정보보안/정보
현역 보안전문가가 말하는 보안전문가가 되는 방법
Huikyun
2009. 2. 27. 18:51
그 이유는 컴퓨터의 사용 증가와 함께 보안의 중요성이 매우 커짐에 따라 소득 수준이 높아질 것으로 전망되었기 때문이다.
필자도 최근에 어린 학생들의 보안캠프 참여 및 인터넷 게시판에서의 글을 보면서 보안전문가를 꿈꾸는 사람이 많아졌음을 새삼 느끼게 된다.
보안전문가가 되려면 어떻게 해야 하나요?
사실 이런 류의 질문을 받으면 당황하게 된다. 이유는 보안전문가라는 것이 광범위하기 때문이다. 축구선수를 예로들면 축구선수의 포지션을 크게 보면 공격수, 미드필더, 수비수, 골키퍼로 나눌 수 있고, 좀더 세부적으로 나눌 경우 우측 윙백, 중앙미드필더, 좌측 윙어, 중앙공격수 등등의 많은 포지션으로 구분할 수 있다. 훌륭한 축구선수가 되려면 필요한 능력이 스피드, 체력, 정확한 키킹능력 등의 기본능력도 있지만, 포지션 별로 필요한 요소가 또 달라진다. 우리나라를 대표하는 축구선수 박지성의 경우를 보면 포지션이 공격형 미드필더 또는 윙어이다. 그는 엄청난 체력, 돌파능력, 수비가담능력 등을 갖췄고, 해당 포지션에서 그 능력을 인정 받고 있는 선수이다.
보안전문가도 축구선수와 마찬가지로 기본적으로 갖추어야 할 능력이 있고, 포지션 별로 필요한 능력이 달라질 수 있다. 아래는 보안전문가의 구분을 해놓았고 두 가지 직군을 선정해서 그에 대한 요구사항을 적어보았다. 단, 아래의 구분은 필요에 따라 더 세분화될 수도 있고 합쳐질 수도 있다.
Chief Security Strategist
Security Engineer
Security Architect
Developer
Director
Manager
Threat Analyst
Security Researcher
Disater Recovery Coodinator
Forensics Engineer
Customer Service
Security Consultant
Technical Writer
Threat Analyst의 경우는 문서나 보고서 등에 대한 정보보안 모니터링 프레임워크를 개발하고 유지하며, 방화벽, 침입감지 센서, 안티 바이러스 시스템 등의 보안 기반 요소를 모니터링 등을 하는 역할을 한다. 그리고 SIM(Security Information Management system) 관리, 호스트•네트워크 침입감지 센서 관리 및 감독경험도 있어야 한다. 그래서 TCP/IP, 네트워크 프로토콜, 방화벽, 패킷 분석에 대한 폭넓은 이해와 통계분석 능력이 요구된다. 암호작성, 전자서명에 대한 지식이 필요하다.
Security Consultant는 기업에게 보안 컨설팅을 해주는 직업이다. 폭넓은 전문지식과 기술적 문제해결 능력, 응용 아키텍처와 플랫폼에 대한 전반적인 지식을 갖추어야 한다. 시스템•네트워크를 관리할 수 있어야 하고, 프로젝트 정책 요소의 개선을 요구하고 생성시킬 수 있어야 하며, 고객의 비즈니스나 기술적 이슈에 대해 조언해줄 수 있어야 한다. 구술과 작문 능력과 ISO 17799/BS 7799 등 국제 정보보호 표준에 대해 이해할 수 있어야 하며, 보안관련 규제를 정확히 알고 있어야 한다.
이렇듯 보안전문가도 그 구분에 따라 다른 능력이 필요하게 된다. 하지만 여기서는 보안전문가를 꿈꾸는 학생 및 희망자에게 맞도록 필요한 기본적인 사항들만 다루기로 하겠다.
내가 원하고 좋아하는 것인가?
필자가 보안 쪽이 아닌 다른 분야의 소프트웨어 개발을 하고 있었을 때, 종종 나 자신을 돌아보고는 했다. 그 당시 컴퓨터 관련 일을 하면서 좀더 값진 일 또는 사회에 기여를 할 수 있는 일은 무엇인가에 대한 생각을 자주 했었다. 그것이 지금의 안철수연구소로 합류하게 된 계기가 되었다.
이 글을 읽고 있고 보안전문가가 되길 원한다면 이 질문에 대한 명확한 답을 가지는 것이 바람직해 보인다(필자의 친구 중 하나는 악성해킹에 아주 관심이 많던 친구였는데, 직업으로 해커를 할 수 있는 것이 아니고 기술적으로 큰 차이가 없다고 판단하더니 현재는 유명 보안소프트웨어를 개발하고 있다).
어떤 학과에 들어가야 하나?
‘난 너무 컴퓨터가 좋아서 대학에 들어 갈 준비하기가 싫고 바로 사회생활을 하고 싶다’라고 하는 중고등학생들이 있다(필자가 그랬다). 그런데 대답은 대학을 나와야 한다는 것이다. 소프트웨어 업계 초창기에는 컴퓨터에 미쳐 고등학교 이후 바로 업계로 진출했던 (무림의)고수들이 많았었다. 현재 이런 문화는 거의 사라진 듯하다. 보안업계도 마찬가지이다.
보안 업체뿐만 아니라 소프트웨어 개발업체에서 일하는 사람들을 보면 비전공자가 상당히 많다. 이것 때문에 비전공자와 전공자의 차이가 없다는 오해를 할 수 있는 부분이 있는데, 이 또한 앞서 말한 것과 비슷하다. 소프트웨어 업계 초창기, 무림의 고수들 중 대학을 나온 경우에도 비 전공자가 많았었다(필자가 알던 분 중 하나는 대학 때 역도선수를 했었던 사람도 있다). 비전공자도 본인의 노력 하에 훌륭한 보안전문가가 될 수 있지만 전공자가 유리한 것은 사실이다. 대학의 정보보호학과 또는 정보보호전공이 있는 학과, 소프트웨어공학과, 컴퓨터공학과 등의 관련 학과에서 보안의 기초를 배울 수 있을 것이다(그러나 '전자상거래', '인터넷' 등 이런 이름이 붙은 전공은 아닌 것 같다).
비전공자라면 대학 내에 있는 보안 동아리 활동을 하는 것이 좋을 것 같고, 관련 학원도 찾아보는 것이 좋겠다.
필요한 자격증은 무엇이 있을까?
보안 전문 자격증으로는 SIS(Specialist for Information Security, 정보보호전문가), CISSP(Certified Information System Security Professional, 정보시스템 보안 전문가), CISA(Certified Information System Auditor, 정보시스템 감리사) 등이 있는데, 실제 보안업체에 취직 할 때는 큰 도움이 되지 않는다. 다만 업체에서 정부 기준 때문에 자격증을 보유한 인력 수를 맞추기 위해서 필요한 경우가 있긴 하다. 보안컨설턴트나 보안관리자의 경우는 도움이 될 것 같다. 개인적인 판단으로는 자격증보다 대학이나 보안 전문 기관에서 개최하는 해킹(방어)대회에 참여하여 본인의 역량을 입증하는 것이 보안회사에 들어갈 때 더 큰 도움이 될 것이라 본다.
스트레스가 많은 직종이라던데?
경찰, 의사도 비슷할 것이다. 보안 쪽의 일은 급하게 처리해야 할 업무들이 굉장히 많다. 그러면서도 중요하고 민감한 일이기 때문에 정확한 일 처리가 같이 요구된다. 그래서 종종 상당한 스트레스가 다가올 때가 있는데 이럴 때 스트레스 관리를 하는 능력이 필요하다. 다혈질의 성격을 가진 경우에는 이쪽의 일을 하기 힘들 수 있고, 빠른 일처리를 요구하므로 너무 느긋한 성격을 가지고 있는 것도 업무와는 맞지 않다고 본다. 훌륭한 보안전문가라면 스트레스를 즐기는 수준까지도 올라가야 한다.
강한 윤리의식이 필요하다
예전부터 계속 이슈가 되었었지만 최근 유난히 가짜 백신이 문제를 일으키고 있다. 있지도 않은 악성코드가 감염되었다며 결제를 유도하는데, 필자가 볼 때는 이 경우는 보안업체가 윤리의식을 저버렸다기 보다는 처음부터 사기꾼에 가까웠다고 생각을 한다. 이런 가짜 백신보다는 더 큰 문제는 보안개발자가 보유한 기술을 악성해킹에 악용하는 일이 벌어질까 걱정이다. 실제로 필자는 몇 년 전에 해킹의뢰를 받은 적이 있었고, 필자의 친구는 악성해킹을 하는 사람끼리 모여서 사업을 하자는 구체적인 제안까지 받았었다.
하지만, 보안 전문가가 되고 싶은 이들은 절대로 재미로라도 실제 해킹을 하지 말 것을 당부한다. 대부분의 장난 삼아 해본 해킹이 범죄로 연결되는 경우가 많기 때문이다. 또한 제대로 된 회사라면 기술이 아무리 뛰어나도 범죄를 저지른 사람을 뽑지 않는다. 그 사람이 보안 회사에 들어와서도 그러지 않는다는 법이 없기 때문이다. 레오나르도 디카프리오가 주연했었던 영화 ‘Catch me If you can’ 을 보고 혼동하지 마시길…
마지막으로...
보안전문가는 어떠한 보안 문제가 발생하였을 때 근본적인 문제의 원인을 밝혀내고 대응방안 마련, 해결책 제시, 그리고 직접 해결까지 할 수 있어야 한다. 그래서 계속 늘어나는 보안문제에 대비해서 보안전문가의 공급부족으로 '향후 유망직종'으로 전망하는 것이다.
최고의 능력을 갖추고 그에 맞는 대우를 받는 보안전문가가 나오기를 기대하면서 이 글을 마친다.
출처 : 안철수 연구소