한 번 취득하면 영원한 것이 자격의 속성일까?

[보안뉴스 문가용 기자] 그럴 줄 알았다. 사람들 생각이란 다 거기서 거기다. 그러니 오늘 토익이나 한국사능력검정시험이 포털 검색어 순위권에서 떨어지질 않는 것이다. 해마다, 거의 모든 사람에게, 1월 1일은 1년 중 가장(혹은 유일하게) 공부가 해보고 싶어지는 날이다. 이 마음은 2~3일 정도까지 이어지다가 완전히 소멸되곤 한다. 학원가로서는 성수기 중 성수기.


문득 무려 16~7년 전에 마지막으로 봤던 토익 시험 점수가 궁금해졌다. 그땐 그렇게 모든 걸 걸었던 간절했던 시험인데, 이젠 기억조차 나지 않는다는 게 우스웠다. 당시는 1000점 혹은 990점 만점이었던 거 같은데, 요즘은 몇 점으로 바뀌었다더라, 컴퓨터로 한다더라, 몇 점 이상이면 어떤 회사에 갈 수 있다더라 하는 풍문을 들었던 기억도 났다. 아니, 그건 토플 얘기던가. 헷갈린다. 그땐 모든 관련 정보를 다 외우고 다녔는데.

또 문득, 아는 지인 한 분이 생각났다. 영어를 가르치는 일을 하고 있는데도 1년 365일 토익 기출문제집을 들고 다녔다. 주말 스케줄을 물어보면 ‘시험 치른다’는 답만 돌아왔다. 토익만이 아니라, 토플도 보고 텝스도 봤다. 옆에서 보는 내가 다 돈이 아까워서 어느 날은 왜 그리 봤던 시험을 또 보느냐고 물었다. 그의 대답은 간단했다. 1) 더 좋은 점수를 받고 싶어서, 2) 영어를 가르치는 것에 대한 스스로의 자격을 시험해보고 싶어서.

당시는 이미 만점 직전의 최상위권 점수대를 보유한 그가 유난스러운 강박관념을 가지고 있는 것 같다고 생각했다. 하지만 살아갈수록 자격을 보증해주는 ‘자격증’이란 것이 1회성 합격으로 평생 자격을 보장해주는 게 과연 맞는 걸까 하는 의문이 든다. 한국사검정시험 1급 자격을 따면 죽을 때까지 역사적 사건을 잊어버리지 않을까? 역사 해석의 기조가 바뀌면 또 다시 시험을 봐야 하나? 등단하면 낙서 포함 모든 글이 주옥 같이 뽑아져 나오는 걸까?

목사나 신부도 사람인지라 마음도 변하고 ‘시험에도 들기’ 마련인데, 한 차례 자격부여가 평생 신앙을 담보할 수 있을까? 그것도 지도자급 신앙을? 한 번 보안 매체에서 잔뼈가 굵어진 기자는, 어느 시점이 지나면 공부를 하지 않아도 인터뷰만 부지런히 따면 저절로 공부가 되는 걸까? (쓰고 보니 종교 지도자나 기자나 요즘 제일 욕먹는 직종이다.) 단 한 차례 계기로 영원히 보장되는 게 자격의 속성이기나 한 걸까?

물론 갱신을 요구하는 자격증들도 제법 있다. 정보보안 분야에서 대표적인 자격증은 정보보안산업기사와 정보보안기사인데, 둘 다 다시 시험을 보고 자격을 새롭게 취득하는 개념은 없다. 한 번 자격을 얻으면 영원히 지속된다. 물론 합격률이 매우 낮고 그만큼 전문성을 보장하며 자격증 소지자 대부분 현장 최전선에서 뛰고 있으니 새롭게 시험을 보는 게 낭비일 수 있다. 반면 어렵게 자격증을 따놓고 10년을 다른 일 하다가 업계로 돌아와도, 그는 여전히 정보보안기사다. 현장에 있는 전문가들의 자격 자체를 말하는 게 아니라 안전과 관련된 자격증 제도가 100% 안전하기 만하지는 않다는 것이다.

예전의 정보보안은 그래도 됐을는지 모르겠다. 하지만 지금은 단연코 아니다. 각종 IT 기술과 해킹 기술이 경쟁하듯 등장하기 때문에 모든 걸 깊이 이해하기가 불가능하다. 어떤 교수는 디지털 신원과 전자화폐만 20여년 가까이 연구해오고 있으며, 지금도 그 연구가 계속 진행되고 있다고 말할 정도이다. 그런 교수님들이 한둘이랴. ‘보안’이라고 묶어서 말하기에 그 안에 있는 하위 항목들의 난이도나 깊이가 만만치 않다. 하찮은 보안 기자도 주말 동안 넋 놓고 있으면 감을 잃고, 알았던 신기술이나 규정을 잊어버리는데.

그러니 현장에서 ‘보안 전문가’들을 만나도 자기만의 전문 분야를 가지고 있지, 백과사전처럼 모든 걸 다 이해하고 할 줄 아는 사람은 아직 보질 못했다. 분명 어떤 질문에서는 ‘제가 그 부분은 아직 다 공부를 하지 못했습니다’하고 말한다. 법과 규정에 강한 사람이 있고, 공개된 특허 문건들을 취미처럼 열람하며 매체에도 등장하지 않은 신기술을 빠삭하게 꿰는 사람도 있다. 유럽 지역의 보안 문제에 특화된 사람이 있는가 하면, 북한 사정을 집중적으로 연구하는 사람들도 있다. 보안 용어와 용례에 민감하게 반응해 커뮤니티 전체의 혼란을 줄이고자 하는 사람도 있고, 보안은 전문가와 비전문가 구분할 것 없이 다 알아야 하는 것이라며 그 어려운 걸 쉬운 말로 풀이하는 데에 개인적인 시간을 기꺼이 투자하는 사람도 있다. ‘보안’이라고 묶어서 말하기엔 그 다양한 전문성과 노력이 아깝다.

정보보안은 그 변화무쌍하고 다변화된 분야의 특성상 전문가 자격을 주기적으로 새롭게 해야만 하는 제도가 필요해 보인다는 의견을 피력하면 돌이 날아오려나. 물론 그 어려운 시험을 매년 다시 치러야 한다는 건 아니다. 자격증 취득으로 일단 기본 바탕이 전문가라는 건 증명을 했다. 다만 안전을 위해서 소프트웨어 업데이트를 하라고 그렇게 외치듯, 내 자신도 업데이트 했다고 증명해야 하는 정도면 괜찮지 않을까. 현장을 장기간 떠나지 않았다는 증명을 하거나 CISSP 등 국제 보안 자격증 일부가 그러하듯 지정된 교육 과정을 이수했다고 주기적으로 증명하도록 의무를 부여하고, 제대로 시행되지 않을 때 자격을 만료시킨다면 어떨까.

자격이라는 건 ‘영원을 보장받을 때’ 문제를 자주 일으킨다. 왕의 자격이 대대손손 보장될 때 왕들은 부패하기 일쑤였다. 위에서도 언급한 두 대표적인 욕 먹는 직업군 역시 자격증 갱신 개념을 가지고 있지 않다. 아무리 등단을 화려하게 해도 평생 책 한 권 내지 않는 글쟁이를 작가라고 부르지 않는다. 1년 동안 고통 속에서 만든 식스팩처럼, 1월 1일에만 불타오르는 자발적 학구열처럼, 자격이라는 건 매일 새롭게 다져야 하는 개념에 가깝다.

충실한(‘자주’가 아니라) 소프트웨어 업데이트를 해주는 기업들에 더한 신뢰를 주듯, 깐깐한 갱신을 요구하는 자격증에 더 신뢰를 주고 더 뿌듯해하는 문화가 필요하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>