정보보안 전문가란?
2021 대한민국 교육기부 박람회 십시일반 인터뷰 중 발췌
2021 대한민국 교육기부 박람회에서 청소년들 대상으로 '정보보안 전문가' 직무를 인터뷰 형식으로 소개한 내용을 재정리했습니다. 글로 정리하면서 일부 내용은 현장 인터뷰 내용과 차이가 있음을 밝힙니다.
주제 : “당신의 정보는 보호받고 있나요?”
Q1. ‘정보보안 전문가’는 어떤 일을 하는 분인가요?
정보보안 전문가는 정보 시스템과 정보 자산의 안전을 위하여 보안 업무를 수행하는 사람. 한마디로 컴퓨터에 있는 정보를 안전하게 지키는 사람을 의미합니다.
Q2. 이제 우리 삶에서 컴퓨터는 떼려야 뗄 수 없는 존재니까, 그만큼 우리 삶 깊숙이 들어와 있는 직종이라고 볼 수 있겠네요. 요즘 저도 그렇지만 정보보안에 관심이 정말 많거든요? 아마도 보이스피싱, 스미싱 같은 범죄 때문인 것 같아요. 매니저님은 어떤 어떤 분야의 보안을 다루나요?
저는 기업 보안 담당자로서 회사에서 개인정보보호를 포함한 보안정책 수립, 기획 업무를 담당하고 있습니다. 실제 보안 분야는 굉장히 다양합니다. IT 기술이 적용된 모든 분야에 보안이 포함되어 있다고 보시면 됩니다. 컴퓨터 시스템, 네트워크 통신뿐만 아니라 스마트폰, 클라우드, AI, IoT(사물인터넷), 자율주행 자동차, 스마트 팩토리 등 다양한 분야에서 보안을 다루고 있습니다.
IT 기술이 발전되고 확대되면서 보호해야 할 대상이 시스템에서 정보, 사람으로 확대되면서 기술 중심의 용어인 정보보안 보다 더 넓은 의미의 정보보호, 사이버 보안이라는 표현을 실무에서는 더 많이 사용하고 있습니다.
Q3. 정보보호, 사이버 보안이라고 하셨는데 요즘 횡행하는 피싱의 유형을 좀 소개해 주세요. 오징어 게임 악성코드 같은 것도 있다면서요?
피싱은 사람을 노려 개인정보를 탈취하거나 금전적인 이득을 노리는 사기 기법입니다. 피싱 유형은 크게 문자, 이메일, 전화(Voice) 피싱 3개가 가장 대표적입니다. 문자, 이메일은 사회적으로 이슈가 되고 있는 소재를 시나리오로 하여 악성 URL이나 악성 코드가 첨부된 파일을 첨부하여 사람들의 클릭을 유도하는 공격입니다.
공격자 입장에서는 사람들을 많이 낚아야 하기 때문에 사람들이 가장 관심 있는 이슈를 발 빠르게 악용하는 경우가 많습니다. 최근에는 재난지원금, 코로나 감염 공지를 위장한 문자 피싱(스미싱), 이메일 피싱이 굉장히 많았고요. 넷플릭스에서 오징어 게임 드라마가 유행하니 말씀하신 것처럼 오징어 게임을 소재로 한 게임에 악성코드를 포함해 배포한 사례도 있었습니다.
Q4. 정말 사람들을 속이려고 별의별 낚시를 다 하는군요. 무의식 중에 그냥 클릭을 할 수 있잖아요. 그런데 저 이 기사 보고 깜짝 놀랐어요. 요즘 특히 중고생을 노리는 스팸문자들이 많다면서요?
네, 안타깝게도 중고생을 노리는 스팸문자가 올해(2021년도)에 많았습니다. '문자 알바 주급 5만 원’,’ 친구 섭외 시 추가 5천 원'이라고 우리 청소년들을 유혹하는 스팸문자가 무작위로 발송되었습니다.
스팸 문자를 대신 발송해 준다는 것이 크게 문제가 될까 싶겠지만 사용자가 원하지 않는 불법 스팸문자를 발송하기만 해도 과태료 3천만 원 이하의 처벌 대상이 되고요, 특히 불법 대출, 도박, 마약 관련한 광고 문자를 발송하면 징역 1년 이하의 형사처벌을 받을 수도 있어서 각별한 주의가 필요합니다.
Q5. 문득 궁금해집니다. 매니저님은 원래 정보보안에 관심이 있으셨나요? 어떻게 이 일을 하게 되셨나요?
정보보안이 4차 산업혁명 시대에 미래 유망직종이라고 하잖아요? 그런데 제가 대학을 졸업했던 2000년도에도 그랬어요. 대학을 졸업하고 IT 회사에 입사했는데 미래가 보이지 않았어요. 선배들처럼 전문성 없이 그냥 직장인으로서 나이 드는 게 아닐까라는 불안함에 대학원 진학을 생각했는데 그때 제 눈에 들어왔던 게 정보보안이었습니다. 대학원에서 정보보호학을 전공하면서 입문하게 되었습니다.
Q6. 원래 전공은 어떤 걸 하셨는데요?
저는 프로그래머가 되는 게 꿈이었어요. 그래서 학부는 컴퓨터공학을 전공하고 말씀드린 것처럼 대학원을 정보보호학을 전공했습니다.
Q7. 정보보안 전문가가 되고 싶은 친구들은 그 꿈을 이루기 위해 어떤 공부를 하면 좋을까요?
최근에는 많은 대학교에서 정보보호학과가 신설되어 있어서 정보보호학을 전공하면 아무래도 비전공자보다는 체계적으로 배울 수가 있어서 유리하기는 합니다. 그러나 실제 실무에서는 정보보호를 전공하지 않은 분들도 이 분야에 관심을 갖고 전문성을 키우시면 충분히 도전 가능한 업무이기도 합니다.
Q8. 영화나 드라마 보면 ‘화이트 해커’들이 종종 나오잖아요. ‘화이트해커’가 되는 건 정보보안 전문가의 길과는 다른가요?
보안 분야는 IT 분야의 발전만큼 다양합니다. 여러분들이 드라마나 영화에서 주로 보는 분들이 화이트해커인데 실제 기업에서는 화이트 해커 직무를 수행하는 분들은 일부입니다. 악성코드 분석, 개인정보보호 정책 수립, 암호화 모듈 개발, 보안시스템 운영 등 여러분이 모르는 정보보호 직무 분야가 굉장히 많습니다.
저 역시 학부 때 뛰어난 프로그래머를 보고 나는 개발자가 될 수 없겠다고 좌절했는데 그때 배운 프로그램 언어가 현재 보안 업무를 수행하는데 도움이 되고 있습니다. 수학을 잘하는 분들이 암호 알고리즘을 만들 수도 있고요, 통계학을 전공하신 분들이 최근에는 빅데이터 보안 업무를 수행하시고 있어요.
IT/보안 분야에서 20년 넘게 일하다 보니 느낀 점은 '세상에 쓸모없는 경험은 없다'입니다. 지금은 다양한 분야를 경험하시는 것이 좋고요. 다양한 분야를 공부하고 도전하다 보면 여러분에게 맞는 분야를 분명 찾게 됩니다. 한마디로 지금 여러분이 지녀야 할 능력은 이 분야에 대한 선한 호기심과 다양한 시도라고 말하고 싶습니다.
Q9. 매니저님은 기업에서 정보보안 책임을 맡고 계시다고 들었습니다. 일반적인 정보보안과 기업 정보보안은 어떤 차이점이 있고, 매니저님이 하시는 일은 어떻게 달라지나요?
소중한 정보를 지킨다는 측면에서는 일반적인 정보보안과 기업 정보보안은 같습니다. 다른 점이 있다면 기업 정보보안은 단순히 보호 측면을 떠나 비즈니스 영향도까지 고려해야 한다는 점에서 가장 큰 차이점이 있습니다. 예를 들면 기업 보안담당자로서 회사 정보뿐만 아니라 고객의 개인정보도 지켜야 하고, 법에서 요구하는 보안 요구사항도 준수하기 위한 일을 하고 있습니다.
Q10. 우리나라 IT, 통신 기술이 세계적으로 뛰어난 수준이잖아요. 그에 비례해서 정보보안도 잘 맞추어 발전하고 있는 건가요?
IT 강국의 위상을 지키기 위해서 국가 차원에서 KISA와 같은 정보보호 전담기구를 운영하면서 정보보호 전문 인력을 양성하기 위해 노력하고 있습니다. 가장 대표적인 곳이 BoB, 케이쉴드 주니어 같은 차세대 보안리더 양성 프로그램입니다. 이 프로그램을 통해 다양한 분야에서 일하는 보안 전문가들을 멘토로 연결도 해 주고 있으니 관심 있는 우리 학생들은 지원해 보면 좋을 것 같아요.
Q11. 매니저님 인터뷰 기사를 좀 찾아보니까 ‘감성보안’이란 단어를 쓰셨더라고요? 감성과 정보보안, 딱 매칭 되는 것 같지 않은데 무슨 의미일까요?
감성을 정보보안에 활용하는 것입니다. 감성은 사람의 마음을 움직이는 가장 강력한 수단이기 때문입니다. 정보보호 부서에서 정보보호 실천 수칙을 직원들에게 알려주지만, 직원들은 보안은 어렵기만 하고, 자신의 일이라 생각하지 않기 때문에 전혀 관심이 없습니다.기존의 통제 중심의 보안 방식으로는 기술의 발전만큼 날로 진화하는 보안 위협을 정보보호 부서에서 일일이 따라다니면서 다 막기도 어렵습니다.
직원의 눈높이에 맞춰 보안을 왜 해야 하는지 잘 설명해주고, 직원 스스로가 성장하게 하는 보안을 해야 같이 살아남을 수 있다고 생각해서 딱딱한 보안에 감성을 더하는 노력을 하고 있습니다.
Q12. 감성보안, 그러고 보니까 이력 중에 ‘행복한 책 읽기 모임 운영’ , ‘강북 동네 독서모임 운영’ 등도 있어요. 독서 중에서도 ‘함께’ 읽는 걸 좋아하시는 이유는?
정말 독서를 좋아하시는 분들은 혼자 책 읽는 걸 좋아하시더라고요. 제가 함께 읽는 독서모임을 좋아하는 것은 소통을 중요하게 생각하기 때문입니다. ‘소통’의 사전적인 정의는 '가지고 있는 생각이나 뜻이 서로 오해 없이 통함’을 의미하고 있습니다.
함께 모여서 하는 회사일에서도 정보보안 활동도 결국 소통의 과정이라 생각합니다. 그런데 소통을 하려면 상대방의 이야기를 잘 듣고, 다양한 생각을 가질 수 있음을 아는 게 중요한데 우리는 이 중요한 소통 기술을 따로 배울 기회가 없이 성장하고 일했던 것 같아요. 나중에 일을 하시다 보면 아실 거예요. 저는 이 소통 기술을 키우는 가장 좋은 훈련이 독서모임이라 생각합니다. 책을 핑계로 만나서 이야기하다 보면 생각이 확 장이 되고 저절로 같은 내용을 봐도 이렇게 다양한 생각을 할 수 있구나를 저절로 깨닫게 됩니다.
Q13. 딱딱하고 차가울 거라고 생각했던 정보보안 전문가의 전혀 다른 이면이 보이는 것 같습니다. 인문학적 소양과 정보보안, 어떻게 연관이 있습니까?
인문학은 사람을 이해하는 학문입니다. 정보보안업무는 IT기술을 기반으로 하는 업무이지만, IT기술은 결국 사람을 이롭게 하는데 기여해야 의미 있고, 보안 역시 마찬가지입니다. 그런데 일을 하다 보면 그 중심을 잃을 때가 많아요. 정보보안 역량을 키우는 것도 중요하지만, 항상 기술 앞에 사람이 있음을 잊지 않으려고 하고 있습니다.
Q14. 문득 시대가 변하면서 점차 사양길에 접어들어 설 자리가 줄어드는 경우도 있지만 매니저님처럼 점점 수요가 늘어나는 분야도 있잖아요. 어쩌면 선도적인 역할을 하셨기 때문에 그다음 단계로의 개척에 대한 책임감도 있으실 것 같아요.
미래는 예측하기 어렵습니다. 다만, 현재 주어진 일에 최선을 다하면서 배우고 도전하는 것을 멈추지 않으면 정보보안 분야는 기회가 많은 곳임은 분명합니다. 신기술이 있는 곳에 보안이 항상 함께 있는 것은 분명하니까요. 초창기에는 학부에서 시스템 보안, 네트워크 보안, 개발 보안, 암호학을 배운 것으로 시작했지만, 기술의 발전과 보안 직무에 따라 개인정보, 정보보호 인증 분야 등 보안 분야에서도 제 전문 분야를 확장해 나갔습니다. AI, 빅데이터, 블록체인, 자율주행, 메타버스 등 새로운 IT 트렌드에 보안의 기회도 함께 있다고 생각합니다. 대신 그만큼 꾸준히 공부하고 노력해야겠죠?
Q15. 매니저님 최종 목표는 무엇일까요?
제가 잘하는 보안으로 세상을 이롭게 하는 데 보탬이 되고 싶습니다.
Q16. 비슷한 맥락에서 내가 하는 일이 세상에 ‘선한 영향력’을 끼치고 있다, 혹은 끼치고 싶다고 느낄 때는 언제일까요?
사실 선한 영향력이라는 게 거창하지 않는 것 같습니다. 우리가 좋은 정보를 알게 되면 다른 사람들에게 공유하고 싶잖아요. 저는 거기에서부터 시작합니다. 스마트폰, 스마트 가전기기, 인공지능 스피커 등 IT기기를 일상에서 많이 활용하는 만큼 외부의 해킹 위협에도 노출되어 있는데, 피해를 당하기 전까지는 사람들이 보안에 관심이 없습니다. 조금만 주의해도 피해를 많이 예방할 수 있는데 말이죠. 그래서 저는 일상에서 놓치기 쉬운 보안을 제 주변 사람들에게 알려주는 일을 꾸준히 하고 싶습니다.
*상세 인터뷰 내용은 아래 링크에서 확인 가능합니다.
