진정 보안 인력이 부족하다고 생각하십니까?
보안 인력은 보안이라는 해킹과 방어에 대한 개념과 실습을 해본 인력을 의미한다고 생각합니다. 시스템적인 부분과 어플리케이션에 대한 내용, 그리고 시스템 구축에 대한 부분까지 전반적으로 이해하고 알고 있는 사람이 보안 인력이 아닐까 생각합니다.하지만, 보안 인력 역시나 주무기가 따로 있습니다. 어떤 사람은 웹 해킹 전문, 어떤 사람은 시스템 해킹 전문, 어떤 사람은 컨설팅 전문 등등 이렇게 특정 부분에 전문적으로 활동하시는 분들이 있습니다. 물론 전반적으로 두루두루 하고 싶은 것이 모든 사람의 목표이기도 하겠죠.
보안 인력이 부족한가?
보안 인력이 부족하다고 합니다. 맞는 말입니다. 위에서 언급한 것처럼 보안 인력은 시스템도 알아야 하며, 어플리케이션에 대한 지식도 있어야 합니다. 또한 네트워크에 대한 구조까지 신경을 써야 하는 부분이 있습니다.
얼마나 많은 기술이 필요한지는 언급하지 않아도 알 수 있을 것입니다. 이와 같은 기술적인 문제 이외에도 다른 문제가 또 있습니다. 일명, 학력 미달…
가슴 아픈 이야기지만 학력 미달은 우리나라의 고질적인 문제가 아닌가 싶습니다. 뛰어난 기술력이 있다고 하더라도 서류 심사에서 떨어지게 되는 학력 미달의 인재들을 얼마나 학력이 부족해서 그런가라는 의문이 들지도 모르겠네요.
제가 처음 보안 쪽으로 눈을 돌린지는 1998년~1999년이었습니다. 해커스랩이라는 드릴서버에서 문제를 풀던 저에겐 너무나 재미있고 즐거운 분야였습니다. 그렇게 2000년도에 같이 공부할 수 있는 사람을 만나게 되고 그로 인해서 보안 공부에만 몰두하게 되었습니다.
학교 공부, 수능…그런 건 나중 문제였습니다. 이유는 대학교에서 배우는 모든 내용은 이미 배우고 있으니까요. 운영체제의 구조, 프로그래밍, 웹 어플리케이션의 특징, 프로토콜 등등 전문 서적을 위주로 보고 실습을 해보면서 그렇게 공부한지 벌써 10년이 넘었습니다.
하지만 그렇게 공부해도 대기업에 종사하고 싶은 마음을 안고 이력서를 쓰고 싶어도 조건이 되지않아 이력서를 못 썼던 적이 있습니다. 그래서 지금은 대학원을 다니고 있는 실정까지 오게 되었죠.
이렇듯 학력을 기준으로 커트라인을 정해버린 현재 상태에서 10년 넘게 이 쪽 일을 하고 겪고 있는 사람은 그 커트라인을 맞추기 위하여 열심히 학업에 열중해야 합니다. 그럼 그 학업에 열중하게 되는 기간에 어느 정도 소홀해지는 보안 관련 공부와 이슈들로 점점 자신감을 잃게 되는 경우도 발생하게 됩니다.
이런 현실에서 보안 인력이 부족하다는 말이 어떻게 받아들여져야 하는지는 한번 생각해 봐야 하지 않을까요?
보안 인력을 판단하는 조건
그럼 보안 인력을 판단하는 조건은 무엇이 있을까요? 학력 위주의 잣대가 아닌 보고서와 면접 위주의 판단이 되어야 하지 않을까 생각합니다. 보다 좋은 보안 인력을 얻고 싶다면 회사 차원에서 적극적으로 나서야지 좋은 인력을 얻을 수 있을 것으로 판단됩니다.
또한, 보안 인력은 학력을 맞추는 것도 중요하지만 본인 스스로가 보안에 종사하고 싶다면 보다 많은 연구와 어필을 해야 한다고 생각이 듭니다.
저는 일전에는 한 달에 한번은 무조건 보고서를 작성한 적이 있었습니다. 이유는 간단했습니다. 제가 공부한 부분에 대해서 정리하는 과정에서 만들어지는 결과물이기 때문에 누구를 위한 것이 아니라 나 자신에게 전달하는 일종의 결과 보고서였습니다.
보고서를 작성하면서 몰랐던 부분은 더 공부하게 되고 알았던 부분은 더 깊이 있게 알 수 있게 되었던 것으로 기억합니다. 이렇듯 자신이 공부한 내용을 정리해서 인터넷에 올리거나 자신의 블로그를 통해서 보안에 관심있는 사람들에게 어필한다면 학력으로 고생하는 보안 인력들이 조금이라도 탈출 할 수 있는 실마리가 되지 않을까 생각합니다.
물론 학력에 버금가는 기술과 어필 내역이 있어야지 기업에서도 좋아하겠죠? 또한 기업에서도 학력 위주가 아닌 보안 인력에 대한 새로운 잣대를 가져야 하지 않을까 생각합니다.
[XLGAMES 이창선 crattack@naver.com]
저작권자 © 데일리시큐 무단전재 및 재배포 금지