사이버 보안 분야의 여러 전문가들과 단체들이 무료 강좌를 개설하고 있다. 때문에 이제 보안에 관심이 있다면 약간의 검색으로 이 분야와 관련이 있는 지식을 접할 수 있게 됐다. 그러면 무료 강좌만으로도 보안 전문가가 될 수 있을까?

[보안뉴스 문정후 기자] 무료라고 한다면 당신은 어디까지 갈 수 있는가? 여행을 하는 와중에 나온 질문이라면 꽤나 흥미로운 도전거리가 될 만한 주제로서 받아들일 수 있다. 하지만 사이버 보안 분야의 경력을 묻는 질문이었다면 어떨까? 보안처럼 제품이나 서비스가 ‘비싸다’는 인식이 팽배한 분야에서 ‘무료로 어디까지 가 보았는가’라는 질문이 답하기 쉬울 리 없다. 그런데 최근 사이버 보안 벤더들 사이에서 무료의 움직임이 조금씩 보이고 있다. 특히 무료 교육을 실시하는 곳들이 늘어나는 중이다. 혹시 이런 업계 무료 강좌를 통해 보안 분야에 입문할 수도 있을까?


모자란 인력, 값싼 강좌
사이버 보안 분야에 적절한 기술을 가진 전문가가 부족하다는 것은 사실이다. 거세게 들어오는 공격의 빈도에 비해 대응할 사람들이 없어도 너무 없다. 이 간극을 메워야 하는 게 현 시대 보안 업계의 가장 큰 임무라고 해도 과언이 아니다. 여기서 우리가 사람을 채우지 못한다면(아니면 그에 상응하는 첨단 기술력을 개발하지 못한다면) 그 다음에 무슨 일이 일어날지 아무도 장담할 수 없다.

사람이 모자란 지금의 상황을 해결하기 위한 가장 근본적인 방법은 ‘교육’이다. 전문가 코스를 통해 사람들을 육성하고 자격증까지 수여함으로써 새로운 보안 인력들을 마구 늘릴 수 있다. 하지만 이건 대단히 비현실적인 방법이기도 하다. 정식 교육 코스를 통해 인재들이 현장에 투입될 때까지 기다릴 시간도 없고, 예산도 부족하기 때문이다. 심지어 우리에게 이런 정식 교육 코스에 참여할 의사가 있는 후보자들이 존재하는지조차 미지수인 상황이다.

그렇다면 무료 강좌들은 어떨까? 최근 사이버 보안에 흥미를 가진 사람들을 위한 무료 강좌와 훈련 코스들이 적잖이 나타나고 있는 상황인데, 이들은 공식 자격증 코스를 대체할 수 있을까? 먼저 필자가 알고 있는 무료 강좌들의 예를 들어 보면 다음과 같다.

1) 페드VTE(FedVTE) : 미국 퇴역 군인들과 각 정부 기관 직원들, 연방 정부에서 근무하는 계약자들을 대상으로 한 인력 개발 센터인 페드VTE는 다양한 분야의 무료 강좌를 제공한다.

2) IBM : IBM스킬즈빌드(IBM SkillsBuild) 프로그램은 코세라(Coursera)와의 파트너십을 통해 보안 분석가 육성을 위한 훈련 코스를 제공한다. 보안 외에 다양한 IT 분야 전문 인력을 키우기 위한 코스들도 존재한다. 무료 코스도 있고 유료 코스도 있다.

3) 사이브러리 : 지난 2월 사이브러리(Cybrary)는 500시간 이상의 사이버 보안 강좌들을 무료로 풀겠다고 발표했다. 사이버 보안의 기본 개념 강좌에서부터 전문 자격증 준비 강좌까지 다양했다. 심지어 기존 보안 전문가들을 위한 강좌들도 포함되어 있었다.

4) 산스 : 산스(SANS)는 다양한 수준의 사이버 보안 교육 프로그램을 제공하는 기관으로, 일반적인 인식 제고를 위한 기초적인 코스에서부터 각종 전문가 코스까지 아우른다. 무료 강좌와 유료 강좌가 공존한다. 다만 SANS.org 커뮤니티에 대한 멤버십은 누구에게나 무료로 제공되며, 여기서 여러 가지 보안 전문가들의 조언과 팁을 얻을 수 있다.

5) 옥스퍼드홈스터디 : 영국의 교육 훈련 전문 기관인 옥스퍼드홈스터디(Oxford Home Study)는 여러 수준과 분야의 사이버 보안 훈련 코스를 무료로 제공한다. 일부 코스의 경우 계속 학습을 이어갈 경우 보안 자격증까지 취득이 가능하다.

그 외에도 여러 가지 무료 강좌들이 개설되고 있고, 앞으로도 이런 흐름이 이어질 것으로 예상된다. 그러면 이러한 다양한 무료 강좌들만으로 우리는 어느 수준에 이를 수 있을까?

이 질문에 답을 하려면 이 무료 코스들이 제공하지 않는 것들이 무엇인지를 알아야 한다. 일단 거의 대부분의 경우 무료 코스들은 수강자들에게 지식을 제공하지만, 자격증까지 수여하지는 않는다. 요즘 보안 분야와 IT 분야에서 자격증 무용론이 대두되고는 있지만, 현 시점에 ‘자격증 없다’는 것을 그냥 넘어가기도 어려운 것이 사실이다.

자격증이 없더라도
그렇다면 차기 보안 전문가들이 해야 할 일은 무엇인가? 일단 무료 강좌들을 최대한 많이 들어서 지식을 섭렵하는 것 자체는 반드시 선행되어야 한다. 자격증을 주는 것이든 아니든 기본 바탕에 깔려 있어야 하는 것은 이 분야에 대한 지식이다. 무료 강좌들은 최소한의 보안 지식을 갖추게 하는 데 충분하다. 첫 발을 내딛을 수 있게는 한다는 것이다.

그 다음, 현장 경험을 해야 한다. 사이버 보안 담당자 자리를 어떻게 해서든 꽤찮다면 직무를 수행하며 현장 경험을 할 수 있겠지만 그렇지 않은 경우라면 각종 해킹 대회나 CTF 대회 혹은 훈련 코스에 참가하는 것도 좋은 방법이다. 교과서 밖 현장에서 실제 무슨 일이 벌어지는지를 체감할 필요가 있다.

여기까지 오는 데에는 크게 돈이 들어가지 않을 것이다. 하지만 이제부터는 조금 더 진지해질 필요가 있고, 따라서 돈이 들어가기 시작한다. 그러므로 이 시점에서 여태까지 공부해 왔던 것과 경험했던 것을 토대로 더 나아갈 것인지 중단할 것인지를 결정해야 한다.

기업들이 할 일은?
직원들에게 훈련의 기회를 제공해야 하는 기업의 입장에서는 당연히 무료 코스들이 고마울 것이다. 실제로 무료 코스들만 주구장창 수강하게 하고 전문가의 실력을 요구하는 기업들도 많다. 물론 처음 해당 분야 맛보기로서 이런 코스들을 소개해 주는 것은 좋은 일이다. 하지만 일정 수준이 지나고 나면 좀 더 교육에 돈을 낼 준비를 하고 있어야 한다. 진지하게 인력을 전문화 하려면 유료 코스는 반드시 거치는 게 맞다. 아무래도 유료 강좌들에 제공하는 게 훨씬 풍부하기 때문이다.

무료 강좌들의 존재는 사람 모자라는 보안 분야에서 오아시스와 같은 존재들이다. 하지만 이 무료 강좌들이 모든 문제를 해결할 수는 없다. 아주 예외적인 경우가 아니라면 무료 강좌들만으로 안정적인 실력과 기술력을 겸비한 전문가가 탄생하기는 힘들다. 무료 강좌에는 무료 강좌의 역할이 있고, 유료 강좌엔 또 유료 강좌의 것이 있는 법이다. 이를 적절히 파악해 활용하는 것이 최선이다.

글 : 커티스 프랭클린(Curtis Franklin), 분석가, Omdia
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>