정보보안전문가 하는 일과 되는방법

= 정보보안 전문가 하는 일과 되는방법 =

작년 이맘때쯤이었습니다. 세계적으로 큰 이슈가 되었는 <워너크라이> 라는 존재를 미국정부에서 공식적으 북한이 배후라고 발표를 했던 일이 있었습니다. 워너크라이를 모르는 분들을 위해서 잠시 부연 설명을 드리자면 워너크라이란 쉽게 말해 랜섬웨어에 붙여진 이름을 뜻합니다.

작년 초 150개국에서 23만대의 컴퓨터가 랜섬웨어에 감염되어 파일이 암호화 되고 이 암호를 풀기 위해서 비트코인을 요구받은 대사건이 있었습니다. 이것이 얼마나 얼마나 끔찍한 참사인지 잘 모르실 분들을 위해 설명을 드리자면 내가 갖고 있는 내 개인PC에 있던 내 자료,문서,사진,음악 등을 포함해 회사나 금융권에 묶여있던 자료들도 모두 암호화되어버려 어떤 문서를 열어도 그 원본 파일이 열리지 못하는 상황이 되는 것입니다. 

이미 우리들 라이프 속에 깊이 들어온 컴퓨터와 인터넷 그리고 스마트 폰까지 모든 기기들이 갑자기 아무 준비도 안해놓은 상태(백업 전혀 없는) 에서 하나도 제대로 된 파일을 볼 수 없게 다 묶여버리는 것입니다. 당장 봐야할 제출해야 할 문서가 잠겨버리고 복구조차 원하는대로 할 수 없으며 예전에 찍었던 사진이나 메일 백업문서까지 모두 암호화가 걸려버리는 것입니다. 

상상만해도 정말 눈앞이 캄캄 해질 것입니다. 이런 랜섬웨어를 이용한 해킹은 이미 우리가 알지 못하는새 우리 생활 깊숙이 침투해버렸습니다. 그런데 그래서인지 그 반등으로 날이 갈수록 그런 해킹에서 안전하도록 보호해 줄 수 있는 정보보안전문가의 전망과 가치가 점점 더 두각되어 나타나게 되었습니다. 

금일 이 시간에는 이러한 전세계를 들었다 놨다 하고 있는 워너크라이 같은 악성 코드를 잡아내면서 예방할 수 있는 유일한 화이트 해커라 할 수도 있는 공식 해커 직업인 정보보안전문가 가 되는 법과 정보보안 전문가가 하는일에 대해 한번 알아보도록 하겠습니다.

★ 정보보안전문가 가 하는 일과 되는 방법

IT업계는 프로그래머부터 컨설턴트 DBA까지 다양한 장르의 직업이 있습니다. 하지만 이러한 IT직종에서도 정보보안전문가 라는 직업은 그 중에서도 엘리트 직종으로 손 꼽히는 직업입니다. 실제 제 친구가 이 정보보안전문가 일에 종사하고 있는데 학원을 졸업한 대부분의 졸업생들이 필드에서 정보보안전문가로 뛰고 있는 것을 보고 괜찮다 전망 좋다는 판단하에 대학교 4학년때 엄청난 거금을 주고 정보보안전문가 학원에 들어가서 이일을 시작하게 되었습니다.

물론 당연히 그 학원 졸업 후 실제 정보보안전문가 일을 하고 있습니다. 하지만 그때가 이미 2006년 이었으니 벌써 11여년 전 일이고 그 학원은 이제 수많은 졸업생들을 배출함으로써 레드오션이 되어버렸을 그 자리들을 어떻게 유지하는지 혹은 채워나가는지는 잘 모르겠습니다.

정보보안전문가라는 직업은 흔히 화이트 해커로 해킹을 하는 자들을 찾아내거나 방어하는 일을 한다고 생각하기 쉽습니다. 하지만 정보보안 전문가는 그런 일 외에도 기업에 들어가 각종 해킹 기술들을 통해 서비스 공격을 해보고 그에 따른 대응방안을 제시하는 일을 하기도 합니다.

정보보안전문가들은 모의해킹 전문가와 보안프로그램 예를 들어 V3나 알약같은 프로그램을 개발하거나 보안솔루션 전문가 의뢰받은 고객사의 주요서비스들을 점검해보는 일을 하기도 합니다.

또한 정보보안전문가는 보안관제 전문가 이미 발생한 악성코드들을 분석하여 치료방법을 찾아내는 일을 하기도 하며 악성코드 분석가가 정보보안전문가가 필요한 기업들에게 정기적으로 의뢰를 받아 해킹 취약점을 분석하고 그에 따른 해결책을 제시해주는 일을 하기도 합니다.

또한 정보보안 컨설턴트전문가 디지털 범죄의 경우 증거를 분석하고 파일 복구 업무들을 하는 요즘 뜨고 있는 디지털 범죄복구 방법인 포렌식 수사관 등 을 하며 활약하고 있습니다.

이러한 정보보안전문가는 학원에서는 전공이나 학력은 크게 상관없다고 하는 경우가 대부분입니다. 또한 고졸이나 초대졸의 경우 학원에서 학점을 따게 해주겠다 등의 방식으로 자신의 학원 홍보를 많이 하고 있기도합니다. 

하지만 실제 정보보안전문가로 일하고 있는 지인의 말에 따르면 솔직히 IT 직종 중에서도 엘리트 군에 포함되는 정말 1% 만이 하고 있는 이일에 있어서 사실 생각외로 학력이 정말 중요하다고 합니다. 그 친구가 다녔던 2006년 그 학원은 애초에 대졸/컴퓨터 전공자가 아니면 학생을 받지도 않았음을 물론이며 정보보안전문가로 일을 시작한 이 친구도 취업 후 스스로에 대한 열등감(심지어 S국립대 컴공과 였습니다) 으로 인해 좀더 깊은 공부를 하고자 대학원에 진학을 하기도 했습니다. 

따라서 정보보안전문가라는 이 길은 극소수만 가는만큼 수요가 많이 있고 취업보장도 잘 되어 있는편이지만 좀더 퀄리티 있고 좀더 고액의 연봉을 받기 위해서는 물론 실력도 실력이지만 고학력인가 아닌가 전공자인가 아닌가도 중요하게 보여진다는 것입니다.

특히 여러부문으로 나뉘는 이 정보보안 전문가 중 보안컨설턴트의 경우는 학력이나 전공의 무게가 더 심하다고 합니다. 그러니 정보보안전문가가 되기 위해 학원말만 믿고 큰 돈을 덥석 내버리고 일단 학원부터 가자, 이러지말고 이 길에서 대졸도 아니고 전공자도 아니지만 앞으로 대학원도 가고 공부도 많이 해서 뭐든 인내하고 뭐든 공부해서 해내겠다 하는 자신감과 각오를 다질 수 있는 사람이 아니라면 섣불리 시작해서는 안되겠습니다. 

또한 정보보안전문가 일을 하려 할때 한가지 확실히 알아두어야 할 것이 있습니다. 바로 정보보안전문가가 고액 연봉을 받을 수 있는 것은 맞지만 앞서 말했듯 학력+실력이 좋아 대기업에 들어가 기회를 부여받고 활약할 수 있는 경우에만 해당이지 그외는 그저 정보보안 업체에 취업해서 다른 직업군과 비슷한 연봉을 받으며 커리어를 쌓아갈 수 밖에 없음을 분명히 알아두셔야합니다. 당연히 그에 미치지 못하게 받으며 일할수도 있으니 이점도 꼭 염두에 두셔야겠습니다.

정보보안전문가가 되기 위해서는 이렇듯 일단 기본적으로 학력이 뒷받침해줘야 하는 것입니다. 하지만 앞서 말했듯 학력이 낮다거나 전공자가 아니라해도 취업이 아예 안되는 것은 아닙니다. 하지만 그런 것들이 갖춰줘 있는 사람들에 비해 초라하고 힘든 시작을 할 수 밖에 없다는 말씀은 슬프지만 드려야 될 것 같습니다.

앞서도 말씀드렸지만 정보보안전문가 이 직업은 IT 직군에서는 1% 밖에 없다고 했었습니다. 왜 이렇게 극소수만이 하는 것일까요.그건 바로 엄청나게 많은 공부를 해야 하고 수많은 분야에 대해서 알아야하며 아는 수준에서 그치지 않고 말 그대로 전문가가 되어야 하기 때문입니다. 전문가가 되기 위해서는 너무 힘들고 시간과 노력도 많이 들어가게 되기때문에 사실 중도에 포기하는 분도 많이 있습니다. 

정보보안 전문가는 당연히 정보보안 쪽이므로 네트워크나 네트워크 프로그래밍 영역에 대해서는 정말 말 그대로 전문가여야합니다. 해킹을 방어하고 코드를 분석해야 하므로 C/C++/C#/JAVA 같은 프로그래밍 언어에 대해서도 꿰차고 있어야 하는 것은 물론입니다. 또한 각 종 툴과 새로운 신기술을 때마다 익혀야 하는 것 역시 이 길을 가기위해서는 필수입니다. 

또한 정보보안전문가로 취업을 하기위해서는 실력뿐 아니라 이러한 실력이 검증된 자격증도 미리 준비해놔야 합니다. 국가 공인 자격증인 정보보안기사나 국제 자격증인 CISA/CISSP 같은 자격증도 기회와 여유가 된다면 일단 취득해놓는 것이 매우 좋습니다. 관련 분야를 공부할 때 주로 네트워크/시스템 해킹 및 보안, 사이버수사기법인 디지털 포렌식, 리버싱이라 불리는 리버스 엔지니어링,웹 해킹 및 보안,악성 코드 제작 및 분석,해킹 트레이스 등과 관련된 과목 위주로 공부를 해놓아야만 합니다.

말은 간단하지만 정말 많은 것을 공부해야 이러한 정보보안전문가가 되는 것입니다.

하지만 아무래도 정보보안전문가는 너무나 많은 분야를 다뤄야하고 공부해야 하기때문에 아무것도 모르는 상태에서는 개인 혼자 습득해나가기가 매우 어렵습니다. 아는 분이나 학원 등의 도움을 받는 것이 당연히 빠른 지름길이자 슬기로운 길이 되겠습니다. 

하지만 전망이 좋고 유망하다는 이유 하나 만으로 나의 적성에 정말 맞는지 내가 이 길에서 과연 성공을 할 수 있을지 보람과 성취를 느끼면 재미있게 일을 해나갈 수 있을지에 대한 생각없이 무작정 비싼 돈을 들여  학원에 등록하는 것은 아닌 것 같습니다. 

당연히 정보보안전문가로 실무에서 뛰고 있는 제 친구도 그렇게 말하고 있습니다. 관심 있는 분들은 일단 학력과 전공에서 내가 과연 갈수 있는 것인지 없는 것인지 판단하고 시작해보는 것이 현명하지 않을까 싶습니다. 학원에서 상담해 주시는 분들은 일단은 자기 실적이 있으니 취업 다 된다고만 말하지, 구체적 연봉을 얼마나 어떤 기업으로 들어가서 받을 수 있는지에 대해서는 절대 말 안해줍니다. 그저 이 학원의 취업률과 졸업생 중 가장 성공한 사람들 위주로만 설명해 줄 뿐입니다. 이러한 점 잘 알고 학원상담도 받는 것이 좋지 않을까 싶습니다.

이 시간 정보보안전문가 가 하는 일과 되는 방법에 대해 알아보았습니다. 수요는 많지만 공급이 적은 곳에서의 공급원은 정말 많은 돈을 당연히 벌수밖에 없지 않나싶습니다. 하지만 그만큼 주말을 포기하고 밤낮을 포기하고 잠을 줄여가며 공부하고 또 공부해야 하는 것이 이 일인 것 같습니다. 하나를 포기해야 둘을 얻을 수 있다는 것 명심하고 가장 기본적인 내가 하고싶은 일인가에 대한 답을 먼저 구한 뒤 시작해보기 바랍니다.