IT보안_#1. IT보안, 책과 현실의 괴리

- 나와 손석구의 괴리만큼 -

흔히 IT보안업무를 공부하는 학부생, 그리고 해당 직무에 취업을 하고 싶은 취준생들에게는 일반 SW개발(웹 포함) 등을 준비하고 공부한 사람들과 확연한 차이점이 있다.

IT보안을 실습 없이 대부분 인터넷 글이나 책으로 배웠다는 거다. 어쩌면 당연한 이야기이다. 하지만 IT보안을 제대로 공부하고 업무를 수행하려면, 각 레이어에 맞는 장비의 특성을 알아야 하고 실제 필드에서 어떻게 쓰이는지 알아야 한다. 문제는 이러한 정보는 인터넷이나 책들에선 잘 알려주지 않는다는 점이다.

책에나 인터넷에서 IT보안 키워드나 특정 보안장비를 써치해 봐도, 기본적인 개념만 알려줄 뿐, 실제 이러한 기술과 장비들이 필드에서 어떻게 적용되고 활용되는지는 알려주지 않는다.

또한 해당 보안장비 들은 일반 개인이 쉽게 살 수가 있는 장비가 아니다. 최소 몇천에서 몇억씩 하는 장비니. 물론 대규모 학원 LAB에서 제공하거나, 각 장비의 시뮬레이션 Tool를 이용해서 맛을 볼 기회는 있기는 하다. 그렇지만 그 한계는 분명하다.

* 게임 신규 타이틀이 나왔는데 데모 버전 혹은 오프닝만 본다고 그 게임을 다 즐기는 것은 아니지 않은가?

여기서부터 책과 현실의 괴리가 발생한다. 좀 비약을 보태 이야기하면 책으로 열심히 배운 IT보안 지식은 필드에서는 크게 도움이 되지 않는다.- 물론 아예 없는 것보단 낫겠지만 - 책에서 배울 수 있는 지식은 실제 취업을 하고 나서 선배 혹은 사수에게 단기간에 배울 수 있다. 간혹 어설프게 알고 있는 신입의 경우, 오히려 현장 업무를 가르치는데 애를 먹기도 한다.(어? 책에서 배운 거랑 다른데요?) 차라리 백지상태가 낫다는 말이 괜히 나온 말이 아니다.

실제 장비를 운영해보고 싶다면 중고 구매도 방법이다. 물론 이런 열정(?)을 가진 사람을 아직까진 본 적이 없지만...

물론 내가 개발을 준비한다면, PC 한 대 준비해서 개발 언어와 책 내지는 인터넷에 널린 유/무료 강좌를 보면서 혼자 독학도 할 수 있다. 물론 혼자가 힘들다면 개발을 알려줄 학원도 널리고 널렸고. 그러나 IT보안업무는 그렇지 못하다. 그렇기 때문에 자바나 C와 같은 개발 업무와는 아예 차원이 다른 영역이며 준비하는 방법도 달라야 한다. (물론 내가 쓴 '차원'의 의미는 고급-저급의 구분값이 아니다.)

---

누군가는 이렇게 물을 수도 있겠다.

"TV나 영화에서 보니깐 노트북 한대 가지고 여기저기 다니면서 인터넷 선만 꼽고 해킹을 막던데요?"

단언하건대, 99%는 뻥이다. 요새 해킹 공격은 보안 장비 없이는 못 막는다. 아무리 칼을 잘 쓰는 사무라이가 있어도, 멀리서 일반인이 쏘는 총한방에 죽는다면 그게 뭔 소용인가?

그래서 IT보안을 제대로 준비하려면 각 보안장비 특성을 먼저 알아야 한다. 또한 어차피 IT보안업무를 처음 시작하게 되면 Low레벨 보안장비 운영 업무부터 하는 것이 보통이다.

(물론 이것도 어느 정도 회사 볼륨이 되는 경우에 이야기이다. 회사 규모가 작다면 보안 자체에 관심이 없으며, 어느 정도 규모가 되는 중견기업이라도 보안장비 직접 운영이 아닌 전문 보안회사의 장비를 렌탈하여 서비스 형식으로 각 회사의 IT보안을 처리한다)

이 글을 읽고 있는 당신이 IT보안에 관심 있고, 이쪽 업계에 취업을 하고 싶다면, 다시 한번 강조하지만 보안장비부터 제대로 알아야 한다. 실제 IT보안업무의 주 신입 채용 시장은 보안 장비 운영 포지션이다. 간혹 보안 아키텍처 설계나 컨설팅 같은 직무를 뽑기는 하지만, 이는 신입 혹은 주니어 레벨이 할 수 있는 포지션이 아니다. 만약 이러한 포지션에 신입을 뽑는다면, 입사하자마자 문서 업무만 하거나 그냥 잡부처럼 모든 허드렛일을 다 맡게 될 가능성이 아주 높다.

---

다시 처음으로 돌아가자. 글로 배운 내용과 실제 필드에서 써먹는 내용은 꽤 큰 괴리가 있다. 모든 분야에 적용되는 이야기겠지만 IT보안은 특히 더 그렇다.

아주 직관적인 예를 들어보겠다.

IDS와 IPS의 차이가 뭔가요? 물으면 대부분의 취준생이나 신입사원은 99.9% 아래와 같이 대답한다

IDS장비는 침입을 탐지만 할 뿐 차단은 못하고요.
IPS장비는 침입 탐지뿐 아니라 차단도 합니다. IDS+방화벽 기능을 하는 것이 IPS입니다"

물론 틀린 말은 아니다. 실제 단어 자체도 IDS(Intrusion Detection System)이고 IPS (Intrusion Prevention System) 니깐 말이다.

하지만 요새는 위 장비들의 구분이 없다. 동일 장비로 인라인으로 구성해서 차단을 적용하면 그게 IPS이고 미러 모드로 구성해서 차단을 적용 안 하면 그게 IDS다. 물론 차단 여부는 각 회사의 정책이나 보안 가용성에 따라 담당자가 결정하는 부분이다.

그러나 거의 대부분 신입들이 두 개의 장비를 아예 별개의 장비로 인식한다. 물론 초기에는 별도의 장비로 구분될 때가 있었다. 하지만 지금은 아니다.

요새 IDS라는 용어는 거의 필드에서 쓰지 않는다. 차라리 "ㅇㅇㅇ님의 회사는 IPS에서 차단을 어디(어떤 정책)까지 적용하나요?"라고 묻는 게 자연스럽다.

언뜻 보면 완전 틀린 내용도 아니고, 저 차이가 뭐 중요하냐고 생각이 들 수도 있지만, 실제 기술 면접 단계에서 저런 디테일의 차이를 생각해서 대답하는 것과 그냥 책에서 본 내용을 말하는 것 중 어떤 것이 면접관에게 어떤 (긍정의) 임팩트를 줄지 생각해 보면 답이 나오지 않을까?

이 글 이후로, 본격적으로 각 보안장비(네트워크 보안장비 중심으로)의 특성과 실제 필드에서 어떻게 쓰이는지 적어 내려가고자 한다.

물론 내 글들이 위에서 말한 책과 현실의 괴리를 완전히 좁혀주지는 못하겠지만 그래도 중요한 순간에 디테일의 차이를 낼 수 있을 정도로만 쓰일 수 있어도 더 바랄 나위 없음이다.

평범함과 특별함의 차이는 디테일에서 나오는 법이다.