내부적으로 안전 엔지니어를 육성하는 핵심요소

허다한 민간과 공공 영역에서, 안전 엔지니어가 결핍한 문제는 자주 보는 문제입니다. 하지만, 이에 대해서 문제 해결이 힘들다고 원망할 뿐입니다. 적합한 후선인을 발견하는 첫 절차는 직원의 안전에 대한 흥미를 불러 일으키는 것입니다. 다음, 핵심 요소는 한 개의 시스템을 구축한후, 인증과/또는 안전 엔지니어 잠재력이 있는 직원을 육성하여 자체 의식을 제고하고 동기를 강화하여 관리층을 포함하여 회사 전체로부터 지원을 얻는 것입니다. 그렇다면 인적 자원 개발을 위해 당사는 어떻게 이 적극적인 성장형 순환을 구축하였을까요？

2016년 다시금 사이버테러로 인한 우려로 가득찼고 회사와 정부는 중대한 손실을 입었습니다. 최근에는 랜섬웨어가 위협으로 등장하였는데, 공격자는 여러분의 데이터에 대해 암호화를 하거나 귀하의 컴퓨터를 잠그어 사기를 치는 수법을 사용하였습니다. 임의의 조직 모두 신속히 안전 조치를 강화해야 하는 이유입니다.

당사는 자신을 보호해야 합니다. 비록 점점 더 많은 회사들에서 “컴퓨터 안전사고 반응팀”(CSIRT)을 구축하고 있지만, 많은 회사들에서는 업무 수행에 무난한 안전요원을 찾아 직책을 맞기기가 힘들다는 점을 알고 있습니다. 때문에, CSIRT는 충분한 운행을 보장할 수 없게 된것입니다.

안전요원의 결핍은 엄중한 문제입니다. 정보기술촉진서(IPA)에서 발표한 “IT/안전 인적자원 발전 기본 연구”(2014)에 따르면, 목전 안전 엔지니어 부족량은 무려 22,000명이나 됩니다. 여기에다 기능이 미성숙된 안전 엔지니어를 더한다면 이 수치는 140,000명으로 늘어납니다.

내부적으로 안전 엔지니어를 유성한다는 일은 결코 쉬운 일이 아닙니다. 안전 엔지니어의 직업 발전에서서 필요한 기능을 확인시켜주고 발전 구조 구축이 조금 쉬워 보일수도 있지만 아래와 같이 아주 중요한 요소가 없다면 논할 가치조차 없는데, 그것이 바로: 후선입니다.

많은 회사들은 이렇게 원망합니다: 내부적으로 IT안전업무에 적합한 인원을 찾기가 쉽지 않다고 말입니다. 하지만, 자아의식을 제고하고 동기를 강화하며, 흥미와 잠재력을 촉발하기만 한다면 그 전반적 기능을 확장할 기회도 있기에 각 부서별로 활용할 수도 있는 것입니다. 후지스는 이 모식을 보완하였고, 지어는 시스템에 대한 개선을 통해 안전요원을 구체적으로 배치하였습니다.

우선, 안전요원의 가시화

2014년 1월, 후지스는 “후지스 안전방안”을 개시하였습니다, 이는 사이버 안전 엔지니어를 인증하는 초기 시스템으로, 안전기능을 구비한 엔지니어를 찾아, 다른 부서 안전요원의 기능 수준을 분석하고, 체계적으로 인적자원을 관리하는데 목적이 있습니다. 미국 “NICE 사이버 안전노동력 프레임”과 기타 소스에서는 이상적인 안전요원에 대해 정의하기도 하였습니다.

안전지식과 취미가 있는 인원이고 ICT 부서에만 제한하지 않은 상황에서, 기능 정의와 인증 시스템을 통해 회사내 매개 운영부서에서 후선인을 찾아야 합니다. 안전요원은 각 운영부서에 배치되어 회사의 안전성 강화에 기여합니다.

후지스는 사이버 안전요원을 3개 부류로 나누었습니다. 제1류는 현장 전문 인원, 즉 안전 사항에 익숙한 일반 시스템 엔지니어(SE)로, 회사에서 제공하는 서비스의 안전성을 제고하려는데 그 목적이 있습니다. 최초의 목표는 매 50명 직원중 한명의 현장 전문 인원을 인증하는 것으로, 현장 전문 인원 총수량은 560명입니다. 매개 부서별로 약 50명의 직원이 있기에 매개 부서에는 자신의 안전 전문 요원을 둘수 있습니다.

안전기능 뿐이 아닙니다

후지스의 안전 엔지니어는 어떤 기능을 구비해야 할까요？ 센터 주임 Okuhara는 다음과 같이 말했습니다: “아주 명확한 점은 그들은 안전 자격에 필요한 기술지식을 구비해야 하는바, 단 이는 전부가 아니지요. ”만약 실제 업무에 필요한 IT 기능, 이를테면 프레임, 소프트웨어, 사이버, 데이터베이스 측면의 기능을 구비하지 못한다면 그들은 현장 문제를 처리할 수가 없습니다.

마찬가지로 향후 안전 엔지니어 역시 비 IT기능을 구비해야 합니다. 만약 통계학에 대해 이해가 부족하다면 안전측면의 AI 기술을 충분히 활용할 수 없게 됩니다. 처한 영역에 근거하여 법률과 감사 지식도 필요할 수 있습니다. 따라서 사회에 대한 광범위한 요해가 없다면 상급 관리층과의 교류도 힘들어 집니다.

안전 엔지니어를 발견하고 훈련을 하는 외에, 후지스는 또 다른 동기가 있습니다目的, 즉 자신의 인증 시스템을 구축하는 것입니다. “당사는 모든 사람들한테 이 大家宣传시스템을 알려 안전에 대한 인식을 제고시킴으로써, 당사의 직원이 안전 엔지니어로 거듭나는 것을 고무해야 합니다. ”센터주임 Okuhara의 말입니다. 때문에, 후지스의 방법은 적극적인 성장 순환을 통해 인재 발굴로부터 시작하여 교육과 인증을 거쳐 기업을 위해 기여할 수 있게 하려는데 목적이 있습니다.

회사 경쟁을 통한 인재발견

안전에 취미를 느끼는 직원을 발견하는데서의 일종 방법은 회사 경쟁으로, “사이버 사격장”이라 불리는 시스템에서 실시됩니다. 사이버 사격장은 일종 시스템으로 가상환경에서 회사 시스템을 모방합니다.

사이버 사격장은 업무스크린을 구비하여 가상 서버와 기타 시스템 제어에 사용되며, 사이버 사격장은 그외 계기판과 스크린을 구비하여 CG효과를 실현하는 가시화 3D방식으로 바이러스 공격을 묘사합니다.

계기판 스크린을 통해 후지스는 안전 엔지니어를 훈련시키고, 일반 직원을 상대로 안전 경기를 조직합니다.

안전 경기는 일반적으로 6개월에 한번 주기로 열리며 20-40명 직원이 참가합니다. 계기판은 실시간으로 직원의 점수를 나타냅니다. 안전 경기는 회사가 구축한 사이버 사격장 시스템에서 직원한테 독특한 안전문제를 제공합니다

Okuhara는 다음과 같이 표시하였습니다: “당사는 안전 경기를 직원들이 흥미를 느끼고 참여하고 싶은 활동으로 되게 하기위해 노력하고 있습니다. 당사는 새로운 슈퍼 스타를 찾아 그들로 하여금 빛을 발할수 있게 할 계획입니다. ”그는 계속하여 다음과 같이 해석하였습니다: “비록 길은 아주 멀지만 당사는 안전 엔지니어를 위주로 하는 문화를 창조할 것입니다. 저희는 이 날의 도리를 기대합니다: 어느 초등학생한테 커서 무슨 일을 할것이냐고 물으면, 그들이 안전 엔지니어로 되고 싶어요 하고 말할수 있도록 말입니다.”

안전요원 결핍과 관련하여 회사의 입장에서 직원의 발견, 가시화와 교육 과정은 중대한 도전이 될수도 있지만, 이 또한 회사의 위험 대처 능력을 높일수 있는 기회로 될것입니다. 이는 결코 쉽게 해낼수 있다는 뜻이 아닙니다. 이 방안을 관리 사항으로 삼아 정성들여 제정하고 전체 회사에 홍보한후, 성과를 내야 합니다. 고려할 일이 아주 많은바 여기에는 구조 구축, 구체 조치 기획을 포함하여 ICT를 통해 시스템을 구축합니다.

이것이 바로 후지스의 독특한 면입니다. 당사는 고객사에 당사 안전요원을 지속적으로 지원할 수 있기를 희망하며, 당사의 안전요원 발견과 교육에 관한 다년간의 노하우를 바탕으로 “후지스안전방안”과 “사이버 사격장” 등 도구를 사용하여 안정적인 안전요원팀을 유지할 것입니다.

당사는 전면적인 컨설팅 서비스를 제공하는바, 여기에는 필수 인증지식과 기술기준이 포함됩니다. 아직 발견되지 못한 안전요원 찾기 프로젝트를 지속하여 회사 규보를 바탕으로 방법을 추진할 것입니다. 후지스 학습 미디어 교육 서비스는 외부 회사에 또 다른 일종의 선택을 제공할 것인바, 사이버 사격장을 활용하여 세미나도 가질 것입니다. 모의 사이버테러는 엔지니어에 포럼을 제공하여 그들의 능력을 과시하게 할 것입니다. 참가자는 또한 문제를 처리할 수 있는 최우선 방법 및 어떻게 하면 실제 업무에 활용할 것인가 하는 등 요령을 배우게 될것입니다.

회사에 안전요원이 극히 결핍한 상황에서 당사의 서비스를 사용하거나 조치를 취하고 기타 회사의 방법을 참고한다면 이는 아마 구조건설에서의 지름길이 될것입니다.

제일 중요한 점은 회사에서 시종일관 안전요원의 발견과 육성에 중시를 돌리느냐 하는 문제입니다.

*2017년 1월, 본 내용 TechTarget Japan에 게재됨