Home > 전체기사

[주말판] 보안 초년생이었던 과거의 나에게 해주고 싶은 조언들

  |  입력 : 2021-02-13 13:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
과거의 나에게 돌아갈 수 있다면 누구나 해 주고 싶은 말들이 많을 것이다. 너무 늦게 알게 된 것들, 미리 알았다면 좀 더 현명한 내가 되었을 것 같은 것들이 아쉬움처럼 마음 한편에 자리하고 있기 때문이다. 보안 업계에서 오랜 시간을 보낸 사람들은 어떤 말들을 주로 꼽을까?

[보안뉴스 문가용 기자] 정보 보안이라는 분야에서 경력을 쌓는 일은 꽤나 어려운 일이다. 여기에는 여러 가지 요인이 있을 수 있는데, 그 중 한 가지는 경력의 경로라는 것(career path)이 정해지지 않은, 비교적 신생 분야라는 것을 꼽을 수 있다. 그렇기 때문에 선배들의 조언이 중요할 수밖에 없다. 그래서 이번 주 본지는 선배들에게 물었다. “보안 초년생 때 미리 알았으면 좋았을 걸, 하고 생각하는 것에는 어떤 것들이 있는지.”

[이미지 = utoimage]


보안은 ‘팀 스포츠’다
“보안은 한 사람의 전지전능한 힘으로 다 해결되는 분야가 아닙니다. 보안의 수많은 분야를 전부 꿰뚫어 내고, 그걸 바탕으로 모든 실무를 담당할 수 있는 사람은 단연코 없습니다. 의욕 넘치는 초년생 때는 이걸 잘 이해하지 못합니다. 제가 그랬어요. 혼자서 다 해결할 수 없다는 것에 스스로 큰 실망을 하고, 슬럼프를 겪곤 했죠. 그러다가 팀 스포츠에 대한 깨달음을 얻은 후부터는 ‘덩어리’ 단위로 일을 하기 시작했습니다. 내 개인의 실력보다 팀 전체가 내는 결과물이 더 중요하다는 걸 알게 된 것입니다. 이 때부터 제 보안 경력은 꽃길이 되었습니다.”
- 그레고리 J. 투힐(Gregory J. Touhill), 회장, AppGate Federal

기술 기반 지식은 넓을수록 좋다
“한 사람이 보안의 모든 것을 담당할 수 없다는 말은, 실무자가 될 정도로 모든 것을 깊이 있게 알 수 없다는 뜻이지 하나만 파도 된다는 뜻은 아닙니다. IT라는 기술 분야의 많은 영역을 이해하면 이해할수록 업무 효율이 높아지고 실제 보안 전문가로서 역량을 발휘할 수 있게 됩니다. 만약 웹 애플리케이션이 백엔드의 데이터베이스와 어떤 식으로 통신하는지 이해하고 있지 않다면, 어떻게 트래픽 모니터링을 할 수 있겠습니까? 그냥 보안 도구만 보면 된다고요? 그렇다면 보안 벤더사들의 사용설명서만 있으면 누구나 보안 전문가가 될 수 있는 것일까요? 기본을 알아야 좀 더 복잡한 개념들도 이해할 수 있게 됩니다.”
- 웨인 프루잇(Wayne Pruitt), 트레이너, Cyberbit

아직 보안 분야는 다양성이라는 부분에서 부족하다
“다양성이 얼마나 부족한지를 알고 이 분야에 입문했다면 얼마나 좋았을까, 하고 생각할 때가 가끔 있습니다. 처음에 이 업계 문화에 얼마나 놀랐는지 몰라요. 마치 시간을 거슬러 40년대로 되돌아온 것 같았죠. 그 때문에 소모한 감정이나 에너지가 참 많습니다. 지금은 상황이 훨씬 나아지긴 했지만, 아직 개선되어야 할 부분들이 많이 남아있습니다. 이런 점을 알고 업계로 들어오시길 바랍니다.”
- 클로에 메사다기(Chloé Messdaghi), 수석 전략가, Point3 Security

다양성은 보다 나은 팀을 만드는 활력소다
“다양성에 대해 진지하게 고민한 건 제가 어느 정도 관리자급 위치에 올라서고 나서였습니다. 계속해서 IT 분야에서 공부를 하고 사회생활을 시작했기 때문에 다양성에 대한 생각을 하지도 못했고, 그게 이 업계에 부족하다는 느낌도 받지 못했습니다. 그런데 팀을 구성하고 관리하는 입장이 되어보니 그 ‘다양성’이라는 부분이 와 닿기 시작하더라고요. 다양한 장점과 특징을 가진 사람들이 만났을 때 발생하는 ‘시너지’라는 것이 눈에 보였으니까요. 이 분야에 필요한 건 IT 기술만이 아닙니다. 비판적 사고, 현명한 ‘트레이드오프’ 판단, 제로섬 게임을 피하려는 기획력 등이 전부 팀 안에서 발휘되어야 합니다. 업계 내에서 다양성에 대한 목소리가 나오기 시작한 건 좋은 현상이라고 봅니다.”
- 락슈미 한스팔(Lakshmi Hanspal), CSO, Box

보안은 결국 사업의 한 영역이다
“보안 전문가들이 모든 전문성과 역량을 쏟아내어 업무를 실행할 때, 결국 보안이라는 것이 조직 전체가 추구하는 비즈니스를 돕기 위한 것이라는 걸 간과할 때가 있습니다. 이를 진즉에 알았으면 얼마나 좋았을까 생각하곤 합니다. 순수하게 보안을 추구하다보면, 당연히 모든 걸 다 안전하게 지키고 싶어집니다. 기준이 없어지죠. 사업 방향이 보안의 가이드레일이 된다는 걸 몰랐어요. 모든 게 안전해야 진짜 안전해진다는 것은 맞는 말입니다만, 그것을 실제 현장에서 이뤄나갈 때는 전체 사업 방향성을 알고 있어야 합니다. 그래야 보안이 중간에 붕 뜨는 일이 없어집니다.”
- 조시 리카드(Josh Rickard), 보안 연구 엔지니어, Swimlane

스스로를 의심하지 말라
“20년 전 IBM에서 모의 해커로서 첫 발을 떼었을 때, 사실 제가 어떻게 그런 직위와 임무를 갖게 되었는지조차 알 수가 없었습니다. 솔직히 말해 저와 어울리지 않는 일이라고도 여겼죠. 그런데 조금 지나고 보니 당시는 누구도 그 자리에 어울리지 않았습니다. 모의 해킹이라는 것 자체가 생소한 분야였거든요. 제가 모의 해커로서 고용된 것은 제 호기심과, IT 시스템에 대한 높은 관심 때문이었습니다. 그리고 10년이 지나고서 한 큰 행사에서 강연을 하게 되었습니다. 정말 자신이 없었어요. 강연장에 앉은 보안 전문가 모두가 저보다 더 많이 알고 실력도 뛰어난 것처럼 보였거든요. 그러다 보니 제 강연도 ‘다 알고 계실 텐데...’라는 식으로 흘러갔죠. 청중에서 한 분이 중간에 손을 들더니 ‘우리는 정말 모르니까, 알고 계실 텐데라고 하면서 넘어가지 말고 다 설명해 달라’고 하더군요. 그 때부터 저는 자신감을 가질 수 있었습니다.”
- 매리 리츠(Mary Writz), 부회장, ForgeRock

정보 보안 커뮤니티에 발을 적극 담그라
“어렸을 때 저는 대단히 내성적이었습니다. 그러다 보니 보안 업무를 한참 하고서도 보안 전문가들 사이의 커뮤니티라는 게 있는 줄도 몰랐고, 참가해야 할 필요성도 못 느꼈죠. 그러다가 우연한 기회에 커뮤니티의 도움을 받으며 문제를 해결 받을 기회가 생겼습니다. 그 동안 혼자 끙끙대며 문제를 풀려고 했던 시간들이 주마등처럼 스쳐지나가면서 시간을 많이 낭비했다는 생각이 들었습니다. 그래서 지금은 후배들에게 좋은 커뮤니티를 찾아내서 활동하라고 꼭 조언합니다.”
- 랜 하렐(Ran Harel), 보안 부분 책임자, Semperis

리스크를 짊어질 필요도 있다
“자기가 할 수 있는 직무에만 지원할 필요가 없습니다. 조금은 과감해질 필요가 있어요. 실제 많은 사람들이 그러고 있고요. 보안은 끊임없이 변화하는 분야입니다. 새로운 기술과 방법론이 매일 등장하고, 따라서 정답이라는 것이 아직도 없는 상태입니다. 오늘의 답이 내일에도 통용되는 건 아닙니다. 따라서 완벽히 딱 맞는 인재상이라는 건 없습니다. 어느 정도 기본기만 있다면 조금 과감하게 이력서를 내볼 수 있어야 합니다. 사실 저도 항상 자격이 있어서, 누구에게나 인정을 받으면서 이 자리까지 올라온 건 아닙니다.”
- 코디 코넬(Cody Cornell), CSO, Swimlane

보안은 거의 대부분 사람의 문제다
“보안 초년생이었던 시절의 저를 만날 수 있다면 저는 ‘기술이 전부가 아니다’라고 말해주고 싶습니다. 오히려 사람에게 관심을 가지라고 말해줄 것입니다. 사이버 보안 전문가들은 아직까지도 거의 대부분 기술 분야에 높은 관심을 가지고 있습니다. 물론 틀린 건 아닙니다만, 그게 사람에 대한 무관심으로까지 이어진다면 문제가 됩니다. 보안에 작용하는 인적 요소가 얼마나 중요하고 큰 부분을 차지하는지 미리부터 알았다면 지금 더 나은 보안 전문가가 되어 있을 거 같아 안타깝기도 합니다.”
- 크리스 로버츠(Chris Roberts), 모의 해커, Semperis

데이터가 최고다
“보안 전문가들에게 가장 중요한 건 데이터입니다. 데이터가 왕이고, 데이터 없이 보안 전문가는 아무런 힘도 가지지 못합니다. 데이터 없이는 보안에 대한 설명이나 강의, 그 어떤 인사이트도 그냥 모호한 개념이 될 뿐입니다. ‘보안은 당연히 중요하죠’라고 말하지만 사실 뭘 해야 할지도 모르고, 그래서 늘 인식 수준은 올라갔지만 해커들에게 털려대는 지금의 일상을 변화시키지 못합니다. 처음부터 이걸 알았다면 보안에 대해 설명하는 일이 훨씬 쉬웠을 겁니다.”
- 매릴스 로저스(Marlys Rodgers), CISO, CSAA Insurance Group

보안 전문가의 최고 덕목은 인내다
“처음 보안 생활을 시작했을 때는 꽤나 엉덩이가 가볍고 곧잘 흥분하는 성격이었습니다. 일처리를 빨리빨리 하려고 무진 애를 썼죠. 물론 급한 일을 빨리 처리하는 건 나쁜 게 아닙니다. 그런데 모든 일을 다 빠르고 신속하게 처리해서만도 안 됩니다. 어떤 일들은 조금 더 진득하게 앉아서 연구를 해야 하기도 합니다. 보안은 이 두 가지가 섞여 있는 분야이긴 하지만, 결국 전체적으로 보자면 마라톤에 가깝다고 봅니다. 조금은 더 여유를 가지고 문제에 접근하라고 말해주고 싶습니다.”
- 에드워드 프라이(Edward Frye), CISO, Aryaka

하늘이 무너지는 일은 별로 없다
“많은 보안 전문가들과 매체에서 보안 사고를 대단히 급박한 일, 시급한 일처럼 말하지만, 항상 그런 건 아닙니다. 보안 전문가들이라면 더더욱 여유를 가지고 일을 진행할 필요가 있습니다. 한 발 뒤에서 좀 더 넓은 시야로 당면한 문제를 바라보고, 이를 통해 새로운 시각과 접근법을 발견해내는 게 더 중요할 수 있습니다. 무조건 복구부터 하고, 시스템부터 재가동시키는 게 능사가 아닙니다. 그런 의미에서 보안 사고가 터졌을 때 운영진들이 패닉에 빠지지 않도록 하는 것도 보안 전문가의 중요한 일 중 하나라고 생각합니다. 서두르다가 오히려 더 상황이 나빠집니다.”
- 크리스 모건(Chris Morgan), 수석 위협 분석가, Digital Shadows

보안 인식 제고? 아직도 문제다
“일반 사람들이 보안에 대해 어떻게 생각하는지 미리 알았다면 얼마나 좋았을까, 하고 생각하곤 합니다. 왜 이렇게 보안의 중요성을 몰라주지, 하는 의문점 때문에 미뤄진 일들과 버려진 시간들이 참 많아요. 아직도 사람들은 보안을 중요해서 빼놓을 수 없지만 귀찮은 것, 그래서 비용을 잡아먹는 것으로 인지하고 있습니다. 이 역시 전체적인 비즈니스 관점을 보지 못해서 생기는 오해의 일종이죠. 그렇기 때문에 이걸 혼자서 속상해할 필요가 없습니다. 서로 전체적인 비즈니스를 이야기 하면서 관점을 서서히 좁혀가는 게 피곤하지도 않고 효과도 높습니다.”
- 필 던켈버거(Phil Dunkelberger), CEO, Nok Nok Labs
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

김규보 2021.02.15 09:12

유익한 글입니다 감사합니다^^


  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비