보안 제품을 구경한다는 게 얼마나 힘든 일인지 보안 업체들은 알고 있을까. 대다수의 사람들에게 보안은 비싼 사치품과 동일한 뜻이라는 걸 알고 있을까. 알았다면 보안 인지 제고라는 말 같은 건 하지 못하지 않았을까.
[보안뉴스 문가용 기자] 사이버 보안 시장을 보면 의아함이 들게 하는 것들이 몇 개 있는데, 그 중 하나는 보안이 그렇게나 중요한 것이고 모두가 빠짐없이 지켜야 하는 거라고 하면서 정작 보안 도구들은 일부 소수만 사용할 수 있도록 만드는 행태이다. 대부분의 보안 솔루션들은 여러 차례의 데모 시연과 다년 계약을 통해서만 만져볼 수 있고 비싸다. 게다가 보안 벤더들은 늘 최소한의 엔드포인트들만 보호해준다. 이런 사업 행위가 장기화 되면서 우리 산업 전체는 뜻하지 않은 결과를 마주하게 됐다.
[이미지 = gettyimagesbank]
소수를 위한 보안 제품과 사라지는 보안 인재들
현재 사이버 보안 시장은 꽤나 기이하게 형성되어 있다. 간단히 말해 ‘벤더 중심’인 건데, 그렇기 때문에 사실상 고객들을 벤더가 평가하고 고른다. 그리고 벤더에 유리한 장기 계약을 맺는다. 평가 기준은 ‘최소한 이 정도 돈을 쓸 준비가 되어 있는가’와 ‘우리 회사 보안 솔루션을 잘 다룰 수 있는가’이다. 최소한의 실력과 자금력을 갖춘 고객들과만 여러 해 관계를 맺는다는 것이다.
이런 식으로 산업이 커져 오다 보니 신규 인력이 유입되지 않는 상황에 이르렀다. 최소한 일정 수준 이상으로 특정 기업의 솔루션을 다룰 줄 알아야 하는 분위기가 형성됐으니, 학교에서 배운 보안 지식은 현장에서 써먹을 수 없는 것이 된다. 막 졸업한 보안 전공자 입장에서는 매우 희한한 상황이다. 어떤 회사에 입사하려면 그 회사가 사용하고 있는 보안 솔루션을 다룰 줄 알아야만 한다니, 이를 어떻게 충족시켜야 할까? 그 솔루션은 벤더가 고르고 고른 고객들만 비싼 돈 주고 겨우 사용할 수 있는 건데, 학생이 어떻게 그 솔루션을 연습해 볼까?
보안 새내기들을 위한 학습 자료들은 넘쳐난다. 여러 유튜브 영상을 통해서도 보안 팁들을 얻고 레드팀 기술을 익힐 수 있다. 그러다가 자신감이 생기면 여러 CTF 대회에서 참석하면서 경험을 쌓을 수도 있다. 버그바운티에 참여하는 것도 적잖은 도움이 된다. 레드팀 쪽에 관심이 있다면 이런 식으로 커리어를 쌓아가는 게 가능하다. 하지만 블루팀은 사정이 다르다. 블루팀에 있으려면 벤더 중심으로 형성된 시장의 높은 장벽을 넘어서야 한다.
도무지 가질 수 없는 보안 솔루션들
보안 도구들이 너무나 다가가기 어렵고 희귀한 것이 되다보니 보안 업계에 진출하려 하는 새내기들은 자연스럽게 양극으로 나뉜다. 운 좋게 보안 솔루션을 만져볼 기회를 가진 소수와(대부분 특권층일 수밖에 없다), 졸업 후에까지 근처에도 얼씬 못하는 다수로 말이다. 보안 전문가들은 ‘다양성’을 강조하면서 여러 계층의 인재들을 끌어모아야 한다고 주장하는데, 지금의 시장 상황에서 그건 대단히 공허한 외침이다.
열심히 하는 젊은 층들은 대단히 많다. 그들은 없는 시간을 내 자신들의 보안 기술력과 지식 수준을 높이려고 다양한 방법을 동원한다. 계속해서 공부하고 연습하고 이력서를 넣는다. 그리고 그런 학생들을 위해 학교나 국가도 장학금과 같은 제도를 마련해 돕고자 한다. 하지만 지금과 같은 시장 상황에서 정말 도움이 되는 건 벤더들이 만든 도구들을 사용해 볼 기회를 제공하는 것이다. 실제 고용으로 이어질 수 있는 실용적인 기술 - 솔루션 다루기 -을 익히도록 해야 한다. 그래야 보안 업계로 안착하는 인재들을 늘릴 수 있다.
보안 솔루션? 중소기업들에는 꿈만 같은 소리
필자는 창업을 꿈꾸는 미래 사업가들을 숱하게 만나 왔다. 그들이 호소하는 가장 큰 어려움은 어엿한 기업을 시작하려 하지만, 보안 도구들을 회사에 들여와 구축할 수 없다는 것이었다. 이제 막 문을 연 사무실과 계약을 맺으려는 보안 업체는 도무지 찾을 수 없었다고들 말한다. 방화벽 이야기를 하면 ‘우리 같은 회사가 무슨...’이라며 스스로를 평가절하 한다.
보안 업계와 매체들은 중소기업의 피해 사례를 즐겨 다룬다. 그러면서 중소기업 임직원이 좀 더 보안에 대해 공부하고 알아야 한다고 조언한다. 도움을 줄 정부 기관과 제도들에 대한 소개도 아끼지 않는다. 하지만 실제적인 효과를 발휘하는 도구들은 주지 않는다. 보안 업체들 대부분 대기업 아니면 거들떠도 보지 않는다. 작은 기업일수록 필요한 보안 도구들이 많은데, 돈은 부족하기 때문이다. 중소기업은 보안 사업 진행에 있어 거추장스러운 존재들일 뿐이다.
물론 무료로 풀린 도구들도 많다. 오픈소스 보안 도구들도 지난 수년 동안 충분히 누적됐다. 돈 주고 사야만 강력한 보안 기술을 구축할 수 있는 건 아니다. 하지만 막 창업을 해 시장에서의 경쟁력을 고민해야 하는 사람들에게 보안 오픈소스라는 복잡하고 난해한 분야를 처음부터 공부해 알아서 하라는 건 너무나 가혹한 조언이다.
이런 상황에서의 미래
그래도 다행이라고 할 수 있는 건, 이런 의아함을 필자만 가지고 있는 게 아니기 때문이다. 요 몇 년 간 중소기업이 처한 문제에 눈을 뜬 보안 전문가들이 늘기 시작했다. 블루팀에 초점을 맞춘 훈련 코스들도 증가하고 있다. 해킹 대회만큼 방어 대회들도 생겨나고 있다. 오픈소스는 점점 더 보편화 되고 있고, 강력해지고 있다. 유료를 고집하던 벤더들이 스스로 자사 제품을 무료로 풀기도 한다. 긍정적인 흐름이다. 다만 좀 더 이 흐름이 빨라져야 한다.
보안 업체들은 인력 부족에 시달리게 된 이유에 대해 좀 더 깊이 고민해야 한다. 대기업 위주의 사업 모델을 탈피할 수 없는 것인지도 살펴야 한다. 자라나는 보안 인재들이 실질적으로 현장에서 능력을 발휘할 수 있도록 해 주는 기회를 기획해야 한다. 초연결 사회라 모두가 다 보안 인식 수준을 높여야 한다고 말하기 전에 중소기업에 얼마나 관심을 가졌는지를 반성해야 한다.
더 많은 보안 제품들이 공개되지 않으면 우리의 문제는 풀리지 않는다. 해커들인 계속해서 공격에 성공할 것이고, 인재들은 더 씨가 마를 것이다. 그랬을 때 더 많은 기업이 우리 제품을 사겠지, 라고 생각하면 오산이다. 오히려 보안 기술이라는 것 자체에 대한 불신만 키우게 된다.
글 : 로스 헤일리욱(Ross Haleliuk), 제품 총괄, LimaCharlie
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 사이버 보안 시장을 보면 의아함이 들게 하는 것들이 몇 개 있는데, 그 중 하나는 보안이 그렇게나 중요한 것이고 모두가 빠짐없이 지켜야 하는 거라고 하면서 정작 보안 도구들은 일부 소수만 사용할 수 있도록 만드는 행태이다. 대부분의 보안 솔루션들은 여러 차례의 데모 시연과 다년 계약을 통해서만 만져볼 수 있고 비싸다. 게다가 보안 벤더들은 늘 최소한의 엔드포인트들만 보호해준다. 이런 사업 행위가 장기화 되면서 우리 산업 전체는 뜻하지 않은 결과를 마주하게 됐다.
[이미지 = gettyimagesbank]
소수를 위한 보안 제품과 사라지는 보안 인재들
현재 사이버 보안 시장은 꽤나 기이하게 형성되어 있다. 간단히 말해 ‘벤더 중심’인 건데, 그렇기 때문에 사실상 고객들을 벤더가 평가하고 고른다. 그리고 벤더에 유리한 장기 계약을 맺는다. 평가 기준은 ‘최소한 이 정도 돈을 쓸 준비가 되어 있는가’와 ‘우리 회사 보안 솔루션을 잘 다룰 수 있는가’이다. 최소한의 실력과 자금력을 갖춘 고객들과만 여러 해 관계를 맺는다는 것이다.
이런 식으로 산업이 커져 오다 보니 신규 인력이 유입되지 않는 상황에 이르렀다. 최소한 일정 수준 이상으로 특정 기업의 솔루션을 다룰 줄 알아야 하는 분위기가 형성됐으니, 학교에서 배운 보안 지식은 현장에서 써먹을 수 없는 것이 된다. 막 졸업한 보안 전공자 입장에서는 매우 희한한 상황이다. 어떤 회사에 입사하려면 그 회사가 사용하고 있는 보안 솔루션을 다룰 줄 알아야만 한다니, 이를 어떻게 충족시켜야 할까? 그 솔루션은 벤더가 고르고 고른 고객들만 비싼 돈 주고 겨우 사용할 수 있는 건데, 학생이 어떻게 그 솔루션을 연습해 볼까?
보안 새내기들을 위한 학습 자료들은 넘쳐난다. 여러 유튜브 영상을 통해서도 보안 팁들을 얻고 레드팀 기술을 익힐 수 있다. 그러다가 자신감이 생기면 여러 CTF 대회에서 참석하면서 경험을 쌓을 수도 있다. 버그바운티에 참여하는 것도 적잖은 도움이 된다. 레드팀 쪽에 관심이 있다면 이런 식으로 커리어를 쌓아가는 게 가능하다. 하지만 블루팀은 사정이 다르다. 블루팀에 있으려면 벤더 중심으로 형성된 시장의 높은 장벽을 넘어서야 한다.
도무지 가질 수 없는 보안 솔루션들
보안 도구들이 너무나 다가가기 어렵고 희귀한 것이 되다보니 보안 업계에 진출하려 하는 새내기들은 자연스럽게 양극으로 나뉜다. 운 좋게 보안 솔루션을 만져볼 기회를 가진 소수와(대부분 특권층일 수밖에 없다), 졸업 후에까지 근처에도 얼씬 못하는 다수로 말이다. 보안 전문가들은 ‘다양성’을 강조하면서 여러 계층의 인재들을 끌어모아야 한다고 주장하는데, 지금의 시장 상황에서 그건 대단히 공허한 외침이다.
열심히 하는 젊은 층들은 대단히 많다. 그들은 없는 시간을 내 자신들의 보안 기술력과 지식 수준을 높이려고 다양한 방법을 동원한다. 계속해서 공부하고 연습하고 이력서를 넣는다. 그리고 그런 학생들을 위해 학교나 국가도 장학금과 같은 제도를 마련해 돕고자 한다. 하지만 지금과 같은 시장 상황에서 정말 도움이 되는 건 벤더들이 만든 도구들을 사용해 볼 기회를 제공하는 것이다. 실제 고용으로 이어질 수 있는 실용적인 기술 - 솔루션 다루기 -을 익히도록 해야 한다. 그래야 보안 업계로 안착하는 인재들을 늘릴 수 있다.
보안 솔루션? 중소기업들에는 꿈만 같은 소리
필자는 창업을 꿈꾸는 미래 사업가들을 숱하게 만나 왔다. 그들이 호소하는 가장 큰 어려움은 어엿한 기업을 시작하려 하지만, 보안 도구들을 회사에 들여와 구축할 수 없다는 것이었다. 이제 막 문을 연 사무실과 계약을 맺으려는 보안 업체는 도무지 찾을 수 없었다고들 말한다. 방화벽 이야기를 하면 ‘우리 같은 회사가 무슨...’이라며 스스로를 평가절하 한다.
보안 업계와 매체들은 중소기업의 피해 사례를 즐겨 다룬다. 그러면서 중소기업 임직원이 좀 더 보안에 대해 공부하고 알아야 한다고 조언한다. 도움을 줄 정부 기관과 제도들에 대한 소개도 아끼지 않는다. 하지만 실제적인 효과를 발휘하는 도구들은 주지 않는다. 보안 업체들 대부분 대기업 아니면 거들떠도 보지 않는다. 작은 기업일수록 필요한 보안 도구들이 많은데, 돈은 부족하기 때문이다. 중소기업은 보안 사업 진행에 있어 거추장스러운 존재들일 뿐이다.
물론 무료로 풀린 도구들도 많다. 오픈소스 보안 도구들도 지난 수년 동안 충분히 누적됐다. 돈 주고 사야만 강력한 보안 기술을 구축할 수 있는 건 아니다. 하지만 막 창업을 해 시장에서의 경쟁력을 고민해야 하는 사람들에게 보안 오픈소스라는 복잡하고 난해한 분야를 처음부터 공부해 알아서 하라는 건 너무나 가혹한 조언이다.
이런 상황에서의 미래
그래도 다행이라고 할 수 있는 건, 이런 의아함을 필자만 가지고 있는 게 아니기 때문이다. 요 몇 년 간 중소기업이 처한 문제에 눈을 뜬 보안 전문가들이 늘기 시작했다. 블루팀에 초점을 맞춘 훈련 코스들도 증가하고 있다. 해킹 대회만큼 방어 대회들도 생겨나고 있다. 오픈소스는 점점 더 보편화 되고 있고, 강력해지고 있다. 유료를 고집하던 벤더들이 스스로 자사 제품을 무료로 풀기도 한다. 긍정적인 흐름이다. 다만 좀 더 이 흐름이 빨라져야 한다.
보안 업체들은 인력 부족에 시달리게 된 이유에 대해 좀 더 깊이 고민해야 한다. 대기업 위주의 사업 모델을 탈피할 수 없는 것인지도 살펴야 한다. 자라나는 보안 인재들이 실질적으로 현장에서 능력을 발휘할 수 있도록 해 주는 기회를 기획해야 한다. 초연결 사회라 모두가 다 보안 인식 수준을 높여야 한다고 말하기 전에 중소기업에 얼마나 관심을 가졌는지를 반성해야 한다.
더 많은 보안 제품들이 공개되지 않으면 우리의 문제는 풀리지 않는다. 해커들인 계속해서 공격에 성공할 것이고, 인재들은 더 씨가 마를 것이다. 그랬을 때 더 많은 기업이 우리 제품을 사겠지, 라고 생각하면 오산이다. 오히려 보안 기술이라는 것 자체에 대한 불신만 키우게 된다.
글 : 로스 헤일리욱(Ross Haleliuk), 제품 총괄, LimaCharlie
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
