보안 업계 전체를 위해 우리 한 사람 한 사람이 할 수 있는 일, ‘포교’
정보보안, 사람이 모자라 문제 해결 잘 안 돼… 동료 구하는 게 시급
[보안뉴스 문가용 기자] 정보보안 업계 전체에 닥친 문제가 한두 가지가 아니지만, 그 중 가장 시급한 해결책이 필요한 건 아무래도 ‘사람 수급’이다. 물론 대우가 좋으면 사람이 저절로 몰리는 거니, 차라리 보안 업계의 대우 문제가 더 본질적이거나 시급한 문제라고 볼 수도 있다. 하지만 일단 그 부분은 업계 전체의 구조나 시장의 인식과도 연관된, 조금은 복잡하고 시간 투자가 필요한 문제다. 그 시간을 앞당기려면 어떻게 해야 할까? 이 문제에 대하여 우리가 직접 취할 수 있는 행동에는 어떤 게 있을까?
우리 편을 최대한 많이 만드는 것이다. 시장의 인식도 우리 편이 한 사람이라도 늘어나야 변하기 시작하는 거고, 우리 편이 많아야 업계 전체도 우리에게 좋은 방향으로 굴러갈 공산이 크다. 이번 설, 모처럼 반가운 얼굴들도 많이 볼 수 있고 그 동안 잡아만 놓은 만남의 약속들도 이룰 수 있을 때를 이용해 ‘포교 활동’을 좀 벌여본다면 어떨까? ‘요즘 좀 뭐하고 사니?’라고 묻는 집안 어르신은 예비 우리 업계 학부모가 될 수 있고, ‘삼촌, 저 무슨 과로 진학해야 할까요?’라고 묻는 조카는 언젠가 구글에 스카웃될 지도 모른다.
본지 [설 특집 2]에 나오는 영화를 같이 보며 은근슬쩍 보안 이야기를 해도 좋고, 직업으로서 정보보안을 권해줘도 좋다. 물론 모든 인간에겐 무한한 가능성이 있긴 하지만, 모다가 같은 자리에서 똑같은 효과를 발휘하는 건 아니다. 이번 세 번째 특집에서는 정보보안 업계로 들어왔을 때 큰 힘을 발휘할 수 있을만한 재목들을 찾는 법에 대해 설명한다. 좋은 설득은, 좋은 대상에게 행해졌을 때 더 높은 효과를 발휘한다.
자질의 측면에서 가장 가능성 높은 대상
먼저 ‘포교’에 대한 성과가 좋으려면, 설득 시도 대상부터 좋아야 한다. 정보보안 업계에 들어와서도 잘 버틸만한 사람, 업계에 도움이 될 만한 사람은 어떤 특징을 가지고 있을까? ‘바보들을 위한 정보보안으로의 취직(Getting an Information Security Job for Dummies)’의 저자 피터 그레고리(Peter Gregory)에 따르면 다음과 같이 정리된다.
1) IT 기술에 관심이 많고, 법, 기술끼리의 상호작용, 사용자 심리 등을 아우르는 IT 생태계 자체에 대한 호기심이 많다.
2) 범죄에 대해 분개할 줄 알고, 범죄자 소탕 소식에 관심이 많다. ‘바른 생활’을 하는 데에 거부감이 없으며, 잘못된 행동을 참지 못한다.
3) 배우는 걸 좋아한다. 정보보안은 변화무쌍한 업계다. 범죄자들의 유형과 기술도 빠르게 바뀌며, 고쳐야 할 방어자들의 취약점과 제도적 보완 사항들도 수두룩하게 튀어나온다.
4) 문제를 해결하는 데에 있어 새로운 시각으로 남다른 해결책을 모색한다. 그저 ‘다르기 위해’ 그러는 게 아니라, 정말로 해결하고자 하기 때문이다.
현장 경험의 측면에서 가능성 높은 대상
NH농협은행의 전 부행장이자 CISO였던 남승우 보안전문가는 본지 인터뷰를 진행하던 당시 “보통 CISO라고 하면 IT의 모든 직책을 경험해보았던 시니어급 전문가가 은퇴 전에 들렸다 가는 포지션이라고 생각하는 경향이 있는데, 다른 건 몰라도 IT의 모든 분야를 경험해본 사람이 CISO에 어울리는 건 맞다”고 말했다. 즉 위기에 대처하고 사건을 해결하는 데에는 많은 경험이 수반되어야 한다는 것이다.
그만큼 보안담당자라는 직책에는 ‘사전 경험’이 필수적으로 요구되는 경우가 많다. 그러나 새로 이 분야에게 들어오려는 사람에게 현장 경험을 요구하는 건 말이 안 된다. 그렇다고 ‘경험’을 요하는 분야 특성을 완전히 무시할 수도 없는 노릇이다. 피터 그레고리는 “다행히 정보보안 업계가 요구하는 ‘사전 경험’이라는 게 그리 제한적이진 않다”며 이 조건에 충족될 만한 후보자들을 꼽는다.
1)고객 상담 오퍼레이터 : IT 업체에서 고객 상담을 한 사람이라면 기기가 어떤 식으로 고장이나고, 고객 계정에서 무슨 사고가 벌어지며, 어떤 식의 불편사항이 발생하고 신고되는지를 잘 알고 있다. 즉, 정보보안 문제와 매우 가까운 곳에서 있었던 사람들인 것이다. 게다가 이런 문제들을 해결해줄 수 있는 부서와 연결까지 시키는 것이 이들의 업무이므로, 해결 방법에 대한 어렴풋한 이해도도 가지고 있다.
2) 네트워크 관리자 : 사용자 계정이나 파일 서버를 관리해왔거나 직원들의 원격 접속을 통제해왔던 사람으로, 어쩌면 현재 정보보안 전문가들이 가장 친숙하게 느끼는 전문 분야일 것이다. 네트워크 관리자들은 사용자의 정보 접근을 가장 직접적으로 통제하는 사람들로서 보안적인 측면과 효율성의 측면 모두를 잘 이해하고 있는 부류다.
3) 시스템 관리자 : 시스템 관리자 혹은 시스템 엔지니어는 서버 운영 시스템과 엔드포인트 데스크톱 등을 직접 설치, 관리, 유지보수하는 인재들이다. 규모가 매우 작은 업체에서는 보통 이 사람들이 정보보안도 담당한다. 엔드포인트 보안이 중요시되고 있는 요즘 같은 때, 이 사람들은 정보보안 경험이 풍부할 수밖에 없다. 이 사람들은 비밀번호의 중요성, 사용자 계정 관리의 중요성을 잘 이해하고 있다.
4) 데이터베이스 관리자 : 네트워크 안쪽 깊숙이에 저장되어 있는 중요 데이터와 그 서버를 관리하는 사람들로서, 때론 외부 저장장치도 이들이 관리하기도 한다. 데이터 관리야말로 최근의 ‘데이터 중심 보안’에 있어 가장 중요한 핵심이자 노른자로, 이들은 데이터의 중요성과 그에 대한 분류 방법을 아주 잘 알고 있다. 이는 데이터를 보호하는 보안 담당자에게 있어 필수덕목이다.
5) 소프트웨어 개발자 : 다 그런 건 아니지만 최근 여러 나라나 기업에서 시큐어 코딩이 강조되고 있다. 그렇기 때문에 소프트웨어 개발자들도 좋든 싫든 보안이 가미된 개발에 대해 익히고 있는 중이다. 개발자들은 소프트웨어, 애플리케이션, 툴, 각종 유틸리티, 시스템 인터페이스 등을 만들어 내는 다재다능한 사람들이다. 시큐어 코딩을 익히면 개발 자체도 ‘정보보안’에 입각하여 할 수 있고, 보안 점검도 할 수 있으며, 코드 검토도 할 수 있게 된다.
6) 프로젝트 관리자 : 의외로 클라이언트와 담당자 사이에서 여러 가지 조율을 해본 프로젝트 관리자들도 보안에 대한 경험이 풍부하다. 물론 어떤 분야에서 프로젝트를 했느냐에 따라 차이가 있긴 하지만, 법률 검토에서, 산업 표준 및 정책에 맞춰 프로젝트를 처음부터 점검 및 관리해온 경험은 물론, 모든 참여자들의 기밀 유지도 경험해본 바가 있어 보안 업무가 크게 낯설지 않을 수 있다.
7) 사업 분석가 : 프로젝트 관리자와 비슷한 차원에서 사업 분석가 및 기획 부서 근무자도 보안 업무를 잘 할 가능성이 높다. 보고서 작성에서, 전혀 상관이 없어보이는 다양한 정보의 분석력, 그로부터의 결론 도출력 등을 갖추고 있어서 보안에 대한 개념만 조금 갖춰지면 큰 힘을 발휘할 수 있다.
8) IT 관리자 : 작은 업체일수록 서버 관리며 직원들 데스크톱, 네트워크 관리까지 전부 한두 사람에게 맡기는 경향이 있는데, 보통 이들이 IT 관리자라고 불린다. 현대 IT 관리자들에게 있어 보안이 큰 이슈일 것이기 때문에, 대부분 알게 모르게 보안에 대해 풍부한 지식을 갖추고 있다. 적어도 개념 자체는 잘 갖추고 있다.
9) 인사 담당자 : 정보보안 담당자들이 점점 ‘인사 관리’와 비슷한 업무를 맡아 가고 있다. 정보보안의 깊은 뿌리에 결국 사람이 있기 때문이다. 즉 정보보안이 사람의 문제라는 개념이 이해되기 시작하면서 정보보안 담당자들은 직원 교육 및 업무 환경 강화 등을 하고 있는데, 이 점을 역으로 해석하면 인사 담당자들 역시 정보보안에 투입될 수 있다는 것이다.
사람을 포섭하기 위한 현재 기업 및 조직들의 움직임
하지만 앞서 언급한 네 가지 기질이나 아홉 가지 직무 경험만으로 ‘보안전문가’ 타이틀을 얻을 순 없다. 전문가 타이틀이란 결국 해당 직무의 직접적인 경험을 필요로 하기 때문이다. 하지만 사람이 모자라는 업계 분위기가 지속됨에 따라 기업들도 대책을 마련하여 비전문가가 현장에 투입되어 경험을 쌓을 수 있도록 해준다. 진입장벽이 낮아진 것으로, ‘포교 활동’ 시 도움이 되는 정보다.
1) 주니어 보안 분석가 : 정보보안에 있어 분석의 능력이 점점 더 중요해지고 있는데, 이 때문에 소수 전문가 외에 자질구레 할 수 있는 잔무를 처리하는 사람들의 역할도 대두되고 있다. 물론 자동화나 머신 러닝이라는 신기술이 이 분야에 투입되고 있기는 한데, 그렇다 해도 아직까지는 ‘기계적인 일들’에만 국한되어 있고, 널리 퍼지려면 멀었다. 주니어 보안 분석가는 수석 분석가들을 도우며 전문성을 배울 수 있는 좋은 직책이다.
2) 주니어 보안 관리자 : 역시 최고 보안 책임자의 아래에서 현장 경험을 쌓을 수 있는 직책으로, 사용자 계정 관리, 방화벽 관리, 데이터 손실 방지, 침투 방지 시스템, 안티멀웨어 관리 등 여러 가지 방면에서 전문성을 쌓을 수 있다. 취약점 분류 및 관리도 주니어들의 업무로 할당되는 경우가 많은데, 일견 기계적인 일이지만 횟수가 쌓일 수록 배움이 눈에 띄게 쌓이는 일이다.
위 두 경우의 공통점은 ‘주니어’다. 그 동안 정보보안 업계에서 주니어라는 타이틀이 사용되는 예는 많지 않았다. 그러나 주니어 없는 시니어가 어디 있겠는가. 기업들이 주니어라는 타이틀을 사용하기 시작했다는 건 문이 더 많은 사람들에게 활짝 열렸다는 뜻이다. 나름 더 많은 사람을 초대하기 위한 기업들의 변화라고 볼 수 있다.
간략한 세계 전문 자격증들
위 조건에 맞는 ‘좋은 씨앗’에게 정보보안이라는 복음을 전파했다면 이제 그들이 집으로 돌아가 실제 밟을 수 있는 다음 절차를 소개해주어야 한다. 그 중 하나는 ‘자격증 취득’이다. 세계 거의 모든 나라에서 통용되는 자격증을 소개한다. 대학(원) 과정이나 군사학 과정 등을 제외한, 유명한 보안 업체나 정보보안 교육 업체들이 제공하는 것들을 선별했다.
1) 체크포인트 : 보안 전문업체인 체크포인트(Check Point)에서 제공하는 자격증들로는 CCSA, CCSE, CCMSE 등이 있다. CCSA가 가장 초기 단계 자격증으로 다음은 CCSE, 제일 높은 것이 CCMSE다.
2) 시스코 : 시스코가 제공하는 자격증은 CCNA, CCNP, CCIE로, 세 가지 전부 Entry, Associate, Professional, Expert, Architect의 다섯가지 수준으로 나뉘어 제공된다.
3) 포티넷 : 포티넷은 네트워크 보안 전문가(Network Security Expert, NSE) 자격증을 8단계로 제공한다. NSE1~NSE8까지의 자격증이 주어지는데, 1단계를 따는 것부터 그리 쉽지 않다. 꽤나 난이도가 높다.
4) IBM : 약 20가지 자격증이 존재한다. 대부분 IBM이 출시한 솔루션을 잘 다루는 것에 대한 자격증으로, Access Manager, AppScan, Identity Manager, Network Intrusion Prevention System, QRadar SIEM 등이 여기에 포함된다.
5) 맥아피 : 맥아피 제품들이 세계 곳곳에서 사용되고 있어, 맥아피 자격증들은 취업에 있어 꽤나 실제적인 도움이 되는 자격증이라는 평가를 받는다. CMSA, CMSS, CMSP, CMSX 등이 있다.
6) 오라클 : 단 두 가지 보안 관련 자격증을 제공하는데, 하나는 Oracle Solaris 운영 체제에 대한 것이고 다른 하나는 Oracle Database Management System에 관한 것이다. 오라클 역시 많은 업체들이 사용하고 있다.
7) 팔로알토 네트웍스 : 팔로알토 역시 자사의 차세대 보안제품과 관련된 두 가지 자격증을 제공한다. 하나는 CNSE이고 다른 하나는 ACE다.
8) (ISC)2 : 1988년에 세워진 세계적인 정보보안 교육 기관으로 여기서 발급되는 자격증은 가히 세계적이라고 할 만 하다. 특히 CISSP이 유명하지만, 그 외에도 수많은 분야에서 자격증을 제공하고 있다. 한 번 따면 끝이 아니라, 주기적으로 갱신해야 한다는 것도 정보보안 분야의 특성을 잘 반영한 정책이라고 볼 수 있다.
취직이 어렵다고 하는 시대다. 트럼프 대통령도 취임사를 통해 ‘일자리 창출’을 가장 크게 강조하기도 했다. 그런 때 유독 정보보안은 사람이 모자라 큰일이다. 업계 특성 상 빈 자리를 채운다는 건 경쟁자를 늘리는 게 아니라, 문제를 같이 해결할 동료들을 모으는 것이다. 이번 설 연휴가 미래 동료라는 씨앗을 심는 기회가 된다면, 다음 5월의 긴 연휴가 ‘해커가 날 뛰는 때’가 아니라 좀 더 쉴 만한 물가로 변할지도 모른다.
[문가용 기자(globoan@boannews.com)]
정보보안, 사람이 모자라 문제 해결 잘 안 돼… 동료 구하는 게 시급
[보안뉴스 문가용 기자] 정보보안 업계 전체에 닥친 문제가 한두 가지가 아니지만, 그 중 가장 시급한 해결책이 필요한 건 아무래도 ‘사람 수급’이다. 물론 대우가 좋으면 사람이 저절로 몰리는 거니, 차라리 보안 업계의 대우 문제가 더 본질적이거나 시급한 문제라고 볼 수도 있다. 하지만 일단 그 부분은 업계 전체의 구조나 시장의 인식과도 연관된, 조금은 복잡하고 시간 투자가 필요한 문제다. 그 시간을 앞당기려면 어떻게 해야 할까? 이 문제에 대하여 우리가 직접 취할 수 있는 행동에는 어떤 게 있을까?
우리 편을 최대한 많이 만드는 것이다. 시장의 인식도 우리 편이 한 사람이라도 늘어나야 변하기 시작하는 거고, 우리 편이 많아야 업계 전체도 우리에게 좋은 방향으로 굴러갈 공산이 크다. 이번 설, 모처럼 반가운 얼굴들도 많이 볼 수 있고 그 동안 잡아만 놓은 만남의 약속들도 이룰 수 있을 때를 이용해 ‘포교 활동’을 좀 벌여본다면 어떨까? ‘요즘 좀 뭐하고 사니?’라고 묻는 집안 어르신은 예비 우리 업계 학부모가 될 수 있고, ‘삼촌, 저 무슨 과로 진학해야 할까요?’라고 묻는 조카는 언젠가 구글에 스카웃될 지도 모른다.
본지 [설 특집 2]에 나오는 영화를 같이 보며 은근슬쩍 보안 이야기를 해도 좋고, 직업으로서 정보보안을 권해줘도 좋다. 물론 모든 인간에겐 무한한 가능성이 있긴 하지만, 모다가 같은 자리에서 똑같은 효과를 발휘하는 건 아니다. 이번 세 번째 특집에서는 정보보안 업계로 들어왔을 때 큰 힘을 발휘할 수 있을만한 재목들을 찾는 법에 대해 설명한다. 좋은 설득은, 좋은 대상에게 행해졌을 때 더 높은 효과를 발휘한다.
자질의 측면에서 가장 가능성 높은 대상
먼저 ‘포교’에 대한 성과가 좋으려면, 설득 시도 대상부터 좋아야 한다. 정보보안 업계에 들어와서도 잘 버틸만한 사람, 업계에 도움이 될 만한 사람은 어떤 특징을 가지고 있을까? ‘바보들을 위한 정보보안으로의 취직(Getting an Information Security Job for Dummies)’의 저자 피터 그레고리(Peter Gregory)에 따르면 다음과 같이 정리된다.
1) IT 기술에 관심이 많고, 법, 기술끼리의 상호작용, 사용자 심리 등을 아우르는 IT 생태계 자체에 대한 호기심이 많다.
2) 범죄에 대해 분개할 줄 알고, 범죄자 소탕 소식에 관심이 많다. ‘바른 생활’을 하는 데에 거부감이 없으며, 잘못된 행동을 참지 못한다.
3) 배우는 걸 좋아한다. 정보보안은 변화무쌍한 업계다. 범죄자들의 유형과 기술도 빠르게 바뀌며, 고쳐야 할 방어자들의 취약점과 제도적 보완 사항들도 수두룩하게 튀어나온다.
4) 문제를 해결하는 데에 있어 새로운 시각으로 남다른 해결책을 모색한다. 그저 ‘다르기 위해’ 그러는 게 아니라, 정말로 해결하고자 하기 때문이다.
현장 경험의 측면에서 가능성 높은 대상
NH농협은행의 전 부행장이자 CISO였던 남승우 보안전문가는 본지 인터뷰를 진행하던 당시 “보통 CISO라고 하면 IT의 모든 직책을 경험해보았던 시니어급 전문가가 은퇴 전에 들렸다 가는 포지션이라고 생각하는 경향이 있는데, 다른 건 몰라도 IT의 모든 분야를 경험해본 사람이 CISO에 어울리는 건 맞다”고 말했다. 즉 위기에 대처하고 사건을 해결하는 데에는 많은 경험이 수반되어야 한다는 것이다.
그만큼 보안담당자라는 직책에는 ‘사전 경험’이 필수적으로 요구되는 경우가 많다. 그러나 새로 이 분야에게 들어오려는 사람에게 현장 경험을 요구하는 건 말이 안 된다. 그렇다고 ‘경험’을 요하는 분야 특성을 완전히 무시할 수도 없는 노릇이다. 피터 그레고리는 “다행히 정보보안 업계가 요구하는 ‘사전 경험’이라는 게 그리 제한적이진 않다”며 이 조건에 충족될 만한 후보자들을 꼽는다.
1)고객 상담 오퍼레이터 : IT 업체에서 고객 상담을 한 사람이라면 기기가 어떤 식으로 고장이나고, 고객 계정에서 무슨 사고가 벌어지며, 어떤 식의 불편사항이 발생하고 신고되는지를 잘 알고 있다. 즉, 정보보안 문제와 매우 가까운 곳에서 있었던 사람들인 것이다. 게다가 이런 문제들을 해결해줄 수 있는 부서와 연결까지 시키는 것이 이들의 업무이므로, 해결 방법에 대한 어렴풋한 이해도도 가지고 있다.
2) 네트워크 관리자 : 사용자 계정이나 파일 서버를 관리해왔거나 직원들의 원격 접속을 통제해왔던 사람으로, 어쩌면 현재 정보보안 전문가들이 가장 친숙하게 느끼는 전문 분야일 것이다. 네트워크 관리자들은 사용자의 정보 접근을 가장 직접적으로 통제하는 사람들로서 보안적인 측면과 효율성의 측면 모두를 잘 이해하고 있는 부류다.
3) 시스템 관리자 : 시스템 관리자 혹은 시스템 엔지니어는 서버 운영 시스템과 엔드포인트 데스크톱 등을 직접 설치, 관리, 유지보수하는 인재들이다. 규모가 매우 작은 업체에서는 보통 이 사람들이 정보보안도 담당한다. 엔드포인트 보안이 중요시되고 있는 요즘 같은 때, 이 사람들은 정보보안 경험이 풍부할 수밖에 없다. 이 사람들은 비밀번호의 중요성, 사용자 계정 관리의 중요성을 잘 이해하고 있다.
4) 데이터베이스 관리자 : 네트워크 안쪽 깊숙이에 저장되어 있는 중요 데이터와 그 서버를 관리하는 사람들로서, 때론 외부 저장장치도 이들이 관리하기도 한다. 데이터 관리야말로 최근의 ‘데이터 중심 보안’에 있어 가장 중요한 핵심이자 노른자로, 이들은 데이터의 중요성과 그에 대한 분류 방법을 아주 잘 알고 있다. 이는 데이터를 보호하는 보안 담당자에게 있어 필수덕목이다.
5) 소프트웨어 개발자 : 다 그런 건 아니지만 최근 여러 나라나 기업에서 시큐어 코딩이 강조되고 있다. 그렇기 때문에 소프트웨어 개발자들도 좋든 싫든 보안이 가미된 개발에 대해 익히고 있는 중이다. 개발자들은 소프트웨어, 애플리케이션, 툴, 각종 유틸리티, 시스템 인터페이스 등을 만들어 내는 다재다능한 사람들이다. 시큐어 코딩을 익히면 개발 자체도 ‘정보보안’에 입각하여 할 수 있고, 보안 점검도 할 수 있으며, 코드 검토도 할 수 있게 된다.
6) 프로젝트 관리자 : 의외로 클라이언트와 담당자 사이에서 여러 가지 조율을 해본 프로젝트 관리자들도 보안에 대한 경험이 풍부하다. 물론 어떤 분야에서 프로젝트를 했느냐에 따라 차이가 있긴 하지만, 법률 검토에서, 산업 표준 및 정책에 맞춰 프로젝트를 처음부터 점검 및 관리해온 경험은 물론, 모든 참여자들의 기밀 유지도 경험해본 바가 있어 보안 업무가 크게 낯설지 않을 수 있다.
7) 사업 분석가 : 프로젝트 관리자와 비슷한 차원에서 사업 분석가 및 기획 부서 근무자도 보안 업무를 잘 할 가능성이 높다. 보고서 작성에서, 전혀 상관이 없어보이는 다양한 정보의 분석력, 그로부터의 결론 도출력 등을 갖추고 있어서 보안에 대한 개념만 조금 갖춰지면 큰 힘을 발휘할 수 있다.
8) IT 관리자 : 작은 업체일수록 서버 관리며 직원들 데스크톱, 네트워크 관리까지 전부 한두 사람에게 맡기는 경향이 있는데, 보통 이들이 IT 관리자라고 불린다. 현대 IT 관리자들에게 있어 보안이 큰 이슈일 것이기 때문에, 대부분 알게 모르게 보안에 대해 풍부한 지식을 갖추고 있다. 적어도 개념 자체는 잘 갖추고 있다.
9) 인사 담당자 : 정보보안 담당자들이 점점 ‘인사 관리’와 비슷한 업무를 맡아 가고 있다. 정보보안의 깊은 뿌리에 결국 사람이 있기 때문이다. 즉 정보보안이 사람의 문제라는 개념이 이해되기 시작하면서 정보보안 담당자들은 직원 교육 및 업무 환경 강화 등을 하고 있는데, 이 점을 역으로 해석하면 인사 담당자들 역시 정보보안에 투입될 수 있다는 것이다.
사람을 포섭하기 위한 현재 기업 및 조직들의 움직임
하지만 앞서 언급한 네 가지 기질이나 아홉 가지 직무 경험만으로 ‘보안전문가’ 타이틀을 얻을 순 없다. 전문가 타이틀이란 결국 해당 직무의 직접적인 경험을 필요로 하기 때문이다. 하지만 사람이 모자라는 업계 분위기가 지속됨에 따라 기업들도 대책을 마련하여 비전문가가 현장에 투입되어 경험을 쌓을 수 있도록 해준다. 진입장벽이 낮아진 것으로, ‘포교 활동’ 시 도움이 되는 정보다.
1) 주니어 보안 분석가 : 정보보안에 있어 분석의 능력이 점점 더 중요해지고 있는데, 이 때문에 소수 전문가 외에 자질구레 할 수 있는 잔무를 처리하는 사람들의 역할도 대두되고 있다. 물론 자동화나 머신 러닝이라는 신기술이 이 분야에 투입되고 있기는 한데, 그렇다 해도 아직까지는 ‘기계적인 일들’에만 국한되어 있고, 널리 퍼지려면 멀었다. 주니어 보안 분석가는 수석 분석가들을 도우며 전문성을 배울 수 있는 좋은 직책이다.
2) 주니어 보안 관리자 : 역시 최고 보안 책임자의 아래에서 현장 경험을 쌓을 수 있는 직책으로, 사용자 계정 관리, 방화벽 관리, 데이터 손실 방지, 침투 방지 시스템, 안티멀웨어 관리 등 여러 가지 방면에서 전문성을 쌓을 수 있다. 취약점 분류 및 관리도 주니어들의 업무로 할당되는 경우가 많은데, 일견 기계적인 일이지만 횟수가 쌓일 수록 배움이 눈에 띄게 쌓이는 일이다.
위 두 경우의 공통점은 ‘주니어’다. 그 동안 정보보안 업계에서 주니어라는 타이틀이 사용되는 예는 많지 않았다. 그러나 주니어 없는 시니어가 어디 있겠는가. 기업들이 주니어라는 타이틀을 사용하기 시작했다는 건 문이 더 많은 사람들에게 활짝 열렸다는 뜻이다. 나름 더 많은 사람을 초대하기 위한 기업들의 변화라고 볼 수 있다.
간략한 세계 전문 자격증들
위 조건에 맞는 ‘좋은 씨앗’에게 정보보안이라는 복음을 전파했다면 이제 그들이 집으로 돌아가 실제 밟을 수 있는 다음 절차를 소개해주어야 한다. 그 중 하나는 ‘자격증 취득’이다. 세계 거의 모든 나라에서 통용되는 자격증을 소개한다. 대학(원) 과정이나 군사학 과정 등을 제외한, 유명한 보안 업체나 정보보안 교육 업체들이 제공하는 것들을 선별했다.
1) 체크포인트 : 보안 전문업체인 체크포인트(Check Point)에서 제공하는 자격증들로는 CCSA, CCSE, CCMSE 등이 있다. CCSA가 가장 초기 단계 자격증으로 다음은 CCSE, 제일 높은 것이 CCMSE다.
2) 시스코 : 시스코가 제공하는 자격증은 CCNA, CCNP, CCIE로, 세 가지 전부 Entry, Associate, Professional, Expert, Architect의 다섯가지 수준으로 나뉘어 제공된다.
3) 포티넷 : 포티넷은 네트워크 보안 전문가(Network Security Expert, NSE) 자격증을 8단계로 제공한다. NSE1~NSE8까지의 자격증이 주어지는데, 1단계를 따는 것부터 그리 쉽지 않다. 꽤나 난이도가 높다.
4) IBM : 약 20가지 자격증이 존재한다. 대부분 IBM이 출시한 솔루션을 잘 다루는 것에 대한 자격증으로, Access Manager, AppScan, Identity Manager, Network Intrusion Prevention System, QRadar SIEM 등이 여기에 포함된다.
5) 맥아피 : 맥아피 제품들이 세계 곳곳에서 사용되고 있어, 맥아피 자격증들은 취업에 있어 꽤나 실제적인 도움이 되는 자격증이라는 평가를 받는다. CMSA, CMSS, CMSP, CMSX 등이 있다.
6) 오라클 : 단 두 가지 보안 관련 자격증을 제공하는데, 하나는 Oracle Solaris 운영 체제에 대한 것이고 다른 하나는 Oracle Database Management System에 관한 것이다. 오라클 역시 많은 업체들이 사용하고 있다.
7) 팔로알토 네트웍스 : 팔로알토 역시 자사의 차세대 보안제품과 관련된 두 가지 자격증을 제공한다. 하나는 CNSE이고 다른 하나는 ACE다.
8) (ISC)2 : 1988년에 세워진 세계적인 정보보안 교육 기관으로 여기서 발급되는 자격증은 가히 세계적이라고 할 만 하다. 특히 CISSP이 유명하지만, 그 외에도 수많은 분야에서 자격증을 제공하고 있다. 한 번 따면 끝이 아니라, 주기적으로 갱신해야 한다는 것도 정보보안 분야의 특성을 잘 반영한 정책이라고 볼 수 있다.
취직이 어렵다고 하는 시대다. 트럼프 대통령도 취임사를 통해 ‘일자리 창출’을 가장 크게 강조하기도 했다. 그런 때 유독 정보보안은 사람이 모자라 큰일이다. 업계 특성 상 빈 자리를 채운다는 건 경쟁자를 늘리는 게 아니라, 문제를 같이 해결할 동료들을 모으는 것이다. 이번 설 연휴가 미래 동료라는 씨앗을 심는 기회가 된다면, 다음 5월의 긴 연휴가 ‘해커가 날 뛰는 때’가 아니라 좀 더 쉴 만한 물가로 변할지도 모른다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
