미 국방부가 사이버 인력 문제를 해결하기 위해 '상자 밖'에서 생각하는 방법

미 국방부는 사이버 인력 유지 및 채용 문제를 해결하기 위해 새로운 접근 방식을 취하고 있으며, 이를 위해서는 "틀에 박힌 사고"와 국방부 자체의 문화적 변화가 필요하다고 국방부 최고 정보 책임자의 자원 및 분석 담당 수석 책임자인 마크 고락은 Breaking Defense에 말했다.

그는 8월 16일 인터뷰에서 국방부의 사이버 인력 전략 발표에 이어 이달 초에 공개된 국방부의 새로운 사이버 인력 실행 계획이 그 중심에 있다고 말했다.

"전략은 모호합니다. 실행 계획은 고무와 도로가 만나는 지점이며, 실제로 모든 이니셔티브에 메트릭을 할당하는 곳입니다."라고 고락은 말했다. "우리는 시간이 지남에 따라 데이터를 추적하여 성과가 있는지 여부를 확인합니다. 성과가 없는 프로그램에 리소스를 소비하지 않을 것이기 때문입니다... 이것이 바로 실행 계획의 힘이며, 실제로 변화를 보고 시간에 따라 측정할 수 있다는 점입니다."

실행 계획에는 22개의 목표와 38개의 이니셔티브가 포함되어 있으며, 모두 병력 수요에 앞서 나가기 위한 역량 평가 및 분석 프로세스 실행, 부서 차원의 인재 관리 프로그램 구축, 문화적 변화 촉진, "역량 개발, 운영 효율성 및 경력 확대 경험을 향상시키기 위한 협업 및 파트너십 육성"이라는 네 가지 광범위한 목표와 연계되어 있다.

하지만 고락은 팀원들에게 "틀에서 벗어난 사고"를 할 수 있도록 권한을 부여했으며 어떤 이니셔티브도 거부하지 않았다고 말했지만, 부서가 22개 목표와 38개 이니셔티브에 얽매여 있지는 않다. 실제로 고락은 네 가지 목표에 영향을 미치지 못할 경우 일부 이니셔티브는 폐기할 수 있으며, 마찬가지로 유망해 보이는 새로운 이니셔티브도 추가할 수 있다고 말했다.

"국방부에서는 전례가 없는 일이라는 것을 알고 있지만, 이것이 우리가 그 과정을 거치는 방식입니다."라고 그는 말했다. "그리고 이 38개로 시작해서 더 많은 것으로 끝낼 것입니다. 5개년 계획입니다. 그리고 고객 기반, 사용자, 조직, [서비스] 등에 민첩하고 유연하게 대응할 수 있도록 계획하고 싶습니다."

실행 계획에서 국방부의 목표 중 하나는 현재 약 24%에 달하는 사이버 인력 결원율을 2년 안에 절반으로 줄이는 것이다. 하지만 이 수치는 눈에 보이는 것보다 더 복잡하다고 고락은 말했다. 군인, 민간인, 계약업체를 포함한 전체 인력에는 좋은 이직과 나쁜 이직이 모두 존재한다. 

"따라서 이직률의 수준과 어떤 유형의 이직률인지가 중요합니다."라고 고락이 말했다. "저는 그 지표가 마음에 들지 않습니다... 사람들이 승진하기 때문에 이직하는 건가요? 그건 좋은 일이죠. 사람들이 산업계로 가기 때문에 이직하는 건가요? 그것도 좋은 일입니다. 사람들이 [군]을 떠나 민간인이 되기 때문에 이직하는 것일까요? 이 또한 국방부 입장에서는 좋은 일입니다. 우리는 최고를 유지하고 있습니까? 좋은 일입니다. 성과를 내지 못하는 사람들을 유지하고 싶지 않습니다."

문화적 변화를 위한 노력

국방부는 인력을 유지하기 위한 일환으로 직원들의 행동 규범을 바꿀 방법을 고민하고 있다. 

고락은 "리더라면 누구나 가장 어려운 일이 문화를 바꾸는 일이라는 것을 알고 있습니다."라고 말했다. "저는 우리가 가진 좋은 점은 유지하되 일부 문화는 바꾸고 싶습니다... 예를 들어, 현재 인사 커뮤니티 내에서 사이버 예외 서비스 하에서 훨씬 더 빠르게 채용을 진행하고 직원들에게 훨씬 더 높은 수준의 인센티브를 제공할 수 있는 권한이 있습니다."

"우리가 발견한 것은 이것이 정책에 대한 예외이기 때문에 사용되지 않고 있다는 것입니다... 따라서 HR 인력이 이러한 모든 예외를 알고 이를 기꺼이 사용하도록 하는 것은 새로운 사고방식입니다."라고 그는 계속해서 말했다. "따라서 이러한 프로그램은 이러한 문화와 사고방식의 일부를 바꾸기 위해 우리가 검토하고 있는 프로그램입니다. 그리고 우리가 가진 힘을 유지하기 위해서는 그렇게 해야 한다고 생각합니다."

한 가지 아이디어는 유연한 근무 시간과 원격 근무 기능으로 전환하는 것인데, 이 두 가지 모두 현재 국방부와 인재를 두고 경쟁하는 민간 부문에서 널리 사용되고 있다. 그러나 마지막 부분에서는 "항상 듣고 있는" Alexa와 같은 장치, 심지어 가족 구성원이나 가정 환경 자체에 대한 보안 문제도 제기된다.

"집 안에는 문이 닫혀 있고, 창문이 닫혀 있고, 블라인드가 쳐져 있고, 물건을 끌어당기는 등 어떤 공간을 사용할 수 있습니까?"라고 그는 말했다. "물론 원격으로 분류 수준을 높이면 이러한 위험을 완화하기 위한 요구 사항이 더욱 많아집니다."

고락은 국방부가 사이버 인력을 위한 프로그램을 구축하여 위기가 발생하여 부서에 긴급 인력이 필요할 경우를 대비하여 퇴사 후에도 보안 허가를 유지할 수 있는 프로그램을 마련하려고 한다고 덧붙였다. 

계획에 명시된 목표 중 하나를 통해 국방부는 사이버 인력 개발을 발전시키는 데 도움이되는 전용 기금을 설립하여 획득 인력의 자체 기금 버전에 편승하기를 원한다고 고락은 말했다. 고락은 구체적인 금액은 밝히지 않았지만(그는 수백만 달러를 가리켰다), 이 기금은 처음에는 내부적으로 자금을 조달한 다음, 성공적이라고 입증되면 국방부가 의회에 가서 지원을 요청할 것이라고 말했다. 

이 기금은 학위, 자격증, 과정 및 부서의 전반적인 "더 높은 수준의 개발 유지"에 사용될 것이라고 고락은 말했다. 

"우리 인력은 항상 변화하고 있기 때문입니다."라고 그는 덧붙였다. "그리고 이러한 변화에 발맞추기 위해서는 끊임없는 교육과 개발이 필요합니다. 더 이상 사이버 직책에 채용되어 교육을 받을 필요 없이 평생 그 자리에 머물러 있을 수 있는 시대는 지났습니다."

고락은 전반적으로 인력 문제는 국가적 과제라고 말했다. "11초마다 새로운 사이버 공격이 발생하고 있습니다."라고 그는 말했다. "위협은 더 빠르고, 더 복잡하고, 더 복잡해지고, 더 다양한 출처에서 발생하고 있습니다. 앞으로도 이러한 위협이 줄어들 것으로 보이지 않습니다. 계속 증가할 것으로 보입니다."