“모의해킹 업무를 원활히 수행하기 위해서는 웹 시스템에 대한 취약점, IT 인프라, 서버, DBMS, 네트워크 취약점들을 이해하고 있어야 됩니다. 각 분야의 전문가들과의 의견을 조합하여 진행하게 됩니다. 각 취약점, 구성요소에 대한 이해는 필수이고 웹 애플리케이션 진단 시 개발자의 관점에서 ‘개발자들이 흔히 할 수 있는 실수가 무엇이 있을까?’에 대해 자문해 보는 자세가 필요합니다”

“고객에게 설명하는 제품 즉, 솔루션이라는 것도 결국은 수많은 보안 분야 중 하나입니다. 네트워크 솔루션이라면 네트워크 보안, DB보안 솔루션이라면 DB보안 분야 이렇게 해당 분야에 대해서 깊게 공부해 나갈 수 있고, 주변지식에 대해 넓게 펼쳐나갈 수 있습니다. 기술영업은 기술적인 깊이가 있으면서 그 분야의 전문성을 가질 수 있습니다”

“모의해킹 대상에는 제한이 없습니다. 웹사이트가 될 수도 있고, 모바일 애플리케이션, 때로는 서버/네트워크가 그 대상이 될 수 있습니다. 주로 모의해킹 대상이 되는 웹사이트만 해도 사이트마다 특성이 다르기 때문에 매번 흥미롭게 일을 추진해 나갈 수 있습니다. 늘 새로운 것에 대비해야 한다는 압박감과 공부해야 할 게 많다는 것이 이 분야의 가장 큰 장점이자 단점입니다”

“네트워크 환경에 대한 이해가 선행되어야 외부에서 침입이 들어왔을 때 어떤 경로를 통해 들어왔는지를 알 수 있기 때문입니다. 실제로 해킹을 당했을 때에도 분석을 하다 보면 유닉스 시스템에 대해 분석해야 하는 경우가 많기 때문에 위의 지식은 꼭 갖추어야 됩니다. 유닉스, 리눅스 시스템에 익숙하면 네트워크 보안장비를 이해하는 데 많은 도움이 됩니다”

“사이버테러 수사라고 하는 것은 어떻게 보면 인문학적 부분과 공학적 부분이 서로 결합되어 있고, 모든 학문이 다 융합되어 있는 종합예술과 같은 능력을 필요로 하는 분야입니다. 다양한 분야의 기술과 지식, 프로그래밍 언어능력까지 복합적으로 갖추어야만 온전히 이 업무를 수행할 수 있습니다. 각종 운영체제, 파일 시스템, 네트워크에 대한 이해도 대단히 중요하다고 봅니다”

“DB와 보안, 두 분야 모두에 친근감 있는 사람들이 많아야 한다고 생각합니다. 활용도 높게 서비스를 다양화하고 성능을 높이려는 것이 DB보안관리자의 생각인데, 다양한 길이 있으면 보안은 점점 더 취약해질 수밖에 없습니다. 서비스를 중요시하면 보안이 약해지고 보안성을 높이면 서비스를 제공하는 부분이 약해집니다. 서비스 제공과 보안성을 적절한 선에서 유지하기 위해 설계·구축·운영하는 것이 중요합니다”

“심사원은 기본적으로 전문성을 갖추고 좋은 인성이 더해져 조정자, 전달자, 중재자 역할도 담당할 수 있어야 합니다. 심사과정에 문제점을 노출시켜서 개선하고 인증을 받음으로써 정보보호 및 개인정보보호 수준을 높이는 것이 좋습니다. 즉, 인증의 기본 목적은 문제점을 지적하는 것보다는 해당 기업이 문제점을 개선할 수 있도록 협업하여 보안수준을 한 단계 향상시키도록 하는 데 있습니다”

“CISO는 정보기술 부문의 안전성을 확보하고, 이용자 보호를 위한 전략과 계획을 수립하여 보안사고를 예방 및 조치하는 등의 정보보안 업무를 총괄하는 위치입니다. 따라서 비즈니스 시스템과 새로운 분야의 기술들이 기업에 어떠한 보안 위협으로 미치게 될 것인가에 대해 늘 고민하고 그에 대한 대책을 마련해야 합니다”

보안직업군 프로젝트 뒷이야기

프로젝트를 시작하게 된 동기 ‘정보보안’ 분야를 첫 진로로 선택했을 시점에 보안분야에 어떤 직업군이 있는지 궁금해서 인터넷을 찾아본 적이 있습니다. 하지만 찾은 결과 대부분이 학원홍보이거나 일반적으로 대중화되어 있는 ‘사이버수사대’, ‘백신 개발’ 등에 대한 이야기밖에 없었습니다. 해당 직업군에서 어떤 프로세스로 일하는지, 어떤 것이 필요한지에 대한 정보는 전혀 존재하지 않았습니다. 그래서 항상 보안직업군에 대한 정보가 부족하다고 생각해 왔습니다.

“보안업계 종사자들을 직접 만나 취업준비생 및 이직을 준비하시는 분들이 궁금해 하는 점을 인터뷰하면 많은 도움이 되지 않을까?”라는 의견 한마디를 시작으로 보안뉴스와 프로젝트를 진행하게 되었습니다. 이 프로젝트를 시작할 당시에 저희 둘 다 학생 신분이었기 때문에 울산에서 서울까지 왕복하며 열심히 인터뷰를 진행했습니다. 1년이 지난 지금은 보안뉴스 기자와 정보보안 컨설턴트로 신분이 바뀌었지만요.  

에피소드 울산에서 서울까지 왕복 1000km 정도 되는데, 그 당시에는 1000km가 그리 멀게 느껴지지 않았습니다. 아마 학교라는 일상에서 벗어나 여러 사람을 만나고 인터뷰하는게 재밌어서 그랬던 것 같습니다. 지금 생각해보니 ‘다시 처음부터 시작한다면 할 수 있을까?’하는 생각이 듭니다. 그 만큼 열정적으로 시작한 프로젝트였습니다.

처음에는 낯선 회사에 인터뷰하러 들어간다는 것 때문에 굉장히 쭈뼛거리고 어색한 분위기에서 인터뷰가 이뤄졌습니다. 그런데 그것도 나중에는 적응이 되서 여기저기 잘 다니게 되었죠. 인터뷰어 분들께서 인터뷰가 끝난 후 기업 탐방도 많이 시켜주셨고, 인터뷰하러 갔다가 조상님 같은(?) 학교 선배님을 만나 뼈가되고 살이 되는 인생 얘기도 들었습니다.

휴게소에서 라면을 먹으면서 ‘3.20 사이버테러 정부 조사결과 발표’ 뉴스를 보던게 아직도 생생하게 기억납니다.

가장 인상깊었던 인터뷰 (임종민) 가장 인상깊었던 인터뷰는 4회에서 소개드렸던 IBM Korea 박형근 부장님의 인터뷰였습니다.  ‘기술영업’이라는 직업군 영역 이외에도 전반적인 보안에 대해 장기적인 그림을 그려주셨던 그때가 제일 큰 기억에 남습니다. 인터뷰 이후 저희의 멘토가 되어주셨습니다.

(민세아) 모든 인터뷰어분들이 친절하게 인터뷰에 응해주셔서 다 기억에 남지만 그 중에서 여성 모의해커분이 제일 기억에 남습니다. 같은 여성으로서 자신의 일에 푹 빠져 계시는 그 열정적인 모습에 반하지 않을 수 없었습니다. 그때 당시 조금 방황하고 있던 저에게 큰 동기부여가 되기도 했구요. 지금도 가끔 힘들때면 그때의 인터뷰를 생각하며 마음을 다잡곤 합니다.

정보보안 분야에는 매우 다양한 직업군과 역할이 있습니다. 때문에 저희가 분류한 직업군이 오히려 직업군의 역할을 한계 짓고 있을지도 모릅니다. 하지만 이런 직업군이 있다는 것을 많은 이들에게 알리고 싶었습니다. 최근 보안사고가 많이 발생하면서 정보보안 인력에 대한 수요가 급증하고 있습니다. 보안전문가를 꿈꾸는 예비 보안전문가들이 이번 기획을 통해 정보보안의 길로 한발 내딛는데 작게나마 도움이 되었으면 합니다.

[민세아 기자(boan5@boannews.com)·임종민 객원기자(ljm4078@gmail.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>