인재 모자라는 보안 산업, 진짜 모자라는 건 머릿수가 아니라 능력
학습 가능한 능력도 있고, 타고나는 능력도 있고
[보안뉴스 문가용 기자] 보안 산업은 인재에 허덕이고 있다. 그렇다고 보안 학과만 졸업하면 아무나 아무 자리를 꿰찰 수 있는 건 아니다. 시큐리티헤드헌터(SecurityHeadhunter)의 보안 리크루터인 윌스 벨(Wils Bell)은 “보안의 모든 분야에 사람이 필요해 보이는 게 사실이지만, 더 선호되거나 덜 선호되는 기술 및 능력이 존재하기도 한다”며 “내가 인사과 담당자라면 애플리케이션 보안 전문가를 뽑을 듯 하다”고 설명한다. 즉, ‘보안 전문가’라는 이름 아래 많은 기술을 아우를 수 있지만, 실제로 월급을 주는 회사 입장에서는 ‘돈을 내고 싶은 기술’이 따로 있다는 것이다. 그중 몇 가지를 추려보았다.
▲ 어쩐지 들었던 말 또 들었던 거 같고 언젠가 또 나올 거 같은데...
1. 트러블슈팅
분석가, 엔지니어 등으로 불리기도 하며 미국 기준 연봉이 1억원 안팎이다. NRI 시큐어테크놀로지스(NRI SecureTechnologies)의 부회장인 재커리 스캇(Zachary Scott)과 재무 담당인 다니엘 킹스버리(Danielle Kingsbury)는 “이상 현상을 파악하고 원인을 재빨리 파악하는 능력”이라고 풀이한다. 이는 즉 자신이 담당하고 있는 시스템과 네트워크를 잘 이해하고 있다는 소리이고, 사건이 터졌을 때 대응 시간을 단축시킬 수 있다는 뜻이 된다.
트러블슈팅 능력이 빼어나면 환경의 효율이 높아지고, 그럼으로써 결과가 향상된다. 특히 비용 절감 측면에서 이 능력이 드러난다. 또한 네트워크에 연결된 기기들이나 애플리케이션들이 최대한의 성능을 안전한 선 안에서 발휘하도록 한다. 정보보안 사건이 발생했을 때는 시간이 매우 치명적인 요소로 작용하는데, 이런 점에서 문제를 빨리 파악하고 해결할 수 있는 트러블슈팅 능력은 큰 장점이 된다. 트러블슈팅의 기본 능력은 전공 수업 시간에 익히는 게 충분히 가능하다고 재커리와 다니엘은 설명한다.
2. 호기심
리스크 관리자, 애플리케이션 보안 전문가, 컴플라이언스 분석가 등의 직무를 가진 사람들에게 주로 나타나는 특성이며, 이런 직무자들의 미국 기준 연봉은 1억원 안팎이다. 보안 전문업체인 심파티코(Simpatico)의 CIO인 제라미아 프랭클린(Jeramia Franklin)은 “보통 보안 기업들은 문제를 분석하고 규격화된 절차에 의해 빠르게 해결할 수 있는 능력을 찾고 선호했다”며 “하지만 심파티코는 타고난 호기심을 가진 사람을 찾는다”고 설명한다. “호기심이야 말로 가장 효율이 좋은 문제 해결의 선천적 조건입니다.”
왕성한 호기심이 정보보안과 만났을 때, 리스크 관리자가 가장 이상적인 역할이 된다. 호기심이 많은 사람들은 어떤 현상이 주어졌을 때 그 뿌리에까지 도달하는 이해를 추구하기 때문이고, 이는 기업이 가진 리스크를 해결하는 데에 가장 필요한 능력이다. 상처를 빨리 덮고 밴드를 잘 붙이는 사람도 중요하지만, 누군가는 그 상처가 날 수밖에 없었던 더 깊은 이유를 찾아내기도 해야 한다.
“그러나 이 부분은 학습으로 캐치하기가 힘듭니다. 호기심이 강해서 그걸 끝까지 밀어붙이는 괴물 같은 사람은 대부분 타고나죠. 그렇기에 그런 사람들이 기업들 입장에선 더 아쉽고 필요한 것인지도 모르겠습니다. 흔치 않은 유형이거든요.”
3. 최근 공격 유행에 대한 지식
분석가, 전문가, 관리책임자 등의 직책에 주로 나타나는 능력으로 미국 기준 연봉 1억원 안팎이다. NRI 시큐어테크놀로지스의 재커리 스캇은 “최신 공격에 대한 지식은 로그 분석 및 유출사고 관련 데이터를 분석할 때 남다른 시각을 가질 수밖에 없고, 그 남다른 시각은 보통 ‘앞서 가는’ 시각이 될 때가 많다”며 “그렇기에 분석력도 뛰어나고, 정확해지는 것”이라고 설명한다.
공격자들의 최신 유행에 대한 지식은 사건 대응 및 보안 전략을 보다 더 효율적으로 만들어준다. 또한 전체적인 보안의 정책 역시 더 뛰어나게 다듬을 수 있고, 사용자 및 일반 직원의 보호에도 더 큰 성과를 거두게 해준다. 이는 현장에서 매일처럼 배울 수 있는 것으로, 직무에 대한 성실성을 보여주는 척도가 되기도 한다.
4. 최신 취약점에 대한 지식
분석가, 엔지니어, 전문가 등으로 불리기도 하며 미국 기준 평균 연봉이 1억 1천 5백만원 정도 된다. 재커리는 최신 공격 유행과 최신 취약점 지식에 대한 지식이 상당히 비슷한 역할을 한다고 한다. “취약점 지식을 갖추고 있으면 로그 분석 등이 훨씬 쉽게 됩니다. 또한 최근 취약점을 알고 있기 때문에 사건이 발생했을 때 어떤 경로로 공격자가 침투해 들어왔을 것인가에 대해 비교적 정확하게 접근해갈 수 있습니다.”
취약점에 대해 잘 알고 있다면 위협과 백색 소음의 차이를 구분하는 데에도 도움이 된다. 그렇기 때문에 사건 대응 운영을 지휘할 때 유연하고 부드럽게 할 수 있으며 분석가들과 협조했을 때 시간을 절약하는 것도 가능하다. 취약점에 대한 지식 역시 현장에서 부지런히 쌓아갈 수 있고, 학교보다는 회사 생활을 통해서 더 분명하게 익히는 것이 가능하다.
5. 사건 대응(자동화)
사건 대응 팀장 및 팀원, 관리자, 아키텍트 등의 직무에 어울리며 미국 기준, 1억 1천만원의 연봉을 평균적으로 받는다. 말 그대로 사건이 일어났을 때 신속하고 정확한 대응을 하는 능력을 뜻하며, 정보보안 산업 전체적으로 이 능력은 유행처럼 중요시되고 있다. 사건 대응을 잘 하는 사람들은 최근 들어 자동화 솔루션 및 프로세스를 적극 활용하는 법을 익혀가는 모양새다.
보안 전문업체의 리버만 소프트웨어(Lieberman Software)의 부회장인 조나단 샌더(Jonathan Sander)는 “사건 대응을 위한 스크립트 사용은 보안 팀에게 있어 새로 장착된 날개나 다름없다”며 “사건을 해결하는 데에 필요한 시간을 크게 줄여주는 역할을 한다”고 설명한다. “기초적인 자동화 기술은 책을 통해서 배우는 것도 가능하지만, 현장 경험도 매우 중요합니다.”
6. 데이터 분석과 시각과 인터페이스
시각화, 지능화 등의 업무 수행에 주로 동원되거나, 그런 사람들이 전문으로 하는 분야이며, 미국 기준으로 평균 연봉이 1억 1천만원 정도 된다. 이는 네트워크 내 수많은 센서와 서버, 클라이언트, 기기 및 애플리케이션들 사이에 흐르는 데이터를 수집할뿐만 아니라 알아보기 쉽고 의미를 도출하기 용이하게 편집, 재배열 하는 능력을 말한다. 또한 이런 흐름을 시각화 하여 비전문가인 경영진들이 쉽게 이해할 수 있도록 하는 기술도 포함한다.
이 기술을 갖춘 사람이 기업 내 존재하면 경영진과의 소통이 원활해지며, 이로써 보안과 관련된 상시 및 사고 시 운영이 매우 부드러워진다. 당연히 홍보팀 및 사내 교육 팀과의 유기적인 협조도 가능해져 일반 직원들의 보안 인식 및 대처 능력을 탄탄히 키워갈 수도 있다. 이는 당연히 학교 수업 시간에 배울 수 있는 것으로, 졸업 후 현장에서 여러 가지 실제 상황을 거치며 더 알차게 단련된다.
7. 서비스 정신
위협 첩보 분석가, 침입 분석가, 정보 보호 전문가 등으로 불리며 1억 1천만원의 연봉을 평균적으로 받는다. 물론 미국 기준이다. 심파티코의 제레미아 프랭클린은 “서비스 정신은 모든 산업에서 요구되는 태도”라며 “이를 정보보안 직무에 맞게 풀이하면 ‘영웅이 되고자 하는 자세’라고 말할 수 있다”고 설명한다. “보안 사고가 터졌을 때 누구보다 앞장서서 해결해주고자 나서는 것, 평소에 사고를 터트릴만한 사람이나 요인을 찾아내고자 하는 것, 그러기 위해 민망한 복장을 착용하든 뭐든, 단단한 각오를 할 수 있는 것을 말합니다. 즉 자기가 하는 일에 헌신적이어야 한다는 거죠.”
이는 학습하거나 몸에 배이게 하는 게 크게 어려운 능력이나 기술은 아니다. “선천적으로 타고나야 한다고 하는 사람도 있는데, 절대 그렇지 않습니다. 주말에 봉사활동 한 번이라도 가보세요. 자기 안에 있는 서비스 정신을 발견할 수 있을 겁니다. 다만 이걸 꾸준히 하지 못하는 게 문제인데, 바로 이 부분을 학습으로 해결하는 게 가능합니다. 계속해서 배우고 연습해야 합니다. 업무와 관련 없는 분야에서도 가능합니다.”
8. 소통 능력
감사자, 관리자 등의 직책을 가지고 있는 사람에 어울리는 능력으로 미국 기준 연봉이 1억 1천만원에 달한다. 사실 소통 능력이라는 것은 보안을 담당하는 모든 사람들에게 필요한 것이라고 NRI 시큐어테크놀로지스의 스캇은 설명한다. “투자금을 임원진들로부터 이끌어내는 것에서부터 일반 직원들을 보안 실천에 동원하는 것까지, 설득력이 반드시 필요합니다.”
소통 능력은 어떤 과정과 절차에서든 윤활유와 같은 역할을 하므로 필수 요소라고 할 수 있으나 모든 사람이 갖추고 있지 않다. “특히 기술에 특화된 사람들 사이에서 이 부분이 많이 모자라는 걸 느낍니다. 기술자들만 모아놓으면 회의가 잘 되지 않아요.” 소통 능력은 한 조직 내에서 사람을 직접 부딪혀가면서 배우는 수밖에 없다고 전문가들은 말한다. “시행착오를 거치는 수밖에 없어요. 그나마 다행인 건 친구나 가족 등과의 생활을 통해서도 꾸준히 배워갈 수 있다는 거죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
학습 가능한 능력도 있고, 타고나는 능력도 있고
[보안뉴스 문가용 기자] 보안 산업은 인재에 허덕이고 있다. 그렇다고 보안 학과만 졸업하면 아무나 아무 자리를 꿰찰 수 있는 건 아니다. 시큐리티헤드헌터(SecurityHeadhunter)의 보안 리크루터인 윌스 벨(Wils Bell)은 “보안의 모든 분야에 사람이 필요해 보이는 게 사실이지만, 더 선호되거나 덜 선호되는 기술 및 능력이 존재하기도 한다”며 “내가 인사과 담당자라면 애플리케이션 보안 전문가를 뽑을 듯 하다”고 설명한다. 즉, ‘보안 전문가’라는 이름 아래 많은 기술을 아우를 수 있지만, 실제로 월급을 주는 회사 입장에서는 ‘돈을 내고 싶은 기술’이 따로 있다는 것이다. 그중 몇 가지를 추려보았다.
▲ 어쩐지 들었던 말 또 들었던 거 같고 언젠가 또 나올 거 같은데...
1. 트러블슈팅
분석가, 엔지니어 등으로 불리기도 하며 미국 기준 연봉이 1억원 안팎이다. NRI 시큐어테크놀로지스(NRI SecureTechnologies)의 부회장인 재커리 스캇(Zachary Scott)과 재무 담당인 다니엘 킹스버리(Danielle Kingsbury)는 “이상 현상을 파악하고 원인을 재빨리 파악하는 능력”이라고 풀이한다. 이는 즉 자신이 담당하고 있는 시스템과 네트워크를 잘 이해하고 있다는 소리이고, 사건이 터졌을 때 대응 시간을 단축시킬 수 있다는 뜻이 된다.
트러블슈팅 능력이 빼어나면 환경의 효율이 높아지고, 그럼으로써 결과가 향상된다. 특히 비용 절감 측면에서 이 능력이 드러난다. 또한 네트워크에 연결된 기기들이나 애플리케이션들이 최대한의 성능을 안전한 선 안에서 발휘하도록 한다. 정보보안 사건이 발생했을 때는 시간이 매우 치명적인 요소로 작용하는데, 이런 점에서 문제를 빨리 파악하고 해결할 수 있는 트러블슈팅 능력은 큰 장점이 된다. 트러블슈팅의 기본 능력은 전공 수업 시간에 익히는 게 충분히 가능하다고 재커리와 다니엘은 설명한다.
2. 호기심
리스크 관리자, 애플리케이션 보안 전문가, 컴플라이언스 분석가 등의 직무를 가진 사람들에게 주로 나타나는 특성이며, 이런 직무자들의 미국 기준 연봉은 1억원 안팎이다. 보안 전문업체인 심파티코(Simpatico)의 CIO인 제라미아 프랭클린(Jeramia Franklin)은 “보통 보안 기업들은 문제를 분석하고 규격화된 절차에 의해 빠르게 해결할 수 있는 능력을 찾고 선호했다”며 “하지만 심파티코는 타고난 호기심을 가진 사람을 찾는다”고 설명한다. “호기심이야 말로 가장 효율이 좋은 문제 해결의 선천적 조건입니다.”
왕성한 호기심이 정보보안과 만났을 때, 리스크 관리자가 가장 이상적인 역할이 된다. 호기심이 많은 사람들은 어떤 현상이 주어졌을 때 그 뿌리에까지 도달하는 이해를 추구하기 때문이고, 이는 기업이 가진 리스크를 해결하는 데에 가장 필요한 능력이다. 상처를 빨리 덮고 밴드를 잘 붙이는 사람도 중요하지만, 누군가는 그 상처가 날 수밖에 없었던 더 깊은 이유를 찾아내기도 해야 한다.
“그러나 이 부분은 학습으로 캐치하기가 힘듭니다. 호기심이 강해서 그걸 끝까지 밀어붙이는 괴물 같은 사람은 대부분 타고나죠. 그렇기에 그런 사람들이 기업들 입장에선 더 아쉽고 필요한 것인지도 모르겠습니다. 흔치 않은 유형이거든요.”
3. 최근 공격 유행에 대한 지식
분석가, 전문가, 관리책임자 등의 직책에 주로 나타나는 능력으로 미국 기준 연봉 1억원 안팎이다. NRI 시큐어테크놀로지스의 재커리 스캇은 “최신 공격에 대한 지식은 로그 분석 및 유출사고 관련 데이터를 분석할 때 남다른 시각을 가질 수밖에 없고, 그 남다른 시각은 보통 ‘앞서 가는’ 시각이 될 때가 많다”며 “그렇기에 분석력도 뛰어나고, 정확해지는 것”이라고 설명한다.
공격자들의 최신 유행에 대한 지식은 사건 대응 및 보안 전략을 보다 더 효율적으로 만들어준다. 또한 전체적인 보안의 정책 역시 더 뛰어나게 다듬을 수 있고, 사용자 및 일반 직원의 보호에도 더 큰 성과를 거두게 해준다. 이는 현장에서 매일처럼 배울 수 있는 것으로, 직무에 대한 성실성을 보여주는 척도가 되기도 한다.
4. 최신 취약점에 대한 지식
분석가, 엔지니어, 전문가 등으로 불리기도 하며 미국 기준 평균 연봉이 1억 1천 5백만원 정도 된다. 재커리는 최신 공격 유행과 최신 취약점 지식에 대한 지식이 상당히 비슷한 역할을 한다고 한다. “취약점 지식을 갖추고 있으면 로그 분석 등이 훨씬 쉽게 됩니다. 또한 최근 취약점을 알고 있기 때문에 사건이 발생했을 때 어떤 경로로 공격자가 침투해 들어왔을 것인가에 대해 비교적 정확하게 접근해갈 수 있습니다.”
취약점에 대해 잘 알고 있다면 위협과 백색 소음의 차이를 구분하는 데에도 도움이 된다. 그렇기 때문에 사건 대응 운영을 지휘할 때 유연하고 부드럽게 할 수 있으며 분석가들과 협조했을 때 시간을 절약하는 것도 가능하다. 취약점에 대한 지식 역시 현장에서 부지런히 쌓아갈 수 있고, 학교보다는 회사 생활을 통해서 더 분명하게 익히는 것이 가능하다.
5. 사건 대응(자동화)
사건 대응 팀장 및 팀원, 관리자, 아키텍트 등의 직무에 어울리며 미국 기준, 1억 1천만원의 연봉을 평균적으로 받는다. 말 그대로 사건이 일어났을 때 신속하고 정확한 대응을 하는 능력을 뜻하며, 정보보안 산업 전체적으로 이 능력은 유행처럼 중요시되고 있다. 사건 대응을 잘 하는 사람들은 최근 들어 자동화 솔루션 및 프로세스를 적극 활용하는 법을 익혀가는 모양새다.
보안 전문업체의 리버만 소프트웨어(Lieberman Software)의 부회장인 조나단 샌더(Jonathan Sander)는 “사건 대응을 위한 스크립트 사용은 보안 팀에게 있어 새로 장착된 날개나 다름없다”며 “사건을 해결하는 데에 필요한 시간을 크게 줄여주는 역할을 한다”고 설명한다. “기초적인 자동화 기술은 책을 통해서 배우는 것도 가능하지만, 현장 경험도 매우 중요합니다.”
6. 데이터 분석과 시각과 인터페이스
시각화, 지능화 등의 업무 수행에 주로 동원되거나, 그런 사람들이 전문으로 하는 분야이며, 미국 기준으로 평균 연봉이 1억 1천만원 정도 된다. 이는 네트워크 내 수많은 센서와 서버, 클라이언트, 기기 및 애플리케이션들 사이에 흐르는 데이터를 수집할뿐만 아니라 알아보기 쉽고 의미를 도출하기 용이하게 편집, 재배열 하는 능력을 말한다. 또한 이런 흐름을 시각화 하여 비전문가인 경영진들이 쉽게 이해할 수 있도록 하는 기술도 포함한다.
이 기술을 갖춘 사람이 기업 내 존재하면 경영진과의 소통이 원활해지며, 이로써 보안과 관련된 상시 및 사고 시 운영이 매우 부드러워진다. 당연히 홍보팀 및 사내 교육 팀과의 유기적인 협조도 가능해져 일반 직원들의 보안 인식 및 대처 능력을 탄탄히 키워갈 수도 있다. 이는 당연히 학교 수업 시간에 배울 수 있는 것으로, 졸업 후 현장에서 여러 가지 실제 상황을 거치며 더 알차게 단련된다.
7. 서비스 정신
위협 첩보 분석가, 침입 분석가, 정보 보호 전문가 등으로 불리며 1억 1천만원의 연봉을 평균적으로 받는다. 물론 미국 기준이다. 심파티코의 제레미아 프랭클린은 “서비스 정신은 모든 산업에서 요구되는 태도”라며 “이를 정보보안 직무에 맞게 풀이하면 ‘영웅이 되고자 하는 자세’라고 말할 수 있다”고 설명한다. “보안 사고가 터졌을 때 누구보다 앞장서서 해결해주고자 나서는 것, 평소에 사고를 터트릴만한 사람이나 요인을 찾아내고자 하는 것, 그러기 위해 민망한 복장을 착용하든 뭐든, 단단한 각오를 할 수 있는 것을 말합니다. 즉 자기가 하는 일에 헌신적이어야 한다는 거죠.”
이는 학습하거나 몸에 배이게 하는 게 크게 어려운 능력이나 기술은 아니다. “선천적으로 타고나야 한다고 하는 사람도 있는데, 절대 그렇지 않습니다. 주말에 봉사활동 한 번이라도 가보세요. 자기 안에 있는 서비스 정신을 발견할 수 있을 겁니다. 다만 이걸 꾸준히 하지 못하는 게 문제인데, 바로 이 부분을 학습으로 해결하는 게 가능합니다. 계속해서 배우고 연습해야 합니다. 업무와 관련 없는 분야에서도 가능합니다.”
8. 소통 능력
감사자, 관리자 등의 직책을 가지고 있는 사람에 어울리는 능력으로 미국 기준 연봉이 1억 1천만원에 달한다. 사실 소통 능력이라는 것은 보안을 담당하는 모든 사람들에게 필요한 것이라고 NRI 시큐어테크놀로지스의 스캇은 설명한다. “투자금을 임원진들로부터 이끌어내는 것에서부터 일반 직원들을 보안 실천에 동원하는 것까지, 설득력이 반드시 필요합니다.”
소통 능력은 어떤 과정과 절차에서든 윤활유와 같은 역할을 하므로 필수 요소라고 할 수 있으나 모든 사람이 갖추고 있지 않다. “특히 기술에 특화된 사람들 사이에서 이 부분이 많이 모자라는 걸 느낍니다. 기술자들만 모아놓으면 회의가 잘 되지 않아요.” 소통 능력은 한 조직 내에서 사람을 직접 부딪혀가면서 배우는 수밖에 없다고 전문가들은 말한다. “시행착오를 거치는 수밖에 없어요. 그나마 다행인 건 친구나 가족 등과의 생활을 통해서도 꾸준히 배워갈 수 있다는 거죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
