보안 책임자들은 지난 수십 년간 관련 학위를 가진 지원자에게 초점을 맞춰왔다. 하지만 인재 부족이 심화되고, 관련 학위가 없음에도 뛰어난 역량을 갖춘 보안 전문가들과의 경험이 쌓이면서 일부 CISO는 채용 전략을 재고하고 있다. 사이버보안 직무의 공석을 채우기 위해 역량 기반 접근법이 선호되고 있다.
ISC2의 CISO로 2022년 초에 부임한 존 프랑스는 직원을 채용하는 방식이 크게 변화하고 있다고 말했다. 프랑스는 부임 당시 보안 관련 학위를 가진 직원과 그렇지 않은 직원이 섞인 팀을 인계받았다.
그는 이런 인재 구성이 더 다양한 경험과 역량을 제공할 수 있다는 점을 발견했다. 이를 바탕으로 프랑스는 사이버보안 부서 내 직무에서 대학 학위 요건을 제거하고, 일부 직책에 대한 자격증 요건도 폐지하기로 결정했다.
프랑스는 “이전에는 대학 학위를 역량 평가 기준으로 봤지만, 이제는 학위 외에도 다양한 기준을 인정하고 있다. 학위는 하나의 지표이지만, 유일한 것은 아니며, 논쟁의 여지가 있으나 최고의 지표도 아니다”라고 언급했다.
이제 ISC2의 보안 부서는 문제를 해결할 수 있고, 좋은 의사소통 능력을 보여주며 호기심을 가진 지원자를 찾고 있다. 지원자는 해당 직무에 채용되면 수행하게 될 업무 역량을 보유하고 있는지 증명해야 한다. 프랑스는 “이런 역량을 학위나 자격증보다 더 중요하게 본다”라고 설명했다.
역량 기반 채용으로의 전환이 어려운 이유
역량 기반 채용은 ISC2 외에도 많은 기업에서 트렌드로 자리 잡고 있다. 이는 교육 배경이나 경험에 관계없이, 해당 역할에서 요구되는 작업을 수행하는 데 필요한 역량을 증명하는 지원자를 채용하는 방식이다.
프랑스는 역량 기반 채용이 다양한 인재를 모아 응집력 있고 고성능 팀을 만드는 최선의 방법이라고 보고 있다. 그는 재능 있는 직원들이 사이버보안 경력 이전에 군 복무나 다른 기회를 선택했기 때문에 관련 학위가 없다는 사실을 인식하고 있다. 더욱이 현재 사이버보안 분야의 공석을 채울 만큼 전문가가 충분하지 않다는 점을 이해하고 있다.
하지만 역량 기반 채용으로의 전환에는 단순히 채용 공고에서 ‘학위 필요’ 조건을 삭제하는 것보다 훨씬 더 많은 작업이 필요할 수 있다. 실제로 많은 조직이 전환 시도 후 실패하고 있다.
버닝 글래스 연구소와 하버드 비즈니스 스쿨의 2024년 보고서에 따르면, 저자들은 “역량 기반 채용이 확산하며 주목을 받고 있지만, 실제로 추가 고용 기회는 지난해 전체 채용의 700분의 1 미만이었다”라고 지적했다.
보고서가 분석한 조직의 약 45%는 역량 기반 채용을 명목상으로만 도입하고 인재 채용 및 선발 방식에 실질적인 변화는 주지 않은 것으로 나타났다. 약 20%는 역량 기반 채용으로 어느 정도 진전을 이뤘지만, 단기적인 성과 이후에 노력을 지속하지 않았다.
보고서는 “역량 기반 채용의 성공에는 단순히 구인 공고에서 특정 문구를 제거하는 것 이상이 필요하다. 기업은 기존 채용 관행을 강력하고 의도적으로 변화시켜야 한다. 그리고 변화는 어렵다”라고 설명했다.
‘다르게 채용하기’
조사에 따르면 역량 기반 채용을 명목상이 아니라 효과적인 전략으로 만들기 위해 노력한 기업의 비율은 약 37%였다. ISC2와 프랑스 역시 그 중 하나였다.
성과를 개선하기 위해 프랑스는 HR 팀과 협력하고 있다고 밝혔다. 먼저 공석 직위에 대한 직무 설명을 검토하고, 조직의 현재 요구 사항에 기반해 다시 작성한다. 또한 채용됐을 때 해당 직위가 처리할 업무를 상세히 기술하고 업무 수행에 필요한 역량을 명시하고 있다.
프랑스는 일부 채용 공고에 ‘복잡한 문제를 해결할 수 있어야 함’과 같은 비기술적 역량과 성향을 먼저 기재하기도 한다면서, “그럴 때에는 기술적 역량보다 성향에 기반한 요소를 더 중시한다”라고 설명했다.
그는 채용 팀이 학위에만 의존하지 않고 이력서를 평가하는 방법을 이해하는 데 있어 이런 방법이 유용하다고 언급했다.
ISC2는 또한 면접 과정을 조정해 지원자들에게 실제 시나리오를 해결하도록 요청하며, 이를 통해 기술적, 개인적, 지적 능력을 평가하고 있다. 프랑스는 “사람의 여러 측면을 테스트한다”라고 말했다.
다만 프랑스는 역량 기반 채용이라 하더라도 교육 배경과 자격증 요구 사항을 완전히 배제하지는 않는다고 말했다. 그에 따르면 자격증은 특정 역량과 적성을 나타낼 수 있으며, 종종 학위보다 더 효과적일 수 있기 때문이다.
실제로 그는 일부 신규 채용자들에게 기간 내 특정 자격증을 취득하도록 요청할 계획이라고 말했다. 신규 채용자의 학습 의지와 역량을 보여줄 수 있다는 이유에서다.
프랑스는 “이 모든 요소가 다르게 채용하는 데 도움이 됐다”라며, “이렇게 함으로써 이전에는 얻지 못했을 우수한 지원자들을 확보할 수 있었다. 이는 진정한 의미의 다양성을 제공했으며, 그 다양성이 최고의 인재 풀을 제공한다”라고 말했다.
‘업무에 맞는 인재 선발’
역량 기반 채용은 사실 새로운 경향이라기보단 옛 방식의 재등장 같은 인상을 줄 수 있다. 고용주들은 항상 입증된 기술을 갖춘 직원을 찾아왔기 때문이다. 또한 기술 분야는 대학 학위가 없이도 높은 성취를 이룬 전문가들로 채워져 왔다.
그럼에도 불구하고 더 많은 고용주가 역량 기반 채용으로 전환하고 있으며, 구인 공고와 평가에서 역량을 강조함으로써 채용 과정을 개선하고 있다. 이와 관련해 링크드인의 ‘2025년 채용의 미래’ 보고서는 “역량 기반 검색을 가장 많이 수행하는 기업이 우수한 인재를 채용할 가능성이 12% 더 높다”라고 밝히기도 했다.
보안 인력 솔루션 기업 사이버SN(CyberSN)의 설립자이자 CEO인 데이드레 다이아몬드도 그 효과를 직접 경험했다고 밝혔다.
다이아몬드는 회사에 역량 우선 접근법을 도입했다. 사이버SN은 정규직 채용을 담당하며, 자체 개발한 분류 체계를 활용해 ‘지원자가 실제로 매일 어떤 일을 하게 될지’를 명확히 보여주는 채용 요건을 작성하고 있다.
이런 방식은 사이버SN과 고객사가 ‘보안 엔지니어’와 같은 모호한 직책과 그에 따른 불분명한 직무 설명에서 벗어날 수 있도록 돕는다. 직책과 직무의 모호함이 채용 담당자로 하여금 관련 학위만을 전문성의 지표로 보게 되는 원인일 수 있다는 것이다.
다이아몬드는 인정받는 자격증을 통해 필요 기술을 증명할 수 있는 지원자를 찾는 것 외에도, 필기 및 구술 테스트를 활용해 지원자들, 특히 업계 신입들이 해당 직무에 필요한 기술을 갖추고 있는지 확인하고 있다.
그는 “결국 중요한 것은 해야 할 업무와 지원자가 최근에 해온 일이 얼마나 잘 맞는가다”라고 설명했다. 다이아몬드는 사이버보안 분야의 다양성을 촉진하는 비영리 단체 사이버시티(Cyversity)의 이사회 멤버이기도 하다.
사이버보안 학습 및 연습 플랫폼을 개발하는 이머시브(Immersive) 역시 사이버보안 인재 채용에 있어 역량 기반 접근법으로 좋은 성과를 거두고 있다. 그 과정에는 여러 과제가 뒤따랐다.
이머시브의 회복 탄력성 담당 수석 디렉터 댄 포터는 학위나 자격증을 의무화하지 않고 역량에 따라 후보자를 평가하고 있다고 언급했다.
이머시브는 채용 과정에서 자사 플랫폼을 활용해 특정 사이버 직무 지원자들에게 맞춤형 학습 콘텐츠를 제시하고 있다. 포터는 각 지원자의 문제 해결 정확도와 처리 시간 등 성과를 분석해 “빠르면서도 정확한 판단을 내릴 수 있는 사람을 찾아낸다”라고 설명했다.
또한 그는 면접에 초대된 지원자들에게 문제 해결 능력과 협업 기술을 평가하기 위한 과제를 준다면서, “사이버보안은 매일 새로운 도전이 생기는 빠른 환경이다. 그래서 지원자들이 문제 해결에 대한 열정과 마음가짐을 갖고 있는지 알기 위한 목적”이라고 말했다.
ISC2의 프랑스와 마찬가지로, 포터는 이 접근법이 성공하려면 HR 부서와의 협력이 필수라고 말했다. 특히 급여 체계가 학위 소지자를 우대하지 않도록 하는 것이 중요하다는 설명이다. 그는 또한 학위가 역량의 상징이라는 전형적인 사고방식을 바꾸는 일도 중요하다고 조언했다.
포터는 이머시브가 역량 기반 채용을 통해 기존 환경에서 눈에 띄지 않았을 지원자를 발굴해 냈고, 이들이 실제로 매우 성과 높은 직원이 됐다고 언급했다. 그는 “서류상으로는 뛰어나 보이지 않을 수 있지만, 실제로는 자기 일에 탁월한 능력을 보여주고 있다”라고 덧붙였다.
dl-ciokorea@foundryco.com
Read More from This Article: ‘학위나 경력 대신…’ CISO들이 역량 기반 채용으로 전환 중인 이유
Source: News