[넋두리 3] 5. 정보보안 전문가의 길(1)

개발경험을 가져라

흔히들 대화와 소통의 기본은 경청이라고 얘기한다. 잘 듣고 상대방이 전달하고자 하는 바를 제대로 이해해야 좋은 대화를 나눌 수 있고, 그래야 원활한 소통이 이루어진다는 의미이다.

그런데 중요한 점은 잘 듣는 것뿐 아니라 잘 이해하는 것도 필요하다는 것이다. 아무리 귀를 기울이고 집중해서 듣는다고 해도 상대방이 얘기하는 내용이 무엇을 말하는 것인지 이해하지 못한다면 아무 의미가 없다. 대화와 소통이 이루어질 수 없는 것이다.

기업에 속한 정보보안조직과 보안전문가들이 가장 많은 대화를 나누는 대상은 보통은 기업의 IT조직이다. 더 정확히 표현하면 개발조직이다. 개발조직은 기업 내부의 IT시스템들과 외부에 서비스하는 웹서비스들을 개발하는 업무를 하고 있다. 모두 해커의 공격대상이고, 그래서 보안조직과의 긴밀한 대화를 통해 IT시스템의 취약점을 없애고 잠재적 위험요소를 제거하고자 노력한다.

하지만 기업의 IT조직이 처한 환경은 그리 넉넉하지 않다. 예산은 항상 빠듯하고, 개발을 위해 확보한 시간도 항상 부족하다. 경영진의 재촉과 압박에 시달리지 않으려면, 하루라도 빨리 개발을 완료하고 서비스를 시작해야만 한다. 정말 얄궂게도 이렇듯 시급을 다투는 때에 항상 정보보안이 짠 하고 등장한다.

정보보안조직이 들여다본 IT시스템은 항시 취약점이 즐비하고 해커에 의해 악용될 수 있는 잠재적 요소들이 곳곳에 산재한 위험덩어리다. 이 위험덩어리 상태로 서비스를 시작한다는 것은 당연하게도 인정되지 않는다. 바야흐로 개발조직과 보안조직의 해묵은 분쟁이 다시 시작되려고 하는 것이며, 이 시점이 대화를 통해 소통으로 가느냐 논쟁을 통해 불통으로 가느냐의 갈림길이다.

대화를 통한 소통으로 가기 위해서는 상대의 상황과 환경을 이해하고 있어야 한다. 정보보안이 요구하는 내용들이 저들의 작업과 일정에 어떤 변화와 영향을 끼칠지에 대한 이해말이다. 하지만 안타깝게도 현재 활동하는 보안전문가 중 많은 수가 개발을 해 본 경험이 없다. 개발조직이 어떤 과정을 거쳐 개발을 하는지, 어떤 작업들을 하는지, 어떤 문제들을 겪고 있는지, 어떤 기술들이 도입되는지 등과 같은 경험 말이다. 그저 막연하게만 공감하고 있을 뿐이다. 직접 경험해보지 않은 막연한 공감은 실제 대화에 있어 큰 도움이 되지 않는다. 따라서 진정한 공감이 빠진 대화는 불통으로 이어져 협상에 실패하고 분쟁으로 이어지는 것이 일반적이다.

"운전은 한다. 차는 모른다"는 어느 광고의 카피처럼, 보안은 하는데 보안이 적용될 IT는 모른다는 상황이 펼쳐진 것이다. 그러나 처지는 완전히 다르다. 차를 몰라도 운전을 할 수 있는 것은 차를 정비해 주는 전문가들이 있기 때문이지만, IT시스템을 정비해야 하는 보안전문가가 IT를 모르면 정비를 할 수 없다. IT시스템의 정비를 외부 전문가에게 맞길 요량이면 기업이 굳이 보안전문가를 채용할 필요가 있겠는가!

보안전문가에게 개발경험을 권고하는 이유는 또 있다. 개발경험을 통해 보안전문가가 다루어야 할 IT시스템과 보안설루션들이 개발과정을 통해 어떻게 구성되었을지 유추해 볼 수 있기 때문이다. 겉으로 드러나지 않는 구성 형태 및 구조를 유추할 수 있다면 동작방식을 예측해 볼 수 있고, 동작 과정에서 발생 가능한 위험을 미리 예측하는 것도 가능하다.

개발경험이란 보안인력이 전문가로서 갖추어야 할 중요한 토대 중 하나이다. 바꿔 말하면 개발경험이 없는 보안인력이란 중요한 토대 하나가 없는 채로 보안업무에 나선 전문가인 셈이다.

정보보안 전문가의 길 : https://brunch.co.kr/@sunwoodowoo/61