 직접 실행해보게 하라. 왜 검증도 없이 모르는 사람의 말만 믿는가?
가벼운 함정을 파라
약간 위험할 수 있는 항목인데, 이건 악의적으로 면접자를 골려주라는 게 아니다. 먼저 이력서를 꼼꼼히 살피고, “이력서에 이런 이런 내용이 있는데...”라고 질문을 하되, 사실은 이력서에 없는 내용을 물으라는 것이다. 최근 너무 많은 구직자들이 ‘어차피 하나하나 검사하지 않을 거다’라는 생각으로 특기나 취미, 이력 사항에 사실이 아닌 것들을 채워 넣고 있다. 그게 아니더라도, 수박 겉핥기로만 아는 뭔가를 적어놓기도 한다. “아, 그거요...”하면서 말을 더듬는 사람보다 “그런 내용 적은 기억이 안 나는데요?”하고 묻는 사람이 보다 정직할 확률이 높다.
인력난 문제가 하루아침에 해결될 리는 없다. 그렇기에 각 기업들은 지금 있는 사람들 중 가장 뛰어난 사람들을 발견하고 뽑아야 한다. 어쩌면 정보보안의 싸움은 그것부터인지도 모른다. 위험 인자와 멀웨어의 치명적인 정도가 조직마다 다르듯 내가 마주하고 있는 이 낯선 젊은이가 멀웨어가 될지 백신이 될지 모르는 것이다. 당신은 이력서의 온갖 노이즈를 걸러내고 오탐하지 않을 수 있는가? 아니면 사람을 감으로 뽑듯 네트워크에 잠재한 멀웨어들도 감으로 잡아내려고 하고 있는 건 아닌가?
글 : 조슈아 골드팝(Joshua Goldfarb)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
열린 질문, 갑작스런 질문, 가벼운 함정 파기 등 면접 때 할 수 있는 일들
[보안뉴스 문가용] ‘알곡과 쭉정이’의 비유는 현대 영미권은 물론 약간의 형태만 바뀌어서 여러 문화권에서도 사용되고 있다. 주로 진짜 필요한 것과 그렇지 않은 것을 구분해야 한다는 맥락에서 등장한다. 이는 뒤집어 생각해보면, 우리에게 일어나는 좋은 것들이 항상 정제된 포장지 속에 싸여 오지 않는다는 걸 알 수 있다. 정말 좋은 걸 얻으려면 앉아서 거르는 작업이 반드시 필요하다.
이런 작업을 당장 해야 하는 사람은 수도 없이 많겠지만, 그 중에 하나인 인사담당자 혹은 면접관들에 대해 이야기해보고자 한다. 특히 보안 인력을 채용해야 하는 면접관들은 도대체 뭘 기준으로 알곡과 쭉정이를 구분해낼 수 있을까? 여러 보안 담당자들과 이야기를 나눠보면 ‘사람 뽑는 게 제일 어렵다’는 말을 자주 듣는다. 솔직히 말해 사람은 전략적으로 뽑아야 하는데, ‘감’이란 것에 너무 의존하니 이런 어려움이 발생하는 듯도 하다.
채용 모집 광고에 지원하는 사람들은 말 그대로 ‘다양하다.’ 그렇기 때문에 인사과에서 먼저 이력서를 검토해서 1차적으로 원하는 사람을 뽑아낸다. 그리고 선정된 사람들의 이력서는 보안 담당 팀장이나 관련 업무를 처리하는 사람에게로 넘어간다. 인사업무도 매우 전문적인 분야이긴 하지만, 인사부는 회사 전체의 인원에 대한 인사를 담당한다. 특정 직군에 대해 더 잘 알거나 할 수는 있지만 이들에게 모든 걸 일임할 수는 없다. 보안 부서에 딱 필요한 인재를 짚어내기를 기대해서도 안 된다는 것이다.
게다가 요즘 구직자들은 매우 영리하다. 1차 선택을 인사부에서 하는 것을 알고 있어, ‘인사부’가 좋아할 만한 내용을 서류로 꾸리는 것이다. 업계 내 깊이 관여해 있지 않은 사람이 보면 그럴싸한 전문용어로 가득한 경력과 자기소개를 작성하고, 그렇게 해서 1차 심사를 통과한다. 그러니 1차 심사가 점점 그 의미를 잃어간다. 실제 이런 사람들이 고용되어 현장에 투입되는 경우도 있는데, 이는 대부분 엄청난 고통과 비극으로 결론이 난다.
사람이 없다고 불평하기는 쉽다. 인재를 키워야 한다고 말하는 것도 쉽다. 하지만 정말로 조직들이 해야 할 일은 무엇일까? 가장 먼저는 1차 통과 서류를 무조건 믿지 말고 반드시 면접을 하는 것이다. 아마, 대부분 회사들이 면접을 거쳐서 사람을 뽑긴 할 것이다. 그렇다면 중요해지는 건 면접 시 해야 할 질문이다. 무엇을 묻고, 어떤 점을 캐치해야 하는 것일까? 내 경험을 몇 가지 공유해보고자 한다.
정답이 없는 질문을 하라
물론 심플하고 직선적인 질문들도 면접 시에는 필요하다. 하지만 정보 보안을 담당하는 자에게는 갑작스럽고 구조화되지 않은 정보를 다루는 순발력과 해결 능력이 필수요소다. 그러므로 여러 답이 나올 수 있는 질문을 던져보면서 그 사람의 말과 행동을 관찰해볼 필요가 있다. 예로는 다음과 같은 질문이 있다. “로그 세 개, 침해 지표 한 개를 가지고 유출 여부를 조사해야 한다면, 어떤 출처의 로그를 요구할 것이며 조사 과정을 어떤 식으로 구조화할 것인가?” 이 문제에 답하려면 분석 기술, 생각을 정리하는 기술, 해결 과정을 전개하는 능력, 그걸 말로서 전달하는 능력까지 있어야 한다.
면접자를 안전구역에서 밀어내라
한 사람의 성격이 가장 적나라하게 드러나는 건 바로 극한 상황에 내몰렸을 때다. 물론 직업 면접에서 사람을 극한 상황에 내몰 수는 없다. 다만 ‘편안하다’고 느끼는 안전구역에서 잠깐 나오게 할 수는 있다. 안전구역에서 나왔을 때 싸움닭 같은 모습이 내비쳐지는지, 여전히 여유롭고 예의바른지, 긴장으로 아무 말도 못하는지, 살필 수 있다. 조직 내에서 일을 할 때에는 성격도 중요하다.
주의를 끌라
갑작스런 소음, 면접관의 찡그린 표정 등 주의를 끌 수 있는 장치를 배치하고, 그런 부차적인 요소들에 신경 팔리지 않고 면접에 온전히 집중할 수 있는지도 파악하는 것도 좋다. 혹은 상호충돌을 일으키는 정보를 주어 그것을 발견해낼 수 있는지를 알아보는 것도 ‘생각의 집중도’를 알아볼 척도가 된다. 면접관이 다리를 떨고 있다고 계속 그쪽만 쳐다본다거나, 제시된 정보가 맞는지 틀리는지도 판별하지 못하고 그저 고개만 끄덕인다면, 실제로 노이즈와 각종 잘못된 정보와 오탐으로 가득한 정보보안 현장에서 실수할 가능성이 높다.
가장 자신 있다고 말하는 분야를 진짜 시켜보라
면접을 볼 때는 자신감 있는 태도가 중요하다고 말한다. 그래서 그런지 ‘장인’이라든가 ‘마스터했다’는 표현을 별 다른 고민 없이 말하는 이들도 많다. 그렇다면 진짜 시켜보면 된다. 어떤 툴을 잘 다룬다고 하면, 자세하게 물어보고 해당 툴이 설치된 시스템을 구해다가 직접 실행해보게 하라. 왜 검증도 없이 모르는 사람의 말만 믿는가?
가벼운 함정을 파라
약간 위험할 수 있는 항목인데, 이건 악의적으로 면접자를 골려주라는 게 아니다. 먼저 이력서를 꼼꼼히 살피고, “이력서에 이런 이런 내용이 있는데...”라고 질문을 하되, 사실은 이력서에 없는 내용을 물으라는 것이다. 최근 너무 많은 구직자들이 ‘어차피 하나하나 검사하지 않을 거다’라는 생각으로 특기나 취미, 이력 사항에 사실이 아닌 것들을 채워 넣고 있다. 그게 아니더라도, 수박 겉핥기로만 아는 뭔가를 적어놓기도 한다. “아, 그거요...”하면서 말을 더듬는 사람보다 “그런 내용 적은 기억이 안 나는데요?”하고 묻는 사람이 보다 정직할 확률이 높다.
인력난 문제가 하루아침에 해결될 리는 없다. 그렇기에 각 기업들은 지금 있는 사람들 중 가장 뛰어난 사람들을 발견하고 뽑아야 한다. 어쩌면 정보보안의 싸움은 그것부터인지도 모른다. 위험 인자와 멀웨어의 치명적인 정도가 조직마다 다르듯 내가 마주하고 있는 이 낯선 젊은이가 멀웨어가 될지 백신이 될지 모르는 것이다. 당신은 이력서의 온갖 노이즈를 걸러내고 오탐하지 않을 수 있는가? 아니면 사람을 감으로 뽑듯 네트워크에 잠재한 멀웨어들도 감으로 잡아내려고 하고 있는 건 아닌가?
글 : 조슈아 골드팝(Joshua Goldfarb)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
