[넋두리 3] 2. 정보보안 전문가의 길

기반지식을 갖춰라

정보보안 분야는 미래 직업으로서 유망한 분야로 분류되고 있다. IT기술을 통한 산업 전체의 발전이 예상되는 향후의 미래사회에서 IT의 필수 동반자인 정보보안 분야의 수요도 계속될 것이고, 보안전문가의 수요 역시 꾸준하게 이어질 것으로 생각되기 때문이다.

그런데 정보보안 분야는 3D를 넘어 4D 업종으로도 불리고 있는 분야다. 3D가 Dirty(더럽고), Difficult(어렵고), Dangerous(힘들고)의 3고라면, 여기에 Dreamless(미래 없고)를 더해 4고 업종으로 불리는 직업이다. 유망한 분야로 분류된 이유도 고소득이고 편해서가 아니라 미래에서도 꾸준히 직업이 존재한다는 안정성에 기인한다. 정보보안 분야에서 일해온 사람으로서 이러한 세간의 평가를 부정할 수 없음이 한편 씁쓸하다.

미래 직업으로 유망하다면서 그 길이 더럽고, 어렵고, 힘들고, 미래까지 불투명하다면 과연 누가 선택하겠는가! 그런데도 이 힘든 정보보안 전문가의 길을 기꺼이 선택해 따라와 주는 청년들이 있다. 정말 고맙고도 고마운 일이다. 그 힘든 선택에 조금이라도 도움이 되고자 앞서 걸어본 사람이 느낀 정보보안 전문가라는 직업이 4D로 불리는 이유를 짚어보고 대비 방안을 추천해보고자 한다. 오직 뒤에 오는 분들이 더럽지 않고, 어렵지 않고, 힘들지 않고, 미래도 있는 직업인의 길을 나아갈 수 있도록 하고자 하는 마음이다.

(아래의 내용은 순전히 개인의 경험을 통해서 얻은 의견이며, 전문가에 따라 의견이 다를 수 있다)

Dirty의 경우 예전에는 정보보안을 포함한 IT업무의 경우 외진 사무실이나 지하공간, 회의실, 서버실 같은 열악한 환경에서 근무하는 경우가 흔했다. 사실 최고 경영진의 마음에서 멀리 떨어진 부서들은 모두 겪는 현상이기도 하다. 단순히 개인이나 보안조직의 노력만으로 개선될 수 없는 사안이고, 지금은 다소 나아진 상태임을 감안해 Dirty는 논하지 않는다.

Dirty를 제외하고 정보보안 전문가의 길을 걸으면서 당면하게 될 3D의 위험을 감소시키기 위해서는 기술기반과 인문기반을 갖추는 것이 필요하다. 기술기반을 통해 Difficult, Dangerous에 대응하고, 인문기반을 통해 Dreamless에 대응할 필요가 있다.

기술기반이란 정보보안 전문가에게 요구되는 다양한 IT와 보안 관련 기술을 의미한다. Difficult는 전문가라는 호칭에 걸맞게 요구되는 다양하고 폭넓은 기술 지식을 쌓아야 하는 어려움을 의미한다. Dangerous도 이 기술지식의 부족에서 비롯되어 발생하는 경우가 대부분이다. 왜 정보보안 전문가에게 다양한 IT와 보안 분야 기술의 습득이 요구될까? 이는 정보보안 전문가가 주로 상대하는 대상이 바로 기업의 IT부서와 보안업체(혹은 다른 정보보안 전문가)이기 때문이다.

IT부서란 IT시스템을 운영하거나 개발하는 조직을 말한다. 이들은 보안조직 담당자와 협의 시 자신들의 업무를 이해하고 자신들의 언어로 대화가 이루어지기를 희망한다. 실제 업무현장에서 보안담당자가 IT기술에 대한 지식과 경험 없이 정보보안 전문가의 업무를 수행하기란 쉽지 않은 일이다. 또한 정보보안 전문가로서 보안 분야의 기술을 습득하는 것은 기본이다.

정작 문제는 습득해야 할 IT기술의 분야가 너무 많다는 것이다. 자신의 주력으로 삼는 특정 보안 분야(예 : 정책, 모의해킹)에만 집중하면 IT부서와의 협의 시 상대방의 기술과 언어를 이해하지 못해 좋은 대화가 이루어지지 못하는 소통의 부재에 빠지기 쉽다. 정보보안 전문가로서 동종 분야 전문가를 상대함에 있어서도 보안기술을 모르면 능력이 없거나 무능하다고 평가되어 점차 소통이 어려워진다.

소통의 부재가 쌓이고 쌓이다 보면 논쟁과 불화로 번져 기업에 속한 보안조직(혹은 보안담당자)에게 위험(Dangerous)을 가져오게 된다. 위험을 줄이기 위해서는 소통이 원활히 이루어지는 것이 중요하며, 좋은 소통을 위해서는 기반이 되는 기술을 바탕으로 대화가 이루어져야만 한다. 그렇다고 모든 분야의 지식을 습득한다는 것은 현실적으로 불가능하다. 따라서 무엇을 습득해야 전문가로 활동하는데 도움이 될지 선택과 집중이 필요하다.

인문기반이란 정보보안 전문가가 기업이라는 조직에서 관리자, 경영자로 올라가기 위해 필요한 소양을 의미한다. 딱히 정해진 정답은 없다. 하지만 보안조직을 운영하고 타 부서 및 경영진과 대화하기 위해서는 반드시 갖추어야만 하는 능력이다.

정보보안 전문가가 조직에서 다다를 수 있는 최고 위치는 보통 임원에 해당하는 CISO(정보보호 최고 책임자), CPO(개인정보보호 책임자)가 있으며, 경험과 능력을 인정받으면 최고경영진에 속하는 CIO(최고 정보책임자)까지도 가능하다. 하지만 그마저도 극히 일부만이 도달할 수 있다. 도달하지 못하면 흔히 만년 차장, 만년 부장이라는 표현처럼 조직 내에서 연차가 많은 정보보안 담당자로 남는 수밖에 없다. 이것이 정보보안 전문가가 직면한 Dreamless의 위험이다.

위의 내용들을 토대로 단계별로 정보보호 전문가가 갖추어야 할 최소한의 기반지식을 추천해 보면,

1. 초급 단계 : 개발경험, 데이터베이스 이해, OSI 7 Layer 이해, Network 구조 이해

2. 중급 단계 : 악성코드 및 해킹 원리 이해(모의해커의 경우 초급단계에 포함), 보안설루션 동작 원리 이해

3. 고급 단계 : 소통 기술, 발표력, Presentation 기술, 업종에 대한 이해, 정보보안 법규 이해(해석력), 의사결정력

등이 해당된다.

안타깝게도 대학에서 IT나 보안 관련 학과를 졸업한 분들도 초급 단계의 기술도 제대로 습득하지 못한 채 사회에 진출해야 하는 것이 우리의 현실이다. 결국 개개인 스스로 필요한 기술들을 인지하고 준비해야 하므로 그 과정에 도움이 되고자 이렇게 글로 전하는 것이다.

다음 글들에서 각 단계별로 요구되는 기반지식의 필요성에 대해 자세히 풀어보도록 하겠다.