Home > 전체기사

길 잃고 헤매는 보안 초년생들, 어떻게 방향을 찾아야 할까?

  |  입력 : 2021-01-25 17:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 분야에 들어오려는 사람들 대부분 첫 구직의 관문은 잘 통과한다. 그러나 진짜 문제는 그 다음부터 시작한다고 한다. 선배들은 어떻게 지금의 저 자리에 도달했을까? 지금 당장 할 수 있는 일 몇 가지를 소개한다.

[보안뉴스 문가용 기자] 릭 디컨(Rick Deacon)은 아포지(Apozy)라는 사이버 보안 전문 회사의 공동 창립자이다. 창업 전에는 수년 동안 모의 해커로서 활동해 왔다. 누가 봐도 보안 ‘베테랑’이지만, 사실 시작부터 정도를 밟아온 것은 아니었다. 처음 그에게 보안은 단지 취미였을 뿐이었다.

[이미지 = utoimage]


그렇기에 디컨은 “아무 것도 없는 데서부터 뭔가를 시작하고 결과를 내는 데에 익숙하다”고 자신한다. “저는 소위 말해 가방 끈이 긴 유형이 아닙니다. 해킹이라는 건 6학년 때부터 시작했고, 틈틈이 할 수 있는 일들을 해가며 계속해서 해킹을 공부해 왔죠. 그러다 보니 자연스럽게 여러 가지 기회들이 있었고, 그것들을 잡아오며 여기까지 왔습니다.”

그가 결국에 보안 베테랑이 된 것은, 그의 끝없는 노력의 영향도 있었겠지만 사이버 보안 분야가 생각보다 유연하기 때문이다. 즉, 아직은 보안 전문가로서 성장하는 방법이 정형화 되어 있지 않다는 것이다. 실제로 다양한 출신 배경을 가진 사람들이 사이버 보안 현장에서 활약하고 있기도 하다.

그렇다고 보안 분야에 진입하는 게 녹록한 것은 절대 아니다. SNS와 커뮤니티만 조금 뒤져도 보안 초년생들의 하소연과 토로는 쉽게 발굴이 가능하다. 이들의 어려움은 “뭘 어디서부터 시작해야 하는지 모르겠다”는 것이 대부분이다. 보안 공부도 했고, 보안 담당자가 되긴 됐는데, 이후로 어떤 방향을 잡아야할 지 감을 못 잡겠다는 것이다. 그런 사람들을 위해 다음과 같은 몇 가지 조언들을 공유한다.

1. 선배 보안 전문가들과 친해지라
지금은 코로나라는 특수한 상황 때문에 대면 만남을 가질 기회가 상당히 줄어들었지만, 그럼에도 명망 높고 유명하며 실력 좋은 선배들과 연을 트는 것은 대단히 중요하다. 정형화 되어 있지 않은 분야인 만큼 그런 사람들의 현장감 넘치는 조언이 절대적으로 필요하기 때문이다. 지금과 같은 상황에서는 각종 온라인 행사를 노려봄직하다.

보안 업체 라피드7(Rapid7)의 데럴 헤일란드(Deral Heiland)는 “가상 웨비나, 가상 컨퍼런스, 가상 보안 전시회 등에 적극 참석하는 것부터 시작하라”고 권고한다. “가서 강연을 듣는 것으로도 많은 것을 배울 수 있지만, 그 후에 강사에게 질문을 해서 후속 대화의 기회를 늘려가는 것이 중요합니다. 만약 온라인 네트워킹의 기회를 제공하는 행사라면 가상 공간에서 진행된다고 하더라도 참석하시기를 권합니다.”

소셜네트워크도 권장할 만하다는 게 헤일란드의 의견이다. “특히 링크드인의 경우 전문 분야의 사람들이 ‘직업’이라는 키워드로 만나는 곳입니다. 그 외에도 영어권 기준 다양한 포럼들이 존재하는데, Information Security Community, Advanced Persistent Threats & Cyber Security, The Web Application Security Consortium, Information System Security Association의 Discussion Consortium 등을 권합니다.”

정말 초기 단계에 있다면 WeAreHackerz, WoSec 등도 좋은 선택지라고 보안 업체 포인트스리 시큐리티(Point3 Security)의 수석 전략가 클로에 메스다기(Chloe Messdaghi)는 권한다. “어디가 됐든 보안 전문가들과 만날 수 있고 교류가 가능한 커뮤니티에서 활동하는 건 보안 전문가로서 경력을 시작할 때 필수라고 생각합니다. 코로나 사태가 진정되면 컨퍼런스가 여기 저기서 시작될 텐데, 그 기회를 놓치지 마세요.”

2. 멘토를 찾아라
1번과 비슷한데, 사이버 보안 전문가가 되고 싶거나 경력자가 되고 싶다면 현장 근무 경험이 다년 간 쌓여온 사람을 멘토로 삼을 수도 있어야 한다. 보안 업체 코발트아이오(Cobalt,io)의 존 헬무스(Jon Helmus)는 “지금은 모든 교류와 소통이 온라인으로 이뤄져서 오히려 멘토를 찾고 조언을 구하는 게 더 쉽다”고 말한다. “얼굴 대 얼굴로는 뭔가 계면쩍을 수 있는 대화가 온라인에서는 스스럼 없이 되기도 하거든요.”

SAS의 CISO인 브라이언 윌슨(Brian Wilson)도 비슷한 맥락에서 “생각은 로컬에서, 활동은 온라이에서 하라”고 권고한다. “예전에야 궁금한 게 있으면 아는 분 사무실로 커피 한 잔 들고 찾아갔으면 됐는데, 지금은 그럴 수가 없습니다. 그런데 그래서 더 말 걸고 도움을 주고 받는 게 더 편해졌어요. 여러 온라인 활동을 통해 선배 전문가들을 알아가야 합니다.”

3. 자원 프로그램에 참여하라
보안이라는 분야에서 정말 정말 중요한 건 바로 ‘손을 움직여 본 경험’이다. 하지만 초년생들이나 구직자들은 이런 말을 한다. “기회를 주지 않는데, 경험을 어디서 쌓는가?” 그 답답함에는 백번 공감한다. 그렇기에 인턴십 프로그램이나 각종 자원 봉사 활동에 참여하는 게 영리한 방법이라고 추천해주고 싶다는 게 메스다기의 설명이다.

“처음부터 돈 액수에 너무 연연하면 경험 쌓을 기회를 놓칩니다. 초년생 때는 돈 버는 것보다 경험 쌓는 게 중요할 때가 많은데, 그 지점을 잘 이해하고 있어야 합니다. 이왕이면 보안 담당자들이나 해커들이 모이는 행사의 자원자로 나서보세요. 경험말고도 더 큰 기회를 잡을 수도 있습니다. 현장에서 채용이 된다거나, 누군가 중요한 사람들을 실제로 만난다거나 하는 기회 말이죠. 저도 다양한 보안 행사와 해커톤 등에 참여하면서 경험을 쌓았던 것이 주효했습니다.”

그 외에도 메스다기는 비영리 단체를 돕는 것도 괜찮은 방법이라고 추천한다. “비영리 단체들은 보안에 투자할 예산이 부족한 경우가 많습니다. 평소 눈여겨 본 단체가 있다면 한 번쯤 보안 시스템 강화를 무료로 해 주고 싶다면서 접근해 보세요. 의외로 문이 잘 열리는 것을 발견할 수 있을 겁니다. 그런 경력 한 줄이 이력서를 더 빛나게 해 주기도 하고요.”

4. 자격증은 필수가 아니지만 도움이 된다
보안 자격증은 식지 않는 논쟁거리이다. 자격증은 장사치들의 헛된 발명품일 뿐이라는 의견이 있는가 하면 자격증 덕분에 도움을 많이 받았다는 경험담들도 존재한다. 보안 업체 포올시큐어(ForAllSecure)의 CEO인 데이비드 브럼리(David Brumley)는 “현장 경험이 전혀 없는 초년생들의 경우, 자신을 가장 효과적으로 입증할 수 있는 건 바로 자격증”이라고 말한다.

다만 지금의 기조와 잘 어울리는 자격증을 따는 것이 중요하다. “보안 공부를 체계적으로 하지 않아 지식이 여기 저기 불균형하게 흩어져 있다면 CISSP와 같은 자격증을 통해 기본을 탄탄하게 다질 수도 있습니다. 하지만 최근에는 보안의 세부 분야 하나하나에 대한 자격증들이 개설되고 있기도 합니다. 자신이 속한 조직에서 가장 필요한 부분이 어디인지를 찾아 그에 맞는 자격증을 노려보는 것이 좋습니다.”

그렇다고 자격증이 꼭 필요하다는 건 아니라고 보안 업체 켄나 시큐리티(Kenna Security)의 제리 갬블린(Jerry Gamblin)은 설명한다. “어느 회사나 자격증부터 내라고 요구하는 건 아닙니다. 그런데 자격증을 냈다는 이유로 면접을 거부하거나 서류 전형에서 탈락시키지는 않습니다. 자격증이 합격을 보장하지는 못하지만, 당신의 면전에서 문이 닫히게 하지는 않는다는 것이죠. 초년생들에게는 이게 무엇보다 중요할 수 있습니다.”

윌슨은 “보안 분야 내에서도 정말 많은 하위 분야가 있다”며 “어떤 분야에 집중할 것인지를 근본적으로 깊이 고민하는 게 자격증 공부의 핵심”이라고 강조한다. “이 부분이야말로 훗날 개인의 커리어를 결정해주는 고민이 될 수 있습니다. 그러니까 덮어놓고 서점에 가서 책부터 사지 말고 일단 분야에 대한 조사부터 하는 게 좋습니다. 시간이 좀 들더라도요.”

5. 일단 해 보라
디컨은 “하지만 너무 신중한 것도 때론 독이 된다”는 의견이다. “참여할 만한 자원 프로그램도 없고 인턴도 없는데, 갈만한 분야도 아직 결정 못하겠다면, 집에서 시작하세요. 가정 네트워크를 실험 삼아 보안 아키텍처를 구상해서 만들어 보세요. 혹은 지금 다니고 있는 회사의 자발적, 비공식 보안 담당자가 되어보기도 하시고요. 한 번 시작했을 때 보이는 것들과, 시작 전 머리로만 고민했을 때 보이는 것들에는 분명한 차이가 있습니다.”

하지만 디컨은 “기본적이고 일반적인 IT 전문 지식은 어느 정도 깔려 있어야 보안을 고민할 수 있다는 걸 기억해야 한다”고 설명한다. 그러니 “무엇을 하든 꾸준히 공부를 하는 건 잊지 말아야 한다”고 강조한다. “제가 아는 많은 보안 전문가들은 고객 지원 부서나 헬프데스크에서부터 시작했습니다. IT 관련 수리 및 뒷처리를 담당하다가 보안으로 전향하신 분이 많은 걸로 알고 있어요. IT 지식은 보안 전문가들에게 있어 기본 중 기본입니다.”

3줄 요약
1. 정보 보안, 진입 장벽이 높다고 하긴 힘든데 초년에 길 잃기 쉬움.
2. 초년생들에게 중요한 건 더 파고들 분야를 정하고, 선배 멘토들을 주변에 두는 것.
3. 코로나로 오프라인 만남이 힘들어진 지금이 네트워킹 하기에 더 적기일 수도.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비