보안 업계에 종사하는 사람으로서 고무적인 일이 아닐 수 없다. 그런데 온라인에 올라오는 질문에 대한 답변에는 보안 학원에서 올린 것들이 많아 도리어 혼란스러운 점도 없지 않았다. 보안 업계 관점에서 의견을 주면 이들에게 도움이 될 것 같다.
몇 가지 자주 나온 질문을 골라 답변을 작성해 보았다. 이게 정답은 아닐 수 있지만, 보안 업계의 답변이라는 측면에서 보시면 앞길을 고민하는 분들께 도움이 되지 않을까 생각한다.
◆보안 전문가가 되기 위한 공교육 과정
질문: 보안 전문가가 되려면 뭘 공부해야 하나? 어디서 공부해야 하나?
답변: 한마디로 '보안'이나 '해커'란 단어가 붙은 대학교는 없다. 다 학원이다. 보안 전문가가 되고 싶으면 일단 대학을 들어가는 게 정석이다. 공교육을 통해 체계적으로 배워야 할 지식이 매우 많기 때문이다. 보안 전문가는 간단하게 익히는 몇 가지 해킹 기술로 되는 것이 아니다. 컴퓨터 구조, 운영체제, 네트워크, 자료 구조, 알고리즘, 정보보호, 프로그래밍 언어, 컴파일러 등 컴퓨터와 네트워크에 대한 전반적인 학습을 해야 한다. 이렇게 기본을 잘 닦아 놓아야 계속 새롭게 나오는 IT 기술을 이해하고 익힐 수 있다.
물론 공부보다는 바둑이 훨씬 좋은 바둑신동들처럼 학과공부는 싫지만 컴퓨터를 갖고 노는 것이 즐거운 학생들도 있을 것이다. 입시 공부가 영 체질이 아닌 학생들은 위에 말한 컴퓨터의 기본 분야를 따로 공부하기 바란다. 그리고 대학이나 보안 전문 기관에서 개최하는 해킹(방어)대회에 참여하여 본인의 역량을 입증하는 것이 회사에 들어갈 때 도움이 될 수 있다.
질문: 어떤 학과에 들어가야 하나?
답변: 크게 두 가지가 있다. 하나는 대학의 정보보호학과 또는 정보보호전공이 있는 학과에 들어가는 것이다. 정보보호학과는 보안 전문가로 성장하는 데 필요한 IT 보안 분석에 대한 기초를 가르치기 때문에 매우 유용하다. 컴퓨터공학의 경우 여러 분야를 가르치긴 하는데, 아무래도 프로그래밍에 약하다. 훌륭한 보안 전문가가 되려면 훌륭한 프로그래머가 되지는 못하더라도 웬만한 프로그래밍 실력은 있어야 한다.
C나 C++ 등을 이용한 개발은 웬만큼 할 수 있는 게 좋고, 요즘 웹 자바스크립트나 PHP, JSP 등의 웹 스크립트 언어는 웬만큼 다룰 수 있어야 한다. 개발 역량 없이 훌륭한 보안 전문가가 될 수는 없다. 정보보호학과에서 보안 분석을 중점으로 배우면서, 프로그래밍 실력을 키우는 것이 좋겠다.
다른 하나는 컴퓨터공학 관련 학과에 들어가는 길이다. '컴퓨터'나 '인터넷'이라는 단어가 붙은 과가 많으니 조심해서 잘 지원하기 바란다. 회사에서 면접을 하다 보니 '멀티미디어', '전자상거래', '인터넷'이란 단어가 붙은 학과들에서 컴퓨터공학 이론을 배우지 않고도 졸업할 수 있다는 걸 알게 되었다. 컴퓨터 내부를 깊이 알지 못하면 보안을 취미로 할 수 있을지는 몰라도 직업으로 할 수는 없다. 컴퓨터공학을 전공하면서 보안 쪽을 배울 수 있는 한 가지 방법은 보안 동아리에 들어가는 것이다. 보안 동아리의 실력이 천차만별이긴 한데, 비슷한 걸 공부하고 비슷한 취미를 갖는 사람들이 함께 있다는 것이 큰 장점이다. 본인의 열정에 따라 실력을 쌓는 경우도 꽤 있다.
질문: 대학원에 진학하는 게 좋은가?
답변: 사람에 따라 생각이 다를 수 있지만, 기회가 된다면 대학원 진학도 할 것을 권하고 싶다. 학부에 정보보호학과가 없더라도 대학원에서 정보보호를 전공할 수 있는 대학이 여럿 있다. 컴퓨터공학을 전공하고 보안 동아리 활동을 하면서 대학원에서 정보보호를 전공하는 것도 정통 보안 전문가로 성장할 수 있는 좋은 길이다.
◆보안 전문 학원과 자격증
질문: 정보보호나 컴퓨터공학을 전공하지 않았지만, IT 보안 분야로 취업(또는 전직)하고 싶다. 어떻게 준비해야 하나?
답변: 이미 공교육에서 배울 수 있는 시기를 지나친 취업준비생들이 찾을 수 있는 곳이 보안 전문 학원이다. 학원의 특징은 단편적인 지식을 쌓기 쉽다는 점인데, 보안은 종합예술이기 때문에 단기간에 큰 돈을 들여서 성과를 얻기는 어렵다는 점에 유의해야 한다. 가능하면 원리를 이해하고 컴퓨터와 네트워크, 애플케이션 보안의 이론을 알기 위해서 노력하는 것이 필요하다. 전공과 다른 분야에 취업하거나 전직을 한 경우는 그 이후가 매우 중요하다. 전직은 단지 출발일 뿐이다. 앞서 언급한 컴퓨터공학의 기본 지식과 IT 보안에 필요한 기술을 꾸준히 학습하여 실력을 향상시켜야 제대로 자리를 잡을 수 있다.
질문: 보안 전문가가 되기 위해 어떤 자격증이 필요한가?
답변: 보안 전문 자격증으로는 SIS(Specialist for Information Security, 정보보호전문가), CISSP(Certified Information System Security Professional, 정보시스템 보안 전문가), CISA(Certified Information System Auditor, 정보시스템 감리사) 등이 있다.
보안 분야 자격증은 보안을 체계적으로 공부하는 데 도움이 되긴 하지만 그 이상도 이하도 아니다. 다만 정부에서 매년 정보보호컨설팅전문업체를 지정할 때 해당 자격증을 가진 인력이 일정 수 이상 있어야 하기 때문에 보안 컨설팅 업체에 취업하여 보안 컨설턴트로 성장하는 데에는 도움이 된다. 대기업에서도 보안 관리자들을 뽑을 때 자격증이 있는 사람을 선호할 수 있다. 다른 분야는 자격증이 크게 필요한 곳은 없다.
다들 알다시피 자격증은 실력을 보증하지 못한다. 자격증을 중시하는 회사는 지원자의 역량을 검증할 실력이 없는 업체일 가능성이 높다. 본인이 실력이 있다고 자신하면 자격증을 많이 따지는 회사는 선호하지 않는 게 좋다.
◆분야별로 일할 수 있는 곳 다양해
질문: 보안 전문가가 되려면 어떤 직장에 취업하는 게 좋은가?
답변: 전문 분야에 따라 취업하는 곳이 다르다. 우선 보안 전문 업체가 있다. 우리나라 보안 시장의 규모가 작고 보안 전문 업체들도 영세하긴 하지만 기술적인 깊이는 역시 보안 전문 업체를 따라잡을 수 없다.
첫째, 보안 분석가의 경우 전문성을 살리기에 가장 좋은 곳이 안티바이러스 업체이다. 외국 업체들이 국내 시장에서 지지부진한 가장 큰 이유 역시 국내에 보안 전문가를 확보하지 못하고 있어서 국내 고객사들에게 적시에 적절한 분석 서비스를 제공하지 못하기 때문이다. 또한 침입방지시스템(IPS)이나 통합위협관리(UTM) 솔루션 등을 만드는 보안 장비 업체들도 보안 분석가를 조금씩 늘려가고 있다. 그러한 장비들은 새로운 공격이 발견되었을 때 보안 분석을 통한 보안 업데이트 서비스를 해야 하기 때문이다.
둘째, 보안 컨설턴트들을 많이 채용하는 곳은 보안 컨설팅 업체이다. 보안 컨설턴트 역시 보안 전문가 중 고급인력에 속한다. 업무의 대부분이 고객사에 파견나가 하는 일이기 때문에 어려운 점도 있지만, 기업의 시스템과 네트워크, 애플리케이션을 보안 관점에서 넓게 보고, 비교적 기술적 깊이도 있어야 하기 때문에 기술을 좋아하는 사람들이 선호하는 직업이다.
셋째, 보안 관리자를 원하는 곳은 보안관제 서비스 업체이다. 보안 분석가가 일부 필요하기도 하지만, 고객사의 장비를 현지 또는 원격에서 관리, 감시하면서 문제가 발생했을 때 대응하는 것이 주 사업이기 때문에 보안 관리자를 던 선호한다. 특히 보안관제 서비스 업체는 24시간 서비스를 기본으로 하므로, 부서에 따라 2교대, 3교대 등의 근무 조건이 있을 수 있다는 점, 파견관제 서비스의 경우에 대부분의 업무 시간을 고객사에 나가서 근무한다는 점도 알아둘 필요가 있겠다.
보안 관리자는 정부와 공공 부문, IT를 기반으로 하는 기업 등 일할 곳이 비교적 많은 분야이다. 실제로 보도에 따르면 공공 부문에서 보안 관리자의 수요가 크게 늘 것으로 전망된다. 행정자치부에서 내년에 180억원을 투자하여 전국 16개 시도에 '지방 사이버침해대응센터'를 설치한다고 한다. 보유하고 있는 6300여대의 서버를 24시간 모니터링해 해킹과 바이러스 등 사이버 공격을 사전에 탐지, 차단하는 업무를 한다고 한다. 여기까지가 보안 관리자의 업무이고, 실제 상황이 발생하면 해당 문제는 보안 분석가에게 넘긴다. 이러한 업무들은 보안관제 서비스 업체에 외주를 주기도 한다.
그런가하면 포털이나 게임 업체와 같이 사업 자체가 IT 기반인 인터넷 기업, ISP, 대기업, 은행, 대학 등 웬만큼 규모가 있는 업체에서도 보안 관리자를 필요로 한다. 이런 곳은 상대적으로 보안 전문 업체보다 규모가 있어서 해당 업계에 따라 근무 조건은 더 좋을 수도 있다. 다만 기술적 깊이는 다소 떨어진다고 보는 것이 일반적이다.
◆보안 전문가가 되려면 윤리의식 갖춰야
한편, 보안 전문가가 되고 싶은 이들은 절대로 재미로라도 실제 해킹을 하지 말 것을 권유한다. 제대로 된 회사라면 범죄를 저지른 사람을 거의 뽑지 않는다. 그 사람이 보안 회사에 들어와서도 그러지 않는다는 법이 없기 때문이다. 보안 업체는 한마디로 사용자의 신뢰를 먹고 사는 회사다. 직원이 고객사를 해킹한다면 정말 엄청난 악영향을 미친다.
지난 9월에 물리적 보안을 제공하는 모 업체 직원이 고객에게 범죄를 저질러서 결국 사장이 물러난 일이 있다. IT 보안 역시 마찬가지다. 아무리 기술력이 뛰어나더라도 해당 분야의 범죄 경력이 있는 사람을 뽑는 위험을 감수할 회사는 별로 없다.
끝으로 근본적인 질문을 하나 던져야겠다. 왜 보안 전문가가 되고 싶냐는 점이다. 직장을 구하는 여러 이유만큼 보안 전문가가 되고 싶어하는 이유도 다양할 것 같다. 유망하다고 하니까, 취업이 잘 될 것 같아서, 대우가 좋을 것 같아, 장기적인 비전이 있어 보여서, 일의 보람이 있을 것 같아서, 남에게 도움을 줄 수 있어서 등등.
모든 직업이 마찬가지이지만, 보안 전문가 역시 본인의 재미와 적성이 가장 중요하다고 생각한다. 특히 IT 보안 분야는 보안 공격자라는 상대가 있기 때문에 늘 새로운 공격에 대해 공부하고, 보안 공격을 분석하여 방어 방법을 찾아내고, IT 기술의 발전에 따른 새로운 단말, 장비, 네트워크, 소프트웨어에 대한 정보를 꾸준히 찾아야 하는, 겉으로 좋아 보일지 모르지만 결코 가기 쉽지 않은 길이다. 깊이 파고들어가는 호기심, 집중력, 끈기가 부족하다면 IT 보안 분야에 발을 담그지 않는 게 좋다.
더 많은 분들이 보안 전문가를 정확히 이해하여 이 직업에 매력을 느끼고 함께 하길 기대한다. 궁금한 게 있는 분들은 제 메일 주소(kes@ahnlab.com)로 질문을 보내 주시기 바란다. 아는 한도 내에서 성심껏 답변을 드릴 계획이다.
/강은성 안철수연구소 상무
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기