보안 자격증의 종류는 하늘의 별처럼 많다. 그래서 잘 골라야 한다. 다들 인정하는 자격증이라도 내겐 쓸모 없을 수 있다. 아무리 노력해도 도저히 딸 수 없는 난이도를 가진 것일 수도 있다. 자격증을 바라보는 기업들의 시선이라는 것도 때마다 달라지는데, 과거의 명성 같은 것에 기대면 안 된다.
[보안뉴스 문가용 기자] 아마 당신은 이미 사이버 보안과 관련된 자격증을 여러 개 보유하고 있을 것이다. 그 중 몇 개는 이미 효력을 발휘해 직장을 찾거나 승진을 하는 데 결정적인 역할을 했었을 수도 있다. 하지만 그 반대로 아무런 도움이 되지 않아 괜히 땄다는 생각이 들게 하는 자격증도 있을 것이다.
[이미지 = utoimage]
선가드 어베일러빌리티 서비스(Sungard Availability Services)에서 보안 거버넌스와 위험 관리 부분을 책임지고 있는 미치 카발스키(Mitch Kavalsky)는 “자격증이라고 해서 항상 기대치를 다 충족시키는 건 아니”라고 말한다. “심지어 업계에서 최고라고 찬사받는 자격증도 개인의 사정에 따라 무용지물이 될 때가 있습니다.”
그래서 누구나 중요한 경력의 갈림길에 섰을 때 “자격증 공부를 하느냐 마느냐”를 두고 갈팡질팡 하게 된다. 이번 주말판에서는그 부분에 대해서 이야기를 나누려고 한다.
지금은 대부분의 기업들이 클라우드에 대한 의존도가 높은 상황이다. 클라우드 서비스를 최소 몇 가지는 사용 중에 있다. 그러면서 기존의 온프레미스 인프라도 유지하고 있다. 어떤 것이 더 안전하냐의 문제를 떠나 기업 입장에서 클라우드와 온프레미스를 둘다 보호한다는 건 꽤나 까다로운 일이다. 둘은 전혀 다른 인프라이며, 따라서 다른 지식과 기술력을 필요로 하기 때문이다. 결국 기업이 보안 인재에 돈을 더 투자할 수밖에 없게 된다는 뜻이 된다.
넷스코프(Netskope)의 보안 책임자인 제이슨 반즈(Jason Barnes)는 “그래서 클라우드 보안처럼 특화된 분야의 자격증보다 클라우드에 대한 전반적인 지식과 기술을 보증해 주는 자격증을 선호한다”고 설명한다. “하지만 지금의 시기가 지나고 클라우드에 대한 보편적 지식이 확장되면 다시 특수 분야의 자격증이 선호될 것입니다.”
클라우드 환경에 특화된 보안 자격증은 클라우드 서비스 업체들이 대부분 제공한다. 현재 시점에서 가장 인기가 높은 건 구글 GCP, AWS, 마이크로소프트 애저에서 나오는 자격증들이다. 세 가지 자격증이 아니다. AWS만 관련 자격증을 305가지나 시장에 내놓고 있으며, 그 수는 점점 늘어나고 있다. 그만큼 클라우드에서 제공하는 보안 기능이 늘어나고 있다는 것이다. 이는 당장 클라우드 보안을 시작해야 하는 기업 입장에서는 어마어마한 압박이 된다. 이런 종류의 자격증을 가진 사람을 찾을 수밖에 없는 것이다.
인포섹 인스티튜트(Infosec Institute)의 수석 보안 연구원인 키트론 에반스(Keatron Evans)는 “현재 나오는 클라우드 보안 관련 자격증들은 대부분 시니어 레벨을 위주로 되어 있고, 클라우드에만 있는 독특한 보안 지식 및 기술에 특화되어 있는 경우가 많다”고 설명한다. “따라서 요즘 클라우드에 대한 수요가 높아졌다는 것 하나만으로 아무 자격증이나 공부를 시작해서는 안 된다”는 것.
딥인스팅트(Deep Instinct)의 사이버 보안 국장인 척 에버렛(Chuck Everette)은 “지금 클라우드 자격증에 관심이 있다면 (ISC)2에서 나오는 CCSP를 추천한다”고 말한다. “물론 제로베이스에서 취득하기는 어려운 자격증입니다. 클라우드 관련 전문가로서 실제 근무 경험이 있어야만 해요. 하지만 그렇기 때문에 대부분 기업과 나라에서 인정을 받는 자격증이기도 하죠. 클라우드 보안에 대한 전반적인 지식 체계를 정립하는 데 큰 도움이 되기도 합니다.”
사이브러리(Cybrary)의 콘텐츠 디렉터인 윌 칼슨(Will Carlson)은 “클라우드 보안 자격증 도전은 성급히 결정할 문제가 아니”라고 경고한다. “적어도 수개월, 많게는 수년을 준비해야 합니다. 그건 어느 자격증을 따나 마찬가지고, 심지어 자격증 없이 이 분야에서 살아남고 앞으로 나아가겠다고 한다면 더 그렇습니다. 짧지 않은 시간을 투자하셔야 한다는 겁니다.”
하지만 (괜찮은) 클라우드 보안 자격증이 있다면 다양한 직업 선택의 기회가 열리는 것도 사실이라고 칼슨은 말한다. “클라우드 보안 엔지니어, 클라우드 보안 아키텍트, 애플리케이션 보안 엔지니어, 클라우드 아키텍트 등 요즘 이런 타이틀 가지고 있는 사람들 대부분 주요 클라우드 자격증을 가지고 있습니다. 클라우드로의 이전을 진지하게 고민하는 기업들은 클라우드 보안 자격증을 가진 사람이 고플 수밖에 없는 상황입니다.”
보안은 클라우드에만 국한된 분야가 전혀 아니다. 사람에 따라 클라우드에는 크게 관심이 없을 수도 있다. 대신 레드팀과 모의 해킹에 대한 관심이 지극할 수도 있다. 그렇다면 OSCP와 OSCE 자격증이 권장된다. “윤리적 해킹” 혹은 “모의 해킹”이라는 분야에 있어서 아무도 반박하지 않는 ‘표준’ 그 자체라고 볼 수 있다.
OSCE 자격증의 경우 세 가지 코스를 이수해야 한다. ‘고급 웹 공격과 익스플로잇 공격’, ‘우회 기술과 방어 기재 침해’, ‘윈도 사용자 모드 익스플로잇 개발’이 바로 그것이다. 이 코스는 올해 10월 새롭게 개편된 것으로, 전부 완료할 경우 OSCE3 자격증을 받을 수 있게 된다. 이 분야 표준이었던 OSCE가 업그레이드 된 것이라고도 볼 수 있다.
이 두 가지 자격증 모두 오펜시브 시큐리티(Offensive Security)라는 기관에서 제공한다. 사실상 라이벌이 딱히 없던 상황이었다. “하지만 최근 변화가 있었습니다. 펜테스터 아카데미(Pentester Academy)라고 해서 꽤 많은 종류의 침투 테스트 혹은 모의 해킹 관련 자격증을 제공하기 시작했거든요. 파이선을 활용해 보안 스크립팅을 하는 방법에서부터 고급 네트워크 침투 기법까지, 다루는 범위도 광범위하고요. 현장에서 당장 사용할 수 있는 실질적 기술을 전수한다는 평가가 많습니다.”
반즈는 언급된 자격증 모두 꽤나 좋은 결과를 가져다줄 수 있다는 데 동의하지만 “간단히 딸 수 있는 게 아니니 단단히 각오하고 공부해야 할 것”이라고 말한다. “제가 본 사람 중 최단 기간에 시험에 통과한 사람은 3개월을 주구장창 공부만 한 사람이었어요. 아주 예외적인데도 3개월이라는 거예요. 대부분은 그보다 훨씬 오래 걸리고, 심지어 오래 공부해도 떨어질 때가 많아요.”
그렇다면 ‘블루팀’의 측면에서 추천되는 자격증에는 어떤 게 있을까? GCIH와 GCFA를 대부분 첫 손에 꼽는다. 반즈는 “역시 어느 정도 경력을 갖춰야 시험을 볼 수 있게 되는 자격증”이라며 “모의 해킹과 익스플로잇 공격, 사건 대응과 디지털 포렌식을 전부 아우르기 때문에 상당히 고난이도의 자격증으로 알려져 있다”고 설명한다. “심지어 방어자로서의 창의력까지 요구되기 때문에 많은 이들이 실패합니다.”
이 두 가지 중 하나를 취득하려면 먼저는 SANS에서 제공하는 1주일짜리 훈련 코스를 완료해야 한다. 그런 다음 공부와 훈련, 연습을 혼자서 진행해야 하는데, 이 과정이 수개월 이어지는 게 보통이다. 그래서 회사들은 이 자격증을 따라고 임무를 주고도 수개월을 기다려 준다. 심지어 자격증을 딴다는 전제 하에 미리 채용부터 하는 경우도 있다. 그만큼 이 두 자격증이 어렵다는 걸 잘 이해하고 있는 것이다. “하지만 어려운 만큼 대우를 받을 수 있는 자격증입니다.”
하지만 필자는 자격증을 따는 게 - 그것이 아무리 어렵다 해도 - 결국 시작일 뿐이라는 걸 강조하고 싶다. “지식을 습득하고 시험 환경에서 문제를 잘 풀어서 자격증을 땄죠? 그러면 그걸 현장에서 실제로 응용할 수 있어야 해요. 의외로 좋은 자격증을 가졌는데 현장에서는 헤매는 사람들이 많습니다. 그래서 어떤 자격증이든 ‘이 사람이 기술과 지식을 응용할 수 있다’는 것도 같이 증명해 줬으면 합니다.” 에버렛의 설명이다.
실제로 고용주들이 알고 싶은 것도 바로 이 부분이다. 이 사람을 현장에 투입했을 때 실제로 능력 발휘를 할 수 있느냐 없느냐. 그래서 에버렛의 바람대로 응용력을 증명하는 방향으로 선회한 자격증들이 생겨나고 있다. 고용주들도 그러한 자격증의 변화를 민감히 파악하고 있고 말이다. “그래서 이왕이면 이론만 강조하는 게 아니라 실제 현장 경험을 요구한다거나, 응용력을 훈련할 수밖에 없게 하는 자격증을 노리는 게 낫습니다. 고용주들이 그 점을 점점 더 중요하게 생각하니까요.”
그런 의미에서 요즘 ‘4지선다형’ 문제로 구성된 시험을 풀면 되는 자격증의 가치는 계속해서 하락하고 있다고 에버렛은 설명한다. “그런 자격증들은 결국 정보 기억력 시험밖에 되지 않거든요. 실제로 문제에 몸을 담그고 손을 움직여 해결할 수 있는 능력이 제일 중요한 거라는 걸 고용주들이 깨닫고 있어요.”
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 아마 당신은 이미 사이버 보안과 관련된 자격증을 여러 개 보유하고 있을 것이다. 그 중 몇 개는 이미 효력을 발휘해 직장을 찾거나 승진을 하는 데 결정적인 역할을 했었을 수도 있다. 하지만 그 반대로 아무런 도움이 되지 않아 괜히 땄다는 생각이 들게 하는 자격증도 있을 것이다.
[이미지 = utoimage]
선가드 어베일러빌리티 서비스(Sungard Availability Services)에서 보안 거버넌스와 위험 관리 부분을 책임지고 있는 미치 카발스키(Mitch Kavalsky)는 “자격증이라고 해서 항상 기대치를 다 충족시키는 건 아니”라고 말한다. “심지어 업계에서 최고라고 찬사받는 자격증도 개인의 사정에 따라 무용지물이 될 때가 있습니다.”
그래서 누구나 중요한 경력의 갈림길에 섰을 때 “자격증 공부를 하느냐 마느냐”를 두고 갈팡질팡 하게 된다. 이번 주말판에서는그 부분에 대해서 이야기를 나누려고 한다.
지금은 대부분의 기업들이 클라우드에 대한 의존도가 높은 상황이다. 클라우드 서비스를 최소 몇 가지는 사용 중에 있다. 그러면서 기존의 온프레미스 인프라도 유지하고 있다. 어떤 것이 더 안전하냐의 문제를 떠나 기업 입장에서 클라우드와 온프레미스를 둘다 보호한다는 건 꽤나 까다로운 일이다. 둘은 전혀 다른 인프라이며, 따라서 다른 지식과 기술력을 필요로 하기 때문이다. 결국 기업이 보안 인재에 돈을 더 투자할 수밖에 없게 된다는 뜻이 된다.
넷스코프(Netskope)의 보안 책임자인 제이슨 반즈(Jason Barnes)는 “그래서 클라우드 보안처럼 특화된 분야의 자격증보다 클라우드에 대한 전반적인 지식과 기술을 보증해 주는 자격증을 선호한다”고 설명한다. “하지만 지금의 시기가 지나고 클라우드에 대한 보편적 지식이 확장되면 다시 특수 분야의 자격증이 선호될 것입니다.”
클라우드 환경에 특화된 보안 자격증은 클라우드 서비스 업체들이 대부분 제공한다. 현재 시점에서 가장 인기가 높은 건 구글 GCP, AWS, 마이크로소프트 애저에서 나오는 자격증들이다. 세 가지 자격증이 아니다. AWS만 관련 자격증을 305가지나 시장에 내놓고 있으며, 그 수는 점점 늘어나고 있다. 그만큼 클라우드에서 제공하는 보안 기능이 늘어나고 있다는 것이다. 이는 당장 클라우드 보안을 시작해야 하는 기업 입장에서는 어마어마한 압박이 된다. 이런 종류의 자격증을 가진 사람을 찾을 수밖에 없는 것이다.
인포섹 인스티튜트(Infosec Institute)의 수석 보안 연구원인 키트론 에반스(Keatron Evans)는 “현재 나오는 클라우드 보안 관련 자격증들은 대부분 시니어 레벨을 위주로 되어 있고, 클라우드에만 있는 독특한 보안 지식 및 기술에 특화되어 있는 경우가 많다”고 설명한다. “따라서 요즘 클라우드에 대한 수요가 높아졌다는 것 하나만으로 아무 자격증이나 공부를 시작해서는 안 된다”는 것.
딥인스팅트(Deep Instinct)의 사이버 보안 국장인 척 에버렛(Chuck Everette)은 “지금 클라우드 자격증에 관심이 있다면 (ISC)2에서 나오는 CCSP를 추천한다”고 말한다. “물론 제로베이스에서 취득하기는 어려운 자격증입니다. 클라우드 관련 전문가로서 실제 근무 경험이 있어야만 해요. 하지만 그렇기 때문에 대부분 기업과 나라에서 인정을 받는 자격증이기도 하죠. 클라우드 보안에 대한 전반적인 지식 체계를 정립하는 데 큰 도움이 되기도 합니다.”
사이브러리(Cybrary)의 콘텐츠 디렉터인 윌 칼슨(Will Carlson)은 “클라우드 보안 자격증 도전은 성급히 결정할 문제가 아니”라고 경고한다. “적어도 수개월, 많게는 수년을 준비해야 합니다. 그건 어느 자격증을 따나 마찬가지고, 심지어 자격증 없이 이 분야에서 살아남고 앞으로 나아가겠다고 한다면 더 그렇습니다. 짧지 않은 시간을 투자하셔야 한다는 겁니다.”
하지만 (괜찮은) 클라우드 보안 자격증이 있다면 다양한 직업 선택의 기회가 열리는 것도 사실이라고 칼슨은 말한다. “클라우드 보안 엔지니어, 클라우드 보안 아키텍트, 애플리케이션 보안 엔지니어, 클라우드 아키텍트 등 요즘 이런 타이틀 가지고 있는 사람들 대부분 주요 클라우드 자격증을 가지고 있습니다. 클라우드로의 이전을 진지하게 고민하는 기업들은 클라우드 보안 자격증을 가진 사람이 고플 수밖에 없는 상황입니다.”
보안은 클라우드에만 국한된 분야가 전혀 아니다. 사람에 따라 클라우드에는 크게 관심이 없을 수도 있다. 대신 레드팀과 모의 해킹에 대한 관심이 지극할 수도 있다. 그렇다면 OSCP와 OSCE 자격증이 권장된다. “윤리적 해킹” 혹은 “모의 해킹”이라는 분야에 있어서 아무도 반박하지 않는 ‘표준’ 그 자체라고 볼 수 있다.
OSCE 자격증의 경우 세 가지 코스를 이수해야 한다. ‘고급 웹 공격과 익스플로잇 공격’, ‘우회 기술과 방어 기재 침해’, ‘윈도 사용자 모드 익스플로잇 개발’이 바로 그것이다. 이 코스는 올해 10월 새롭게 개편된 것으로, 전부 완료할 경우 OSCE3 자격증을 받을 수 있게 된다. 이 분야 표준이었던 OSCE가 업그레이드 된 것이라고도 볼 수 있다.
이 두 가지 자격증 모두 오펜시브 시큐리티(Offensive Security)라는 기관에서 제공한다. 사실상 라이벌이 딱히 없던 상황이었다. “하지만 최근 변화가 있었습니다. 펜테스터 아카데미(Pentester Academy)라고 해서 꽤 많은 종류의 침투 테스트 혹은 모의 해킹 관련 자격증을 제공하기 시작했거든요. 파이선을 활용해 보안 스크립팅을 하는 방법에서부터 고급 네트워크 침투 기법까지, 다루는 범위도 광범위하고요. 현장에서 당장 사용할 수 있는 실질적 기술을 전수한다는 평가가 많습니다.”
반즈는 언급된 자격증 모두 꽤나 좋은 결과를 가져다줄 수 있다는 데 동의하지만 “간단히 딸 수 있는 게 아니니 단단히 각오하고 공부해야 할 것”이라고 말한다. “제가 본 사람 중 최단 기간에 시험에 통과한 사람은 3개월을 주구장창 공부만 한 사람이었어요. 아주 예외적인데도 3개월이라는 거예요. 대부분은 그보다 훨씬 오래 걸리고, 심지어 오래 공부해도 떨어질 때가 많아요.”
그렇다면 ‘블루팀’의 측면에서 추천되는 자격증에는 어떤 게 있을까? GCIH와 GCFA를 대부분 첫 손에 꼽는다. 반즈는 “역시 어느 정도 경력을 갖춰야 시험을 볼 수 있게 되는 자격증”이라며 “모의 해킹과 익스플로잇 공격, 사건 대응과 디지털 포렌식을 전부 아우르기 때문에 상당히 고난이도의 자격증으로 알려져 있다”고 설명한다. “심지어 방어자로서의 창의력까지 요구되기 때문에 많은 이들이 실패합니다.”
이 두 가지 중 하나를 취득하려면 먼저는 SANS에서 제공하는 1주일짜리 훈련 코스를 완료해야 한다. 그런 다음 공부와 훈련, 연습을 혼자서 진행해야 하는데, 이 과정이 수개월 이어지는 게 보통이다. 그래서 회사들은 이 자격증을 따라고 임무를 주고도 수개월을 기다려 준다. 심지어 자격증을 딴다는 전제 하에 미리 채용부터 하는 경우도 있다. 그만큼 이 두 자격증이 어렵다는 걸 잘 이해하고 있는 것이다. “하지만 어려운 만큼 대우를 받을 수 있는 자격증입니다.”
하지만 필자는 자격증을 따는 게 - 그것이 아무리 어렵다 해도 - 결국 시작일 뿐이라는 걸 강조하고 싶다. “지식을 습득하고 시험 환경에서 문제를 잘 풀어서 자격증을 땄죠? 그러면 그걸 현장에서 실제로 응용할 수 있어야 해요. 의외로 좋은 자격증을 가졌는데 현장에서는 헤매는 사람들이 많습니다. 그래서 어떤 자격증이든 ‘이 사람이 기술과 지식을 응용할 수 있다’는 것도 같이 증명해 줬으면 합니다.” 에버렛의 설명이다.
실제로 고용주들이 알고 싶은 것도 바로 이 부분이다. 이 사람을 현장에 투입했을 때 실제로 능력 발휘를 할 수 있느냐 없느냐. 그래서 에버렛의 바람대로 응용력을 증명하는 방향으로 선회한 자격증들이 생겨나고 있다. 고용주들도 그러한 자격증의 변화를 민감히 파악하고 있고 말이다. “그래서 이왕이면 이론만 강조하는 게 아니라 실제 현장 경험을 요구한다거나, 응용력을 훈련할 수밖에 없게 하는 자격증을 노리는 게 낫습니다. 고용주들이 그 점을 점점 더 중요하게 생각하니까요.”
그런 의미에서 요즘 ‘4지선다형’ 문제로 구성된 시험을 풀면 되는 자격증의 가치는 계속해서 하락하고 있다고 에버렛은 설명한다. “그런 자격증들은 결국 정보 기억력 시험밖에 되지 않거든요. 실제로 문제에 몸을 담그고 손을 움직여 해결할 수 있는 능력이 제일 중요한 거라는 걸 고용주들이 깨닫고 있어요.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
