금융회사 보안담당자가 되는법-1

방향부터 정해라

정보보안 전문가가 되고 싶은데 뭘 해야 할지 모르겠어요.

네이버에 “정보보안 전문가” 또는 “해커”라고 입력하면 수많은 지식인 질문글이 쏟아져 나온다. 지금 이 글을 읽는 순간에도 누군가는 보안전문가가 되고 싶어 검색하거나 질문을 남길 것이다.

<네이버 지식인의 고민글>

그나마 정보보안 전문가라고 쓰면 다행이다. 해커가 되고 싶다는 글도 있는데, 잘 모르는 분야이기 때문에 그리고 해커라는 단어가 더 익숙하기 때문에 저렇게 물어볼 수 있다. 그리고 대부분의 질문내용은 아래와 같다.

<고민글의 내용>

대부분의 답변은 학원 광고이거나 개발부터 배우라는 글이 대부분이다. 정보보안전문가도 업권마다 종류가 다양하다.

보안 운영, 모의해킹, 포렌식, 개인정보보호 등등 각각 하는 업무가 다르기 때문에 어떤 일을 하고 싶은지, 방향을 먼저 설정해야 가이드할 수 있다.

시간이 흐를수록 취업/이직시장은 어려워진다. 필자가 취업준비를 할 때만 해도 사상 최대 실업률이라고 시끄러웠었다. 그 당시도 유망직종 TOP10에 정보보안 전문가는 항상 존재했었다.

A센터, B교육원, C 아카데미 등 수많은 학원에서 정보보안 강의를 진행한다. 예로 아래의 교육과정을 살펴보자.

<IT뱅크 교육소개 화면>

교육기간을 보면 각 분야를 1개월 만에 교육해준다고 한다. 인터넷에 검색해보면 대부분의 학원들은 단기간 족집게 강의를 해준다. 취준생들은 단기간에 배울 수 있으니 비싼 학원비를 내가며 학원을 등록한다. 학원을 다니면서 실습도 하고 취업연계까지 해주는 곳도 있으니 일석이조로 보인다.

위에서 언급된 분야를 모두 마스터해야 금융회사에서 정보보안을 담당하는 것은 아니다. 필자도 위에서 언급된 분야를 상세히 알지 못한다. 누군가는 ‘잘 알지도 못하는 사람이 금융회사에 취업했다’라고 생각할 수 있겠지만 하는 업무에 따라 중요할 수도 아닐 수도 있다.

SW를 직접 리버싱 한다던가, 홈페이지를 모의 해킹하는 등의 업무를 진행하는 레드팀이 있는 기업도 있다. 하지만 일반적인 금융회사에선 찾아보기 힘들고, 필요시에 정보보안 전문업체에 의뢰하여 컨설팅을 받는다.

모든 금융회사에 해당하는 사항은 아니다. 자체 레드/블루팀을 구성하는 금융회사도 있다.

웹이나 시스템에 대한 기본적인 지식만 있어도 업무를 진행하는데 큰 어려움은 없으나, 보고서에서 의미하는 바가 무엇인지 정확하고 빠르게 이해하기 위해 자체적인 심화학습은 필수라고 생각한다.

서버 취약점을 조치하기 위해 인프라 담당자와 소통을 할 때만 해도 전문용어가 사용되기 때문이다.

"L3 스위치에서 vlan으로 구성해서.. 왈라왈라"
이럴 때마다 vlan이 뭔지 L2, L3, L4 스위치 차이점 등등 개념들을 인터넷에서 검색할 수는 없는 노릇이다.

그렇다면 학원에서 저러한 분야를 왜 가르치는 것이며 취업하는 곳은 어디일까? 대부분은 정보보안 전문회사에 입사하기 위함이다.

언론으로 알려진 기업(안랩, 이스트소프트 등) 외에도 수많은 전문회사들이 존재한다. 이러한 전문회사에선 학원에서 배운 것처럼 실제 악성코드를 분석하거나 모의해킹을 직접 수행한다. 이외에도 포렌식 등 정말 많은 업무를 할 것이다.

<정보보안 전문학원 취업현황 게시판>

위 사진은 실제 전문학원의 정보보안 취업현황이다. 대부분이 정보보안 전문 업체이고 금융회사는 거의 찾아볼 수 없다. 절대로 해당 학원이 교육을 못한다거나 방향이 틀렸다는 뜻은 아니다. 그들의 교육과정 맞게 취업을 잘 시키고 있다는 뜻이다. 단지 금융회사 정보보안에 맞는 교육과정이 없을 뿐이다.

그럼 학원도 안 가고 금융회사에서 정보보안을 하려면 뭘 준비해야 돼?

질문에 대한 답은 다음장에서 설명하도록 하겠다.