쇠가 쇠를 날카롭게 하듯 사람도 사람으로 단련될 수 있어
훈련이 너무 느슨한 것 아닌지...실제 현장의 ‘리얼리티’ 살려야

[보안뉴스 문가용 기자] 성경의 잠언 27장 17절에 보면 “쇠는 쇠에 갈아야 날카롭게 된다”고 나온다. 그러면서 “사람도 그와 같다”고 한다. 미국에서는 수많은 스포츠 팀들이 ‘팀 빌딩’을 위해 이 말을 자주 인용한다. 서로의 경쟁과 연합한 노력을 통해 훈련을 하고, 더 나은 선수가 된다는 것이다. 그런데 엔지니어링 팀을 하나로 모으기 위해서 이 말을 인용하는 사례는 거의 보지 못했다.


또 하나 스포츠 팀에는 있고 엔지니어링 팀에는 없는 것이 있으니 바로 강도 높은 훈련이다. 각종 IT 및 보안 팀들이 하는 훈련이란, 학교에서 해봤던 것들의 반복인 경우가 많다. 하지만 실제 이들이 겪어야 하는 건 스트레스나 심리적 압박이 극심해지는 사건들이다. 몸값이 기업의 그것에 육박하는 스포츠 스타들도 연습과 훈련 중에 다칠 정도로 실제 시합을 방불케 하는 훈련을 하는데, 엔지니어들은 그렇지 않다. 실제 사건이 터졌을 때의 압박감이나 스트레스는 다 제하여 버린, 순풍과 같은 훈련만 한다. 그러니 어떻게 이들에게 실제 현장에서 벌어지는 일들을 맡길 수 있을까. 다음은 일부 ‘센 훈련’을 자랑하는 조직들의 훈련 프로그램들이다.

워게임
한 조직은 새내기 엔지니어를 영입하기 전에 강도가 높은 워게임에 참여하도록 한다. 워게임에서 특정 임무를 부여한 다음, 보다 경험이 많은 엔지니어를 시켜 그 임무를 방해하도록 한다. 즉 새내기 엔지니어가 가볍지 않은 스트레스 속에서 예측 못한 상황을 어떤 식으로 대처하는지를 지켜보는 것이다. 심지어 사장님인 척 위장해서 접근하는 경우도 있을 정도다(이는 늘상 현장에 존재하는 소셜 엔지니어링 위협이다).

여기서 ‘방해 행위’는 방해 그 자체를 목적으로 하지 않는다. 그리고 ‘리얼리티’를 표방한다. 즉 현장에서 일어날 법한 시나리오만으로 방해한다는 것이다. 또한 시험대에 오른 엔지니어가 위협 요소를 파악하고, 트러블슈팅을 하고, 긴급 조치를 취하는 모든 것들을 볼 수 있는 것이어야 한다. 위기 상황에서 어떤 식으로 소통하는지도 눈여겨본다. 보통은 IT 분야에서만이 아니라 일상 속에서도 ‘문제 해결’ 능력을 갖춘 사람들이 두각을 나타내고 결국 팀의 선택을 받는다.

경찰과 강도
IT 아키텍처는 유기적이라서 항상 변화를 겪는다. 그렇다는 건 어느 순간 새로운 요소들이 도입된다는 것인데, 이 때 IT 팀원들의 지식도 업데이트시켜야 한다. 새로운 것이 도입되었다는 것 자체도 알려야 하지만, 그게 무엇인지 교육시켜야 한다는 것이다. 엔지니어들의 지식과 실력을 항상 최신화하는 것은 빠르게 변화하는 IT 환경에서 가장 중요한 일 중 하나다. 새로운 것이라고 잘 몰라서 사고를 막을 수 없었다는 건 엔지니어가 할 수 없는 변명이다.

그래서 한 조직에서는 ‘경찰과 강도’ 게임을 실시한다. 워게임과 비슷할 수 있는데 보다 정형화 되어 있다고 볼 수 있다. 또한 누군가를 시험해보는 게 아니라 훈련을 목적으로 하고 있기에 둘 사이에는 상당한 차이가 있다. 새로운 기술이나 요소가 무엇인지 알려주고, 그걸 바탕으로 공격 시나리오와 방어 기술을 훈련해보는 게 ‘경찰과 강도’ 게임의 대략적인 진행 방향이다. 팀원 일부는 강도가 되고, 나머지는 경찰이 되어 역할을 수행한다.

경찰들은 이 새 기술 혹은 요소를 어떤 식으로 모니터링 해야 하는지 이해하고, 방해 공작이나 공격이 들어왔을 때 어떤 대응을 할 수 있는지 계획하고, 그 계획이 잘 통하는지 확인하는 임무를 갖고 훈련에 임한다. 반면 강도들은 이 새 기술 혹은 요소를 어떤 식으로 활용해 네트워크나 시스템에 침투할 수 있는지를 이해하고, 실제로 여러 가지 공격을 시도함으로써 공격 시나리오를 최대한 많이 도출하는 것을 목표로 한다. 이 둘이 훈련을 통해 상호작용을 하면서 경찰은 강도의 시각을 배우고, 강도는 경찰의 방어법을 익힐 수 있다.

이 훈련은 인프라 아키텍처를 담당하는 사람들에게도 꽤나 좋은 기회가 된다. 왜냐하면 실제로 이 훈련을 하다보면 새롭게 시도한 변화 요소나 기술이 제대로 적용되어 있는지 살필 수 있게 되기 때문이다. 많은 조직들에서 이 훈련을 실시하며 정말로 고쳐야 할 부분을 찾아내곤 했다.

엔지니어링 훈련은 신참들만 하는 것?
보통 새내기 단계가 지나면 엔지니어들은 회사에서 시키는 훈련을 매우 귀찮아한다. 그리고 자신은 그 단계를 지난 사람이라고 여긴다. 굉장히 위험한 생각이다. 면허증 따고 1~2년 동안 사고를 내지 않은 운전사들의 자신감이 커다란 사고를 일으킨다는 것을 떠올리면 이해하기 쉬울 것이다. 새로운 기술이 매일처럼 등장하는 때라 누구나 금방 새내기가 될 수 있는 때라는 걸 이해해야 한다. 조직 역시 ‘저 사람은 유능하니까 됐어’라고 훈련에 대한 관심을 끊어서는 안 된다. 그런 사람일수록 ‘실패 확률이 높은’ 훈련 과제를 줘서 자극시키는 게 현명할 수도 있다.

팀 훈련을 실시할 때 다음 기본 질문들을 바탕으로 계획하면 도움이 될 것이다.
1) 시나리오는 어떤 식으로 구성해야 할까?
2) 어떤 사람을 훈련의 책임자로 세워야 할까?
3) 훈련 기간은 어느 정도가 적당할까?
4) 결과는 어떤 식으로 측정하고 평가하는 게 적절할까?
5) 훈련이 끝나고 그 성과나 결과를 실제 현장 상황에 어떻게 적용시켜야 할까?

훈련의 성과는 눈에 화려하게 띄지는 않지만, 분명히 느껴진다. 훈련이 쌓이면 쌓일수록 느껴지는 게 더 강력해진다. 훈련 결과 자체의 성공을 위해 쉬운 과정을 택한다면 훈련 효과는 거의 느낄 수 없을 것이다. 훈련에서 많이 실패할수록 현장이 쉬워진다는 걸 잊지 말아야 할 것이다.

3줄 요약
1. 스포츠 스타들은 몸을 아끼지 않고 훈련하는데, 엔지니어들은?
2. 훈련은 실제 스트레스나 압박감까지도 연출할 수 있는 시나리오로 구성되어야 한다.
3. 훈련 결과 자체에 연연하면 실제 효과를 누리기 힘들다.

글 : 헥터 아길라(Hector Aguilar), Okta

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>