모의해킹 신입 많이 뽑으니 재미있게 할 수 있다면 도전
니키의 행복한 글쓰기
5년 전에 출간했던 “모의해킹이란 무엇인가?”에서도 “신입을 많이 뽑기 때문에, 구인 수요만을 보고 직업을 선택하지 마라."라고 주장을 했다. 지금 이 시점에서도 나의 주장은 다르지 않다. 교육 서비스를 진행한 후에도 여러 업체에서 신입 모의해킹 컨설턴트와 침해대응 분석가 추천 요청이 오고 있다. 그리고 신입으로도 많은 후배들이 직장 생활을 하고 있다. 이전과 다른 것은 업체의 규모이다. 5년 전과 달리 컨설팅 시장 상황이 조금은 달라지다 보니, 보안 컨설팅 지정 업체 중심으로 인력을 뽑았던 것이 10명 이내의 소규모 업체에서 뽑고 있다. 인력 이동도 이전보다 더 빨라진 느낌이 있다.
그리고 신입에게 요구하는 기술 능력의 범위가 달라지고 있다. 이전과 같은 것은 ‘웹 애플리케이션 해킹”과 “모바일 앱 해킹”은 공통적으로 진단 능력을 요구한다. 이것은 앞으로도 크게 바뀌지 않을 것이다. 우리는 앞으로 몇 년 동안 모바일 사용을 중단하지는 않을 것이기 때문이다. 대신, IoT 기기 사용은 점점 증가되고, 언제가 될지 모르지만 자율 주행과 가상 환경(VR, AR)의 서비스가 더해질 것이다. 대중들이 사용하는 도구와 플랫폼, 서비스에 따라 모의해킹 진단 대상도 달라질 것이고, 더 많은 것을 요구하게 될 것이다. 취업 준비를 할 때 자신의 무기를 한두 개 정도는 더 준비해두는 것이 다른 사람과의 경쟁에서 이길 것이다.
그다음은, 소규모 업체에서는 기술적 인프라 진단을 할 수 있는 인원까지 요구한다. 큰 규모의 지정 컨설팅 업체에서도 몇 년 주기로 업무 로테이션을 요구하는 경우가 많아서 언젠가는 다른 업무라 생각한 것을 채워나가게 된다. 소규모 업체에서는 당장 모의해킹 업무도 하고, 스크립트 기반의 인프라 진단 능력을 요구하는 경우가 많기 때문에, 공부할 때 준비를 해두면 좋다. 개인적인 생각에는 인프라 진단이 자동화 업무로 전환되는 첫 번째가 되지 않을까 싶다. 지금도 여러 업체에서 자동화 진단 솔루션을 개발했고, 여러 고객사에서 도입하고 있다. 몇 만대의 서버를 몇 분 만에 진단이 끝나고, 보고서는 지속적으로 형상 관리된다. 앞으로 모의해킹 업무와 ISMS 업무도 모두 자동화가 되겠지만, 아직은 진단하는 기술보다 신규 플랫폼과 서비스가 개발되는 속도가 더 빨라 쉽게 바뀔 수는 없을 거 같다.
이번 연도에 대기업과 금융권에서 모의해킹 경력자를 많이 채용했다. 컨설팅 업체를 통해 정기적으로 진단하는 보안 활동도 있지만, 내부적인 인원으로 지속적인 점검을 하는 분위기이다. 몇 금융권에서는 내부 버그 헌팅 프로그램을 운영하여 그룹 전 보안 담당자가 참여토록 한 사례도 있다. 여러 분야의 사람들과 소통을 하면, IT 보안 경력자가 그나마 대기업이나 금융권을 이직할 때 다른 분야에 비해 어렵지는 않다 생각한다.
마지막으로, 자신이 원하는 업무와 회사 규모를 생각하고 취업을 준비한다면 많은 외부 활동을 해보라고 추천한다. 보안 카페 활동이나 블로그 활동, 혹은 유튜브를 통해 자신의 지식을 알리는 것 중 잘할 수 있는 것을 선택하면 된다. 중요한 것은 지속적으로 하는 것이고, 취업을 한 뒤에도 유지를 한다면 큰 보상을 얻을 것이라 생각한다.
