다른 업계에서 들어온 사람, 예전부터 보안업계에서 활동해와
여러 나라서 정부 지원 적극적으로 시행되고 있어
민간 업체의 ‘초대 방법’ 다양해져...스타트업에 투자하고 장학금 주고
[보안뉴스 문가용 기자] 이처럼 사람이 고팠던 적이 있었나 싶을 정도로 일할 사람이 부족하다. 세계 2차대전이 종료된 직후 유럽의 사정이 이 정도였을까. 게다가 사지 멀쩡하면 누구나 할 수 있는 일도 아니다. 정보보안은 IT 기술에 대한 ‘전문적인’ 이해가 기본 바탕에 깔려 있어야 하는 분야고, 요즘은 법률, 경영, 리더십 등 보다 더 다양한 능력들이 요구되고 있다. 그러다보니 일을 하고 싶어 하는 마음과 일을 주고 싶은 마음이 만나질 못하고 있다.
▲ 손에 흙을 묻혀야 씨앗이 심긴다
국제 정보보안 교육 단체인 CompTIA의 회장인 토드 티보도(Todd Thibodeaux)는 정보보안의 구인시장은 현재 “철저하게 수요와 공급의 원리로 지탱되고 있다”고 설명한다. “미국에서는 매년 보안 담당자 공고가 대략 20만 건 올라옵니다. 그런데 이 빈 자리는 반도 채워지지 않습니다. 평균 1/3 정도가 채워지는 게 전부죠.” 수요가 공급을 웃돌면 값이 올라가는 법. 자연히 보안담당자들의 몸값은 상승 중이다. “일반 IT 분야의 근무자들보다 평균 10% 높습니다. 직업군 전체와 비교하면 150% 높고요.”
즉, ‘들어오기만 하면 높은 연봉’이 약속되어 있다시피 한 분야라는 것. 그러나 그 결심은 쉽지가 않다. 전문 분야이기 때문이다. 사실 신방과를 나와 기자를 하는 사람이나 바둑 프로기사로 젊음을 바쳤던 사람이 갑자기 보안담당자가 될 수는 없다. 그래서 ‘정보보안, 사람이 모자라서 연봉이 높은 편이라며?’라는 소문을 듣고 진지하게 고민을 시작하는 사람들은 IT를 어느 정도 접해본 사람들이다. 다른 IT 분야에 있다가 정보보안 일을 시작해본 사람들의 사연을 수집해보았다.
1. 다양한 길을 통해 들어온 사람들의 사연
먼저 영국의 보안전문가인 리차드 네이선(Richard Nathan)의 이야기다. “90년대에는 대형 유제품 회사에서 네트워크 유지보수를 담당했었습니다. 네트워크에서 오작동이 자주 일어나고, 무엇보다 재무부서에서 이상한 오류 보고서가 자꾸 떠서 임원들이 불안해하고 있었습니다. 뭔가 이 네트워크 안에서 알 수 없는 일이 벌어지고 있는 모양이다, 그런데 그게 뭔지 몰라 답답하다, 이런 불안감이었죠.
“어느 날은 네트워크 장비를 점검하고 있는데 CFO가 지나가다가 말을 걸었습니다. ‘이 장비는 확실히 안전한가?’ 예, 라고 답했더니, 그럼 일단 이 장비 때문에 오류 보고서가 자꾸 뜨는 건 아니겠구만, 이라고 하시더라고요. 그래서 ‘네’라고 했는데, 사실 타성에 젖어서 한 것이었죠. 저도 확실히 몰랐어요.
“그날 집에 가는데 계속 그 대화가 머리 속에 맴돌았습니다. 솔직히 불안해서였어요. 그 장비로부터 문제가 터지면 어떻게 하지? 내가 책임을 져야 하나? 이런 생각이 계속 들었어요. 그래서 그 주말에 다시 출근해서 장비를 다시 점검했어요. 제가 알고 있는 여러 공격 방법들을 동원해서 적용시켰더니, 4~5개의 취약점이 나오더군요. 그래서 이걸 막았습니다. 주말 내내요.
“그리고 월요일 출근하고 나서는 이 방법으로 모든 장비들을 점검하고 고쳤습니다. 그리고 다시 CFO한테 가서 정말로 장비가 튼튼하게 되었다고 보고했습니다. 필요한 설명들을 다 드리고요. 당시는 정보보안이라는 분야가 없었어요. 그냥 저처럼 IT나 네트워크를 담당하던 사람이 알아서 하는 거였죠. 지금에 와서 그 주말을 생각해보면, 전 화이트해킹을 한 것이더라고요. 그런 일이 있고나서 2년 후 전 본격적으로 정보보안에 집중하기 시작했습니다.”
미국의 보안전문가 브루스 로브리(Bruce Lobree)의 사연 역시 남다르다. “80년대까지만 해도 핵융합 발전소의 엔지니어였어요. 당시 코딩을 담당했고요. 그런데 어느 날 문득 궁금하더라고요. 우리 컴퓨터 시스템들과 네트워크가 얼마나 안전한지가요. 그래서 지나가던 길에 공장장님한테 물었어요. 그런데 이틀 후에 본사 CIO한테서 전화가 오더라고요. 생각보다 깊은 이야기를 오랜 시간 나눴습니다. 그렇게까지 진지하게 답을 해줄 줄 몰랐어요. 그러면서 자연히 ‘보안’이라는 개념에 흥미가 생겼고, 저는 1년 후에 회사의 첫 보안 엔지니어가 됐습니다.”
사설 탐정일을 하다가 보안 일을 시작한 사람도 있다. 캘리포니아 출신의 토드 플레스코(Todd Plesco)라는 인물로, 대학교 때 진로 적성 검사를 해주는 텔레타입(Teletype)이라는 프로그램을 접한 것이 그 시작이라고 말한다. “텔레타입을 시작하면 250개 문항에 대한 답을 해야 했습니다. 그 답을 가지고 적성에 맞는 직업군을 알려주는 프로그램이었지요. 그런데 그 프로그램을 돌릴 때마다 모피 디자이너를 해야 한다고 나오더군요. 그게 너무 속상해서 몇 주 동안 IBM 운영체제 매뉴얼들을 공부했어요. 의도적으로 다른 직업군이 나오도록 바꾸기 위해서였죠. 그런데 그 과정에서 수많은 기업들과 학교 기관의 정보들을 발견했습니다.”
하지만 그땐 이런 정보들도 있구나, 하고 넘어갔다고 한다. 그리고 졸업 후 탐정 사무소에서 서기로 일을 시작했다. “그러다가 우연히 텔레타입 이야기를 하게 됐고, 제가 여러 기업들의 민감한 정보를 발견했다고 알려주게 되었어요. 탐정님이 깜짝 놀라시더니, 문제 해결을 해준다며 기업들에게 접근하시기 시작했습니다. 반응이 있었어요. 그러면서 자연히 복구 대행 서비스를 시작한 것이죠. 그게 90년대에 일어난 일입니다.”
2. 컨설팅 업체, 투명성을 팔다 보젠 인터뷰
다양한 경로로 보안 업계로 인재들이 투입되고 있다는 사실 자체도 희망이지만, 의미 있는 보안업계의 변화를 위해 수익 모델을 바꾼 사람도 있다. 바꾼 수익 모델이 그다지 높은 수익성을 보장할 것 같지 않다는 게 포인트다. 최근 그다지 효율이 높아 보이지 않는 수익 모델을 가지고 창립된 보안 컨설팅 업체인 보젠 AG(Bosen AG)의 티몬 크리텐브링크(Timon Kritenbrink) 대표를 만나보았다.
보안뉴스 : 보안 컨설팅 회사인 보젠 AG, 약간은 다른 사업을 펼친다고 들었다.
크리텐브링크 : 평범한 컨설팅 회사일뿐이라고 생각한다. 다른 점이 있다면 솔루션을 제작하지 않는다는 거다. 난 정보보안의 수많은 문제점이 ‘솔루션 판매를 목적으로 한 전문가의 상담’이라고 생각한다. 판매가 목적이 되니 진짜 문제와 진짜 해결책을 진지하게 토론할 수가 없게 된다. 어떻게 해서든 팔고 싶은 솔루션을 ‘끼어 맞추는’ 컨설팅이 난무한다.
보안뉴스 : 하지만 말만 해주는 컨설팅은 효력이 없지 않을까? 기술적인 대책을 마련해주는 것도 보안 컨설팅 업체의 몫이라고 생각한다.
크리텐브링크 : 맞는 말이다. 그래서 보젠에서는 고객마다 다른 솔루션을 제공해준다. 즉 이미 상품화된 솔루션을 만들지 않는 대신, 상담 내용, 고객사와의 계약 관계, 고객사가 겪고 있는 문제에 따라 ‘맞춤형’ 솔루션을 그때 그때 만든다는 것이다. 미리 솔루션을 만들어놓고 그 솔루션에 맞는 해결책을 내놓지 않는다.
그러므로 투명해질 수 있다. 사실 일반 고객사의 경우도 ‘솔루션을 팔기 위한 보안 컨설팅’에 대해 잘 알고 있고, 그래서 보안 컨설팅 내용을 온전히 믿지 못한다. 그냥 참고해볼만한 사항으로서 곁들일 뿐이다. 불신이 이미 알게 모르게 쌓여있다는 뜻. 이런 상황에서 ‘우린 맞춤형 솔루션만을 제공한다’는 건 큰 설득력을 갖게 된다. 이윤 남기기가 우리의 첫째 목적이 아니라는 진정성을 보일 수 있으니까 말이다. 즉, 우리가 파는 건 투명성이다.
세상에 얼굴이 같은 사람이 한 명도 없듯이, 동일한 보안 문제를 가진 기업들도 존재하지 않는다. 그러므로 기업 하나하나에 독특하고 고유한 해결책이 제시되어야 하는데, 보젠은 실제로 그러한 ‘고유성’을 추구한다. 그러니 투명해질 수 있다.
보안뉴스 : 고유성을 추구한다는 건 무슨 뜻인가?
크리텐브링크 : 고객사마다 가지고 있는 독특한 필요들만을 해결한다는 것이다. 그 고유한 문제들을 산출한 후 우린 파트너십 계약서를 작성하는데, 여태까지 단 한 건도 동일한 계약서를 사용해본 적이 없다. 우린 고객사의 상황에 따라 그때마다 다른 계약서를 작성하고, 계약서 작성 및 서명의 모든 과정에서 법 전문가의 도움을 받는다.
보안뉴스 : 계약서 샘플이라도 볼 수 없겠는가?
크리텐브링크 : 아쉽지만 ‘샘플’이라고 불릴만한 계약서가 없다. 다 다르기 때문이다. 기본적으로는 고객사에게 필요한 정책이 무엇인지 알려주고, 이를 도입하도록 한다. 이는 단지 규칙 몇 개를 명문화하는 것으로 끝나지 않는다. 고객사의 담당자들과 일반 직원들을 교육시키는 일까지도 포함된다. 맞춤형 솔루션을 인터뷰 초반에 얘기했는데, 그 조차도 고객사 문제 해결 과정의 일부일뿐이다.
계약서를 작성하는 또 다른 이유는 보젠이 투입된 후에도 보안이 발생했을 때 그 책임을 분명히 하기 위해서다. 사실 정책을 아무리 엄격하게 정하고, 교육을 철저히 시켜도 누군가는 실수를 하거나, 새로운 규칙이나 교육 내용을 무시한다. 그리고 그런 행위들은 사고로 얼마든지 연결될 수 있다. 그런 때 중요한 건 두 번째 사고가 발생하지 않도록 하는 것이다. 재발을 방지하려면 먼저 문제의 원인을 찾아야 하고 책임을 물려야 한다.
보안뉴스 : 설명을 들으면 들을수록, 차라리 정형화된 솔루션 하나 설치하는 게 더 속편하다고 느낄 고객들도 분명히 있을 것 같다. 소프트웨어 설치 한 번으로 모든 문제가 싹 해결된다는 문구가 얼마나 잘 팔리는가.
크리텐브링크 : 사실이다. 하지만 솔직히 보안 업계 종사자들은 하나로 모든 걸 다 해결하는 게 얼마나 큰 거짓말인지 다 알고 있다. 거짓말을 팔고, 거짓말을 사니, 우린 계속해서 당하는 것이다. 이를 이제 고객사들도 조금씩 깨닫고 있다. 그런 시점이니 우리 같은 사업 모델로 시장에 뛰어들 수 있는 것이겠지.
보안뉴스 : 뭐든지 ‘맞춤형’이면 값이 비싸진다. 그게 시장 원리다. 보젠도 비싼가? 그리고 그런 맞춤형 ‘케어’ 서비스라면 회사 인력도 많이 필요하지 않은가?
크리텐브링크 : 경쟁사에 비해 우리 컨설팅 비용이 특별히 높지는 않다. 다른 곳처럼 1회성 계약이 아니라 최소 1주일에서 길게는 몇 년씩이나 이어지는 관계를 유지하기 때문에 비쌀 수도 없다. 그리고 아까도 말했지만 우린 ‘교육’을 굉장히 중요시 한다. 이건 단순히 고객사 직원들에게 보안 인식을 심어준다는 게 아니다. 우리의 내부 파트너들을 만드는 것에 더 가깝다. 즉, 우리 사람을 각 고객사 내부에 두는 것과 다름이 없는 건데, 그 때문에 인력의 측면에서 매우 높은 효율성을 가져간다.
보안 컨설팅은, 상담을 받는 사람이 치부를 다 드러내야만 온전하게 이뤄진다. 우리 같은 외부 컨설팅 업체에게 다짜고짜 모든 치부를 알려줄 기업도 없고, 우리도 굳이 모든 것을 들춰내려 하지 않는다. 그렇기에 교육을 통한 내부 인원들의 조력이 필요하다. 그런 인원들은 보젠의 자원을 활용해 남에게 공개할 수 없는 자신들의 약점을 내부적으로 처리하게 될 중요한 인원들이다. 우리가 사람을 고용해 파견근무를 보낸다고 해도 할 수 없는 역할이다. 이는 굉장한 신뢰를 바탕으로 하는데, 이 역시 앞서 말한 ‘투명성 판매’로 얻을 수 있는 이득이기도 하다. 솔루션 판매를 포기하니 더 많은 것들이 이렇게 돌아오게 되더라.
3. 시만텍의 새로운 시도
보젠이 ‘신뢰를 바탕으로 섞여 들어가는 보안’을 추구하고 있다면, 아예 보안이라는 양분을 제공해 신기술을 키워내는 역할을 하겠다는 시도도 있다. 시만텍(Symantec)은 최근 사이버 보안 벤처캐피탈 부문을 새로 신설했다고 발표했다. 스타트업들의 인큐베이터 역할을 하겠다는 계획이다.
이 파트의 이름은 시만텍 벤처스(Symantec Ventures)로 새로 기업을 시작한 이들이 투자를 보다 빠르게 유치할 수 있도록 도우며, 동시에 시만텍에서 제공하는 사이버 디펜스 플랫폼(Cyber Defense Platform)과 디지털 세이프티 플랫폼(Digital Safety Platform), 여러 위협 첩보에 접근할 수 있도록 해준다고 한다. 대신 시만텍은 인수인계에 대한 정보를 빠르게 접할 수 있게 된다.
시만텍의 CEO인 그렉 클락(Greg Clark)은 “굉장한 아이디어를 가진 업체들의 행정과 보안을 돕는 대신 M&A 진행 상황에 대해 미리 알게 된다는 건 시만텍으로서도 굉장한 이득”이라고 설명한다. 또한 시만텍이 모바일 앱 보안 전문업체인 앱소리티(Appthority)에 투자한 것이 최초의 시만텍 벤처스 프로젝트라고 설명하기도 했다.
앱소리티의 CEO인 폴 스티치(Paul Stich)는 시만텍과 모바일 앱 데이터를 공유한다고 말했다. “대신 시만텍은 저희에게 첩보를 공유해주죠. 공생관계에 입각하여 서로에게 도움을 주고 있는 중이고, 후에 M&A가 진행된다면 이 또한 시만텍과 공유할 예정입니다.”
클락은 “시만텍은 현재 새로운 기술력을 보강하기 위해 여러 가지 방법을 모색하고 있다”며 “특히 분석 기술과 인공지능에 관심이 높다”고 말한다. “인공지능과 분석 기술은 차세대 정보보안의 핵심 기술이 될 것입니다. 그래서 시만텍도 이런 분야에 투자하는 것이고요, 그 투자의 일환으로 스타트업들을 지원하게 되었습니다. 결국 가장 최신의 혁신 기술을 보다 가까이에 두겠다는 것이 그 목적인 것입니다.” 보안의 활용도가 확대되고 있는 중이다.
4. 정부의 관심도 높아지고 있다
보안 업계 내부 인원들의 이러한 노력은 소리소문 없이 이어지고 있다. 하지만 아직까지는 너무 조용하다. 최근 기자는 IT 분야로의 진출을 꾀하는 한 고등학생을 만나 이야기를 나눠본 적이 있다. 혼자서 해외 라즈베리파이 관련 잡지를 구해 열심히 읽고, 이미 다양한 기기들을 혼자서 만들어 본 경험이 있으며, 다양한 발명 소식에 해박한 학생이었다. 이미 C+과 파이선을 능숙하게 다룰 줄 아는 고등학교 2학년생. 그러나 이런 학생조차 ‘정보보안’이라는 말에 “재미없을 것 같다”는 말부터 꺼냈다. 뒤이어 “솔직히, 뭐하는 분야인지 잘 모르겠다”고 말하기도 했다.
최근 방한한 보안 전문업체 익시아(Ixia)의 아태지역 홍보총괄인 브렌든 리치(Brendan Leitch)는 “인정할 수밖에 없는 현실”이라며 “IT에 재능을 보이는 학생들은 다들 혁신적인 제품이나 서비스를 창작하고 싶어한다”고 말했다. 그러면서 “이런 분위기를 보다 빠르게 바꾸려면 정부들이 나서야 한다”고 설명했다. “정부가 대학과 협조하여 이런 학과들을 만들고, 프로그램을 신설하고, 장학금 지원을 하는 등 관심을 보이기 시작하면 일반 시민들도 관심을 갖습니다.”
그러면서 홍콩과 싱가포르의 예를 든다. “홍콩과 싱가포르 정부는 국가 예산을 2월에 발표하는데, 올해는 사이버 보안과 관련된 분야가 특별히 언급되었습니다. 이런 분야에 돈을 쓰겠으니, 관심 있는 사람은 알아보라는 메시지인 것이죠. 싱가포르 정부는 예전부터 대학들과 연계하여 사이버 보안 인재를 키우고 있고요. 여기에는 대학기관만이 아니라 익시아 같은 민간 보안 업체들도 참여합니다.”
브렌든 리치는 솔직히 말한다. “돈이 몰리면 관심도 몰립니다. 정부가 돈을 쓰면 없던 관심도 생길 수 있죠.” 그러면서 일본 나리타공항과 한국 인천공항의 ‘비하인드 스토리’를 들려주었다. “일본이 경제적으로 부흥기를 가졌던 70년대에 일본 정부는 도쿄 중심가에서 60km 떨어진 곳에 국제공항을 하나 설립합니다. 그게 나리타에요. 근데 비행기 출장이 잦은 사람들에게 있어 나리타 공항은 불편하기 짝이 없는, 악명 높은 공항이 되었습니다. 갈아타기가 너무 불편하고, 도쿄 시내로 진입하기도 너무 멀었기 때문이죠. 심지어 일본 국민들도 불편하다고 했어요.”
하지만 일본 정부는 별다른 대책을 마련하지 않았다. 그러다가 한국에 인천공항이 들어섰다. “고속전철도 있고 활주로도 충분하고 환승 시스템도 매우 편리한 공항이었죠. 제가 지금 한국에 와 있기 때문에 한국을 칭송하는 게 아닙니다. 실제로 일본인들도 나리타보다 인천공항을 더 많이 이용하기 시작했어요. 일본에서 인천으로 온 다음, 여기서 국제선 타는 게 더 편리하다는 결론을 내린 거죠. 그래서 나리타는 엄청난 손해를 보기 시작합니다. 그제야 일본 정부가 공항 정책을 전면적으로 수정하고 활주로를 추가하는 등 움직임을 보였습니다. 20년만의 변화였죠.”
결국, 일본인들이 인천공항의 편리함에 이끌렸듯 정보보안으로 자연스럽게 이끌리기 시작하면 좋겠지만, 그렇지 않을 때 정부의 대폭적인 지원과 정책 수립으로 변화의 물꼬를 틀 수 있다는 것이다. “그리고 많은 정부들이 이러한 움직임들을 보이고 있습니다. 제가 아태지역에 있어서 다른 지역 사정은 밝히 알지 못하지만 일단 싱가포르, 홍콩, 호주 정부가 여기선 가장 활발하게 정보보안을 ‘밀어주고’ 있습니다. 한국도 충분히 그럴 수 있는데, 요즘 국정이 혼란스러워서 좀 억제된 분위기가 안타깝고요.”
5. 보안 자격증, 관심 가져볼 만
정보보안은, 전공자이든 아니든, 생각해봄직한 ‘커리어’임이 분명하다. 업계의 과감한 투자들이나 여러 정부들의 신설 프로그램의 목적이 결국 ‘사람 모시기’이기 때문이다. 게다가 위 사례들을 통해 봤듯이 예전부터 다른 분야로부터의 유입이 가능하기도 했었으니, 관심을 갖고 도전을 결심해 봐도 괜찮아 보인다.
하지만 IT 분야에서는 ‘전문 기술’을 무시할 수가 없다. 기본 중 기본이다. 사이버 보안도 마찬가지다. 아무리 사람이 모자란다고 해도 경쟁이 아예 없는 건 아니다. 기술 관련 자격증을 보유하고 있으면 위에서 말한 기회들이 더 가까워진다. 특히 신입과 주니어급에서는 자격증 보유 여부로 면접 기회가 주어지기도 하고 없어지기도 한다.
현재 전 세계 보안 업계에서는 CompTIA의 Security+나 CSA+, (ISC)2의 CISSP 등이 꽤나 인정받고 있는데, 중요한 건 한 번 취득하는 게 아니라 계속해서 더 높은 수준의 자격증에 도전하는 것이다. 그냥 현장에서 공부하고 자기 능력을 계발한다는 건 막연할 수 있는데, 자격증이라는 구체적인 목표를 세워두면 도움이 된다. 본지는 이중 (ISC)2와 손을 잡고 연간 교육 캠페인을 진행할 계획이다.
또한 지난 2월 본지에서는 “정보보안 자격증 가운데 보안 실무에 있어 가장 필요한 자격증은 무엇인가?”라는 설문을 조사한 바 있다. 총 1506명의 보안 실무자들이 참여한 가운데, 정보보안관제사(ISC)가 37.32%로 1위를, 정보시스템보안전문가(CISSP)가 32.60%로 2위를, 정보보안기사 및 정보보안산업기사가 17.99%로 3위를 차지했다.
[국제부 문가용 기자(globoan@boannews.com)]
- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- VR 체험, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
여러 나라서 정부 지원 적극적으로 시행되고 있어
민간 업체의 ‘초대 방법’ 다양해져...스타트업에 투자하고 장학금 주고
[보안뉴스 문가용 기자] 이처럼 사람이 고팠던 적이 있었나 싶을 정도로 일할 사람이 부족하다. 세계 2차대전이 종료된 직후 유럽의 사정이 이 정도였을까. 게다가 사지 멀쩡하면 누구나 할 수 있는 일도 아니다. 정보보안은 IT 기술에 대한 ‘전문적인’ 이해가 기본 바탕에 깔려 있어야 하는 분야고, 요즘은 법률, 경영, 리더십 등 보다 더 다양한 능력들이 요구되고 있다. 그러다보니 일을 하고 싶어 하는 마음과 일을 주고 싶은 마음이 만나질 못하고 있다.
▲ 손에 흙을 묻혀야 씨앗이 심긴다
국제 정보보안 교육 단체인 CompTIA의 회장인 토드 티보도(Todd Thibodeaux)는 정보보안의 구인시장은 현재 “철저하게 수요와 공급의 원리로 지탱되고 있다”고 설명한다. “미국에서는 매년 보안 담당자 공고가 대략 20만 건 올라옵니다. 그런데 이 빈 자리는 반도 채워지지 않습니다. 평균 1/3 정도가 채워지는 게 전부죠.” 수요가 공급을 웃돌면 값이 올라가는 법. 자연히 보안담당자들의 몸값은 상승 중이다. “일반 IT 분야의 근무자들보다 평균 10% 높습니다. 직업군 전체와 비교하면 150% 높고요.”
즉, ‘들어오기만 하면 높은 연봉’이 약속되어 있다시피 한 분야라는 것. 그러나 그 결심은 쉽지가 않다. 전문 분야이기 때문이다. 사실 신방과를 나와 기자를 하는 사람이나 바둑 프로기사로 젊음을 바쳤던 사람이 갑자기 보안담당자가 될 수는 없다. 그래서 ‘정보보안, 사람이 모자라서 연봉이 높은 편이라며?’라는 소문을 듣고 진지하게 고민을 시작하는 사람들은 IT를 어느 정도 접해본 사람들이다. 다른 IT 분야에 있다가 정보보안 일을 시작해본 사람들의 사연을 수집해보았다.
1. 다양한 길을 통해 들어온 사람들의 사연
먼저 영국의 보안전문가인 리차드 네이선(Richard Nathan)의 이야기다. “90년대에는 대형 유제품 회사에서 네트워크 유지보수를 담당했었습니다. 네트워크에서 오작동이 자주 일어나고, 무엇보다 재무부서에서 이상한 오류 보고서가 자꾸 떠서 임원들이 불안해하고 있었습니다. 뭔가 이 네트워크 안에서 알 수 없는 일이 벌어지고 있는 모양이다, 그런데 그게 뭔지 몰라 답답하다, 이런 불안감이었죠.
“어느 날은 네트워크 장비를 점검하고 있는데 CFO가 지나가다가 말을 걸었습니다. ‘이 장비는 확실히 안전한가?’ 예, 라고 답했더니, 그럼 일단 이 장비 때문에 오류 보고서가 자꾸 뜨는 건 아니겠구만, 이라고 하시더라고요. 그래서 ‘네’라고 했는데, 사실 타성에 젖어서 한 것이었죠. 저도 확실히 몰랐어요.
“그날 집에 가는데 계속 그 대화가 머리 속에 맴돌았습니다. 솔직히 불안해서였어요. 그 장비로부터 문제가 터지면 어떻게 하지? 내가 책임을 져야 하나? 이런 생각이 계속 들었어요. 그래서 그 주말에 다시 출근해서 장비를 다시 점검했어요. 제가 알고 있는 여러 공격 방법들을 동원해서 적용시켰더니, 4~5개의 취약점이 나오더군요. 그래서 이걸 막았습니다. 주말 내내요.
“그리고 월요일 출근하고 나서는 이 방법으로 모든 장비들을 점검하고 고쳤습니다. 그리고 다시 CFO한테 가서 정말로 장비가 튼튼하게 되었다고 보고했습니다. 필요한 설명들을 다 드리고요. 당시는 정보보안이라는 분야가 없었어요. 그냥 저처럼 IT나 네트워크를 담당하던 사람이 알아서 하는 거였죠. 지금에 와서 그 주말을 생각해보면, 전 화이트해킹을 한 것이더라고요. 그런 일이 있고나서 2년 후 전 본격적으로 정보보안에 집중하기 시작했습니다.”
미국의 보안전문가 브루스 로브리(Bruce Lobree)의 사연 역시 남다르다. “80년대까지만 해도 핵융합 발전소의 엔지니어였어요. 당시 코딩을 담당했고요. 그런데 어느 날 문득 궁금하더라고요. 우리 컴퓨터 시스템들과 네트워크가 얼마나 안전한지가요. 그래서 지나가던 길에 공장장님한테 물었어요. 그런데 이틀 후에 본사 CIO한테서 전화가 오더라고요. 생각보다 깊은 이야기를 오랜 시간 나눴습니다. 그렇게까지 진지하게 답을 해줄 줄 몰랐어요. 그러면서 자연히 ‘보안’이라는 개념에 흥미가 생겼고, 저는 1년 후에 회사의 첫 보안 엔지니어가 됐습니다.”
사설 탐정일을 하다가 보안 일을 시작한 사람도 있다. 캘리포니아 출신의 토드 플레스코(Todd Plesco)라는 인물로, 대학교 때 진로 적성 검사를 해주는 텔레타입(Teletype)이라는 프로그램을 접한 것이 그 시작이라고 말한다. “텔레타입을 시작하면 250개 문항에 대한 답을 해야 했습니다. 그 답을 가지고 적성에 맞는 직업군을 알려주는 프로그램이었지요. 그런데 그 프로그램을 돌릴 때마다 모피 디자이너를 해야 한다고 나오더군요. 그게 너무 속상해서 몇 주 동안 IBM 운영체제 매뉴얼들을 공부했어요. 의도적으로 다른 직업군이 나오도록 바꾸기 위해서였죠. 그런데 그 과정에서 수많은 기업들과 학교 기관의 정보들을 발견했습니다.”
하지만 그땐 이런 정보들도 있구나, 하고 넘어갔다고 한다. 그리고 졸업 후 탐정 사무소에서 서기로 일을 시작했다. “그러다가 우연히 텔레타입 이야기를 하게 됐고, 제가 여러 기업들의 민감한 정보를 발견했다고 알려주게 되었어요. 탐정님이 깜짝 놀라시더니, 문제 해결을 해준다며 기업들에게 접근하시기 시작했습니다. 반응이 있었어요. 그러면서 자연히 복구 대행 서비스를 시작한 것이죠. 그게 90년대에 일어난 일입니다.”
2. 컨설팅 업체, 투명성을 팔다 보젠 인터뷰
다양한 경로로 보안 업계로 인재들이 투입되고 있다는 사실 자체도 희망이지만, 의미 있는 보안업계의 변화를 위해 수익 모델을 바꾼 사람도 있다. 바꾼 수익 모델이 그다지 높은 수익성을 보장할 것 같지 않다는 게 포인트다. 최근 그다지 효율이 높아 보이지 않는 수익 모델을 가지고 창립된 보안 컨설팅 업체인 보젠 AG(Bosen AG)의 티몬 크리텐브링크(Timon Kritenbrink) 대표를 만나보았다.
보안뉴스 : 보안 컨설팅 회사인 보젠 AG, 약간은 다른 사업을 펼친다고 들었다.
크리텐브링크 : 평범한 컨설팅 회사일뿐이라고 생각한다. 다른 점이 있다면 솔루션을 제작하지 않는다는 거다. 난 정보보안의 수많은 문제점이 ‘솔루션 판매를 목적으로 한 전문가의 상담’이라고 생각한다. 판매가 목적이 되니 진짜 문제와 진짜 해결책을 진지하게 토론할 수가 없게 된다. 어떻게 해서든 팔고 싶은 솔루션을 ‘끼어 맞추는’ 컨설팅이 난무한다.
보안뉴스 : 하지만 말만 해주는 컨설팅은 효력이 없지 않을까? 기술적인 대책을 마련해주는 것도 보안 컨설팅 업체의 몫이라고 생각한다.
크리텐브링크 : 맞는 말이다. 그래서 보젠에서는 고객마다 다른 솔루션을 제공해준다. 즉 이미 상품화된 솔루션을 만들지 않는 대신, 상담 내용, 고객사와의 계약 관계, 고객사가 겪고 있는 문제에 따라 ‘맞춤형’ 솔루션을 그때 그때 만든다는 것이다. 미리 솔루션을 만들어놓고 그 솔루션에 맞는 해결책을 내놓지 않는다.
그러므로 투명해질 수 있다. 사실 일반 고객사의 경우도 ‘솔루션을 팔기 위한 보안 컨설팅’에 대해 잘 알고 있고, 그래서 보안 컨설팅 내용을 온전히 믿지 못한다. 그냥 참고해볼만한 사항으로서 곁들일 뿐이다. 불신이 이미 알게 모르게 쌓여있다는 뜻. 이런 상황에서 ‘우린 맞춤형 솔루션만을 제공한다’는 건 큰 설득력을 갖게 된다. 이윤 남기기가 우리의 첫째 목적이 아니라는 진정성을 보일 수 있으니까 말이다. 즉, 우리가 파는 건 투명성이다.
세상에 얼굴이 같은 사람이 한 명도 없듯이, 동일한 보안 문제를 가진 기업들도 존재하지 않는다. 그러므로 기업 하나하나에 독특하고 고유한 해결책이 제시되어야 하는데, 보젠은 실제로 그러한 ‘고유성’을 추구한다. 그러니 투명해질 수 있다.
보안뉴스 : 고유성을 추구한다는 건 무슨 뜻인가?
크리텐브링크 : 고객사마다 가지고 있는 독특한 필요들만을 해결한다는 것이다. 그 고유한 문제들을 산출한 후 우린 파트너십 계약서를 작성하는데, 여태까지 단 한 건도 동일한 계약서를 사용해본 적이 없다. 우린 고객사의 상황에 따라 그때마다 다른 계약서를 작성하고, 계약서 작성 및 서명의 모든 과정에서 법 전문가의 도움을 받는다.
보안뉴스 : 계약서 샘플이라도 볼 수 없겠는가?
크리텐브링크 : 아쉽지만 ‘샘플’이라고 불릴만한 계약서가 없다. 다 다르기 때문이다. 기본적으로는 고객사에게 필요한 정책이 무엇인지 알려주고, 이를 도입하도록 한다. 이는 단지 규칙 몇 개를 명문화하는 것으로 끝나지 않는다. 고객사의 담당자들과 일반 직원들을 교육시키는 일까지도 포함된다. 맞춤형 솔루션을 인터뷰 초반에 얘기했는데, 그 조차도 고객사 문제 해결 과정의 일부일뿐이다.
계약서를 작성하는 또 다른 이유는 보젠이 투입된 후에도 보안이 발생했을 때 그 책임을 분명히 하기 위해서다. 사실 정책을 아무리 엄격하게 정하고, 교육을 철저히 시켜도 누군가는 실수를 하거나, 새로운 규칙이나 교육 내용을 무시한다. 그리고 그런 행위들은 사고로 얼마든지 연결될 수 있다. 그런 때 중요한 건 두 번째 사고가 발생하지 않도록 하는 것이다. 재발을 방지하려면 먼저 문제의 원인을 찾아야 하고 책임을 물려야 한다.
보안뉴스 : 설명을 들으면 들을수록, 차라리 정형화된 솔루션 하나 설치하는 게 더 속편하다고 느낄 고객들도 분명히 있을 것 같다. 소프트웨어 설치 한 번으로 모든 문제가 싹 해결된다는 문구가 얼마나 잘 팔리는가.
크리텐브링크 : 사실이다. 하지만 솔직히 보안 업계 종사자들은 하나로 모든 걸 다 해결하는 게 얼마나 큰 거짓말인지 다 알고 있다. 거짓말을 팔고, 거짓말을 사니, 우린 계속해서 당하는 것이다. 이를 이제 고객사들도 조금씩 깨닫고 있다. 그런 시점이니 우리 같은 사업 모델로 시장에 뛰어들 수 있는 것이겠지.
보안뉴스 : 뭐든지 ‘맞춤형’이면 값이 비싸진다. 그게 시장 원리다. 보젠도 비싼가? 그리고 그런 맞춤형 ‘케어’ 서비스라면 회사 인력도 많이 필요하지 않은가?
크리텐브링크 : 경쟁사에 비해 우리 컨설팅 비용이 특별히 높지는 않다. 다른 곳처럼 1회성 계약이 아니라 최소 1주일에서 길게는 몇 년씩이나 이어지는 관계를 유지하기 때문에 비쌀 수도 없다. 그리고 아까도 말했지만 우린 ‘교육’을 굉장히 중요시 한다. 이건 단순히 고객사 직원들에게 보안 인식을 심어준다는 게 아니다. 우리의 내부 파트너들을 만드는 것에 더 가깝다. 즉, 우리 사람을 각 고객사 내부에 두는 것과 다름이 없는 건데, 그 때문에 인력의 측면에서 매우 높은 효율성을 가져간다.
보안 컨설팅은, 상담을 받는 사람이 치부를 다 드러내야만 온전하게 이뤄진다. 우리 같은 외부 컨설팅 업체에게 다짜고짜 모든 치부를 알려줄 기업도 없고, 우리도 굳이 모든 것을 들춰내려 하지 않는다. 그렇기에 교육을 통한 내부 인원들의 조력이 필요하다. 그런 인원들은 보젠의 자원을 활용해 남에게 공개할 수 없는 자신들의 약점을 내부적으로 처리하게 될 중요한 인원들이다. 우리가 사람을 고용해 파견근무를 보낸다고 해도 할 수 없는 역할이다. 이는 굉장한 신뢰를 바탕으로 하는데, 이 역시 앞서 말한 ‘투명성 판매’로 얻을 수 있는 이득이기도 하다. 솔루션 판매를 포기하니 더 많은 것들이 이렇게 돌아오게 되더라.
3. 시만텍의 새로운 시도
보젠이 ‘신뢰를 바탕으로 섞여 들어가는 보안’을 추구하고 있다면, 아예 보안이라는 양분을 제공해 신기술을 키워내는 역할을 하겠다는 시도도 있다. 시만텍(Symantec)은 최근 사이버 보안 벤처캐피탈 부문을 새로 신설했다고 발표했다. 스타트업들의 인큐베이터 역할을 하겠다는 계획이다.
이 파트의 이름은 시만텍 벤처스(Symantec Ventures)로 새로 기업을 시작한 이들이 투자를 보다 빠르게 유치할 수 있도록 도우며, 동시에 시만텍에서 제공하는 사이버 디펜스 플랫폼(Cyber Defense Platform)과 디지털 세이프티 플랫폼(Digital Safety Platform), 여러 위협 첩보에 접근할 수 있도록 해준다고 한다. 대신 시만텍은 인수인계에 대한 정보를 빠르게 접할 수 있게 된다.
시만텍의 CEO인 그렉 클락(Greg Clark)은 “굉장한 아이디어를 가진 업체들의 행정과 보안을 돕는 대신 M&A 진행 상황에 대해 미리 알게 된다는 건 시만텍으로서도 굉장한 이득”이라고 설명한다. 또한 시만텍이 모바일 앱 보안 전문업체인 앱소리티(Appthority)에 투자한 것이 최초의 시만텍 벤처스 프로젝트라고 설명하기도 했다.
앱소리티의 CEO인 폴 스티치(Paul Stich)는 시만텍과 모바일 앱 데이터를 공유한다고 말했다. “대신 시만텍은 저희에게 첩보를 공유해주죠. 공생관계에 입각하여 서로에게 도움을 주고 있는 중이고, 후에 M&A가 진행된다면 이 또한 시만텍과 공유할 예정입니다.”
클락은 “시만텍은 현재 새로운 기술력을 보강하기 위해 여러 가지 방법을 모색하고 있다”며 “특히 분석 기술과 인공지능에 관심이 높다”고 말한다. “인공지능과 분석 기술은 차세대 정보보안의 핵심 기술이 될 것입니다. 그래서 시만텍도 이런 분야에 투자하는 것이고요, 그 투자의 일환으로 스타트업들을 지원하게 되었습니다. 결국 가장 최신의 혁신 기술을 보다 가까이에 두겠다는 것이 그 목적인 것입니다.” 보안의 활용도가 확대되고 있는 중이다.
4. 정부의 관심도 높아지고 있다
보안 업계 내부 인원들의 이러한 노력은 소리소문 없이 이어지고 있다. 하지만 아직까지는 너무 조용하다. 최근 기자는 IT 분야로의 진출을 꾀하는 한 고등학생을 만나 이야기를 나눠본 적이 있다. 혼자서 해외 라즈베리파이 관련 잡지를 구해 열심히 읽고, 이미 다양한 기기들을 혼자서 만들어 본 경험이 있으며, 다양한 발명 소식에 해박한 학생이었다. 이미 C+과 파이선을 능숙하게 다룰 줄 아는 고등학교 2학년생. 그러나 이런 학생조차 ‘정보보안’이라는 말에 “재미없을 것 같다”는 말부터 꺼냈다. 뒤이어 “솔직히, 뭐하는 분야인지 잘 모르겠다”고 말하기도 했다.
최근 방한한 보안 전문업체 익시아(Ixia)의 아태지역 홍보총괄인 브렌든 리치(Brendan Leitch)는 “인정할 수밖에 없는 현실”이라며 “IT에 재능을 보이는 학생들은 다들 혁신적인 제품이나 서비스를 창작하고 싶어한다”고 말했다. 그러면서 “이런 분위기를 보다 빠르게 바꾸려면 정부들이 나서야 한다”고 설명했다. “정부가 대학과 협조하여 이런 학과들을 만들고, 프로그램을 신설하고, 장학금 지원을 하는 등 관심을 보이기 시작하면 일반 시민들도 관심을 갖습니다.”
그러면서 홍콩과 싱가포르의 예를 든다. “홍콩과 싱가포르 정부는 국가 예산을 2월에 발표하는데, 올해는 사이버 보안과 관련된 분야가 특별히 언급되었습니다. 이런 분야에 돈을 쓰겠으니, 관심 있는 사람은 알아보라는 메시지인 것이죠. 싱가포르 정부는 예전부터 대학들과 연계하여 사이버 보안 인재를 키우고 있고요. 여기에는 대학기관만이 아니라 익시아 같은 민간 보안 업체들도 참여합니다.”
브렌든 리치는 솔직히 말한다. “돈이 몰리면 관심도 몰립니다. 정부가 돈을 쓰면 없던 관심도 생길 수 있죠.” 그러면서 일본 나리타공항과 한국 인천공항의 ‘비하인드 스토리’를 들려주었다. “일본이 경제적으로 부흥기를 가졌던 70년대에 일본 정부는 도쿄 중심가에서 60km 떨어진 곳에 국제공항을 하나 설립합니다. 그게 나리타에요. 근데 비행기 출장이 잦은 사람들에게 있어 나리타 공항은 불편하기 짝이 없는, 악명 높은 공항이 되었습니다. 갈아타기가 너무 불편하고, 도쿄 시내로 진입하기도 너무 멀었기 때문이죠. 심지어 일본 국민들도 불편하다고 했어요.”
하지만 일본 정부는 별다른 대책을 마련하지 않았다. 그러다가 한국에 인천공항이 들어섰다. “고속전철도 있고 활주로도 충분하고 환승 시스템도 매우 편리한 공항이었죠. 제가 지금 한국에 와 있기 때문에 한국을 칭송하는 게 아닙니다. 실제로 일본인들도 나리타보다 인천공항을 더 많이 이용하기 시작했어요. 일본에서 인천으로 온 다음, 여기서 국제선 타는 게 더 편리하다는 결론을 내린 거죠. 그래서 나리타는 엄청난 손해를 보기 시작합니다. 그제야 일본 정부가 공항 정책을 전면적으로 수정하고 활주로를 추가하는 등 움직임을 보였습니다. 20년만의 변화였죠.”
결국, 일본인들이 인천공항의 편리함에 이끌렸듯 정보보안으로 자연스럽게 이끌리기 시작하면 좋겠지만, 그렇지 않을 때 정부의 대폭적인 지원과 정책 수립으로 변화의 물꼬를 틀 수 있다는 것이다. “그리고 많은 정부들이 이러한 움직임들을 보이고 있습니다. 제가 아태지역에 있어서 다른 지역 사정은 밝히 알지 못하지만 일단 싱가포르, 홍콩, 호주 정부가 여기선 가장 활발하게 정보보안을 ‘밀어주고’ 있습니다. 한국도 충분히 그럴 수 있는데, 요즘 국정이 혼란스러워서 좀 억제된 분위기가 안타깝고요.”
5. 보안 자격증, 관심 가져볼 만
정보보안은, 전공자이든 아니든, 생각해봄직한 ‘커리어’임이 분명하다. 업계의 과감한 투자들이나 여러 정부들의 신설 프로그램의 목적이 결국 ‘사람 모시기’이기 때문이다. 게다가 위 사례들을 통해 봤듯이 예전부터 다른 분야로부터의 유입이 가능하기도 했었으니, 관심을 갖고 도전을 결심해 봐도 괜찮아 보인다.
하지만 IT 분야에서는 ‘전문 기술’을 무시할 수가 없다. 기본 중 기본이다. 사이버 보안도 마찬가지다. 아무리 사람이 모자란다고 해도 경쟁이 아예 없는 건 아니다. 기술 관련 자격증을 보유하고 있으면 위에서 말한 기회들이 더 가까워진다. 특히 신입과 주니어급에서는 자격증 보유 여부로 면접 기회가 주어지기도 하고 없어지기도 한다.
현재 전 세계 보안 업계에서는 CompTIA의 Security+나 CSA+, (ISC)2의 CISSP 등이 꽤나 인정받고 있는데, 중요한 건 한 번 취득하는 게 아니라 계속해서 더 높은 수준의 자격증에 도전하는 것이다. 그냥 현장에서 공부하고 자기 능력을 계발한다는 건 막연할 수 있는데, 자격증이라는 구체적인 목표를 세워두면 도움이 된다. 본지는 이중 (ISC)2와 손을 잡고 연간 교육 캠페인을 진행할 계획이다.
또한 지난 2월 본지에서는 “정보보안 자격증 가운데 보안 실무에 있어 가장 필요한 자격증은 무엇인가?”라는 설문을 조사한 바 있다. 총 1506명의 보안 실무자들이 참여한 가운데, 정보보안관제사(ISC)가 37.32%로 1위를, 정보시스템보안전문가(CISSP)가 32.60%로 2위를, 정보보안기사 및 정보보안산업기사가 17.99%로 3위를 차지했다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- VR 체험, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
