보안 관련한 직무를 생각하고 있다면 다음의 8가지 조언을 염두해두길 바랍니다.
비단 보안직무군에만 해당한다고는 생각하지는 않습니다. 어떤 직무를 갖던지 간에 염두해야 할 사항이라고 생각합니다.
1. 대학원은 학문의 깊이가 아니라, 생각의 지평을 넓혀준다.어딘가에서 학사, 석사, 박사를 빗댄 글을 봤습니다.
어렴풋이 기억하기로는 "학사는 바퀴벌레를 공부하고, 석사는 바퀴벌레 뒷다리를 연구하고, 박사는 바퀴벌레 뒷다리의 세번째 발가락을 연구하는 사람이다."
이 말은 석사, 박사로 갈수록 넓게 공부한다기 보단 하나의 연구 주제를 가지고 깊게 탐구하고, 자신만의 연구 방법을 통해 가치를 창출해 나간다는 의미로 해석해 볼 수 있습니다. 이 말의 함의는 바퀴벌레를 완전히 파악하고, 바퀴벌레의 모든 것을 아는 것이 목적이 아니라바퀴벌레를 파악해 나가는 방법론의 학습이 더 중요하다는 것입니다.
현재는 "많이 아는 것"을 지향하는 시대가 아닙니다. 빠르게 변화하고 방대한 지식이 범람하는 시대에서 "전문가"라 함은 "생소한 것"을 빠르게 파악하고 필요한 부분을 전문적인 관점에서 도출해내고, 유의미한 정보로 재가공할 수 있는 사람을 말하며, 우리는 이러한 전문가를 지향해야 합니다.
보안은 빠르게 변화하고, 새로운 위협이 지속적으로 고도화되는 전문 영역입니다. 새로운 위협에 대응하여 보안 대응 방안을 수립하기 위해서는 이러한 전문가가 되어야 합니다. 이런 측면에서 대학원은 이러한 전문가가 되기 위해 필요한 생각의 지평을 넓혀주고, 연구 방법에 대한 능력을 길러줄 수 있다고 생각합니다.
2. 자격증은 목적이 아니라, 수단이 되야 한다.흔히 자격증은 덤프나 학원을 통해 쉽게 취득이 가능하다고 알고 있으며, 시간 대비 효과적으로 취득을 하고자 합니다. 하지만 이런 측면에서의 자격증은 효과가 없거나 매우 적을 수 밖엔 없습니다.
능력이란 것이 눈에 보이지 않으니 취업이나 이직 시에 자격증은 매우 효율적으로 나의 능력을 나타내는 수단이기는 합니다. 그러므로 지양하기보다는 궁극적인 공부의 목표 달성을 위하여 활용할 줄 아는 지혜가 필요합니다.
보안은 매우 넓고 방대한 영역이기에 정확한 공부의 방향성이 있어야 하며, 비즈니스 전체에서 보안을 조망할 수 있어야 합니다. 이런 측면에서 자격증은 핵심적인 부분을 효과적이고 함축적으로 전달해주며, 초심자에게는 방향성을 제시해주기에 적합하다고 생각합니다.
3. 개인공부의 로드맵을 관리한다. 계획없이 혼자 공부를 하다보면, 때로는 흥미에 따라 때로는 진도에 쫓겨 편향적으로 흐르기 쉽습니다. 이렇듯 공부는 매우 장기적이고 지루한 나와의 싸움입니다.
그렇기 때문에 힘들 때마다 나를 일으켜 세우기 위해 동기부여를 자주 고취시켜야 하며, 방향을 잃지 않기 위해 나만의 등대를 세워야 합니다.
회사의 운영을 위해서만 전략이 필요한 것이 아닙니다. 자신의 개인 공부를 위해서도 로드맵과 전략이 필요합니다.
특히 보안은 공부해야 할 분야도 많고 복잡합니다. 보안은 관리, 정책, 기술 등 여러분야가 결합되어 시너지를 발생하는 분야입니다. 그러므로 균형 잡히고, 방향성이 있도록 보안 공부의 밸런스를 유지함으로써 지루한 나와의 싸움에서 승리할 수 있을 것이라 생각합니다.
4. 컨퍼런스, 세미나 참석으로 밸런스를 유지한다."논어"에는 ‘배우기만 하고 생각하지 않으면 얻은 것이 없고, 생각만 하고 배우지 않으면 위태롭다.’라는 말이 있습니다. 이 말의 숨은 뜻은 배우기만 하고 생각하지 않으면 더욱 어리석어지고, 생각만 하고 배우지 않으면 전혀 발전이 없다라는 말입니다.
배우기만 하고 실무에 적용하지 않으면 그게 살아있는 지식일까요? 보안은 이론으로만 배우면 학술적으로 흐르기 쉽고, 보안은 비즈니스 상에서 존재하는 영역이기 때문에 살아있는 지식일리 없습니다. 책에만 있는 보안이 점차 고도화되고 정교해지는 위협에 적절한 대응이 될까요?이론에 치우쳐있는 동안 당신의 기술은 책 속에만 존재할 가능성이 큽니다. 이와 같은 문제를 해결하기 위하여 보안을 공부하는 사람은 정기적으로 컨퍼런스, 세미나에 참석해서 실무를 반영한 살아있는 지식을 배워야 합니다.
이런 측면에서 컨퍼런스와 세미나는 짧은 시간 동안에 전문가들의 지식과 최신의 동향을 파악할 수 있는 매우 좋은 기회입니다. 더군다나 무료로 밥도 먹고, 선물도 탈 수 있고, 많은 전문가들과 교류할 수 있으니 이보다 더한 기회가 있나 싶습니다. 많은 인맥과 전문가들과의 교류를 통해 시너지를 내는 지혜로운 보안 인재가 되길 바랍니다.
5. 나만의 커리어 패스를 구체화한다. 목표가 없다면 어렵게 세운 동기 부여는 흩어지고, 매년 새해마다 세운 나의 계획은 무너지기 쉽상입니다. 또한 초심자라면 어디서부터 어떻게 공부를 해서 어려운 취업의 문턱을 넘을 수 있을지 많은 고민이 될 것이라 생각됩니다. 물론 공부는 재미있어야 한다고 합니다. 하지만 재미만을 추구한다면 현장에서 필요로 하는 인력이 될 수 있을까? 하는 의문도 듭니다. 산업에서 요구하는 인력이 되기 위해서는 기업의 입장에서 자신을 되돌아봐야 합니다.
이런 측면에서 취업을 원하는 사람은 채용공고를 수시로 확인하고 자신만의 커리어 패스를 구체화시키며 취업을 준비해야 합니다. 또한, 보안전문가로써 성장하는 사람들은 단기적인 계획이 아니라 장기적인 커리어 플랜을 세워야합니다. 이를 통해 궁극적인 목표를 세우고, 목표를 성취하기 위한 서브 계획들을 구체화 시켜 나가는 노력들이 필요합니다.
이런 측면에서 자신만의 커리어 패스 관리는 이제 선택이 아닌 필수라고 생각합니다.
6. 다양한 활동으로 융합적 사고를 길러야 한다. 참 요새 많이 듣는 이야기이고, 참 뻔한 이야기입니다. 하지만 그럼에도 융합적 사고는 참으로 중요합니다. 보안이란 모든 위협과 리스크는 정량적으로 수치화 해서 측량이 가능한 형태로 표현해야 하며, ROI를 계산해서 합리적인 선택을 하며, UX(사용자 경험)를 토대로 고객 중심적인 사고를 지향하며, 능동적인 보안 서비스를 지향해야 합니다. 이 말의 뜻은 보안전문가가 되기위해서는 기술적인 보안 뿐 아니라, 다양한 영역에의 지식을 가지고 융합적 사고를 해야 한다는 의미입니다.
보안은 결국에는 공격자와 자산을 지키려는자로 나눌 수 있습니다. 결국은 사람에 의한 위협이라는 말입니다. 이러한 측면에서 인문학을 공부하는 것은 보안을 이해함에 있어 의미가 있다고 할 수 있겠습니다. 또한, 보안은 기술적 결함보다도 내부적인 통제 약화나 관리적인 결함 때문에 더욱 심각한 위험을 초래합니다.
내부적인 통제의 강화를 위해 조직의 협조를 유도하고, 관리적인 결함을 최소화하기 위해서 조직원의 동기부여를 고취하기 위해서 사람을 이해하려는 노력과 다양한 융합적 사고를 길러 사람을 지향하는 보안전문가가 되길 바랍니다.
7. 영어에 대해선 더 강조할 필요가 없다. 국내 보안산업이 힘들다는 이야기는 많이 들어보았을 것이라고 생각합니다. 물론 보안산업 뿐 아니라 국내 산업 모두 글로벌 경쟁이 심화되고, 내수부진으로 인해 많이 힘듭니다. 또한, 한국은 미국과 1.6년~1.7년의 기술격차가 존재한다고 합니다. IT 강국이라고 말하지만 아직 원천기술의 R&D 투자도 많이 부족하고, 인프라에 비해 기반기술의 확보는 저조한 실정입니다. 요즘 경제대국으로 부상하고 있는 중국도 우리나라와 기술 격차가 고작 1년에 불과하다는 연구결과도 있습니다.
점점 IT 강국으로서 기술경쟁력을 갖고 있던 한국의 모습은 찾아볼 수 없습니다. 더 이상 국내에서 판로를 개척하고 경쟁력을 강화하기엔 세상은 빠르게 변화하고 있습니다.
이런 측면에서 영어를 통해 국제 무대로 활로를 모색해야 할 때라고 생각합니다. "영어를 굳이 해야 할까? 나는 기술만 하면 되지." 하고 아직도 생각하는 사람이 있다면 지금은 1~2년 뒤처진 기술을 배우고 있지만 향후에는 5~6년이 지난 책 속의 기술만 접하게 될 것입니다. 바로 선구자들이 번역해 놓은 오타로 가득한 한글 번역판 책으로 말입니다.
보안은 빠르게 변화하는 영역 중에 하나입니다. 누가 닦아놓은 길이 아닌, 자신의 길을 닦으며 전진할 수 있는 보안전문가로 성장하길 바랍니다.
8. 할 수 있는 것, 하고 싶은 것, 해야만 하는 것을 구별해라. 보안은 혼자 할 수 없고 매우 방대한 영역이기 때문에, 방향성 있게 공부하기 위해서는 내 시간을 효율적으로 다스릴 줄 알아야 합니다. 그렇기 때문에, 할 수 있는 것과 하고 싶은 것, 해야만 하는 일을 나눠야 합니다.
사람은 보통 하고 싶은 일을 먼저 하기 때문에, 시간을 낭비하거나 방향성을 잃고 좌초하기 쉽상입니다. 또한 자신의 능력을 과대평가하여 할 수 없는 일에 도전하여 시간을 뺏기거나 실의에 빠져버리기도 합니다. 그렇기 때문에 자신이 할 수 있고, 해야만 하는 일을 찾아 해야 합니다. 이런 일이 내가 하고 싶은 일과 겹친다면 금상첨화일 겁니다.
결론이야기를 하다보니 포인트가 몇개로 중복됩니다.
- 보안은 방대하기 때문에 효율적으로 공부해야 한다.
- 융합적인 사고를 통해 조화로운 인재가 되야 한다.
- 전문가는 "지식"이 아니라 "태도"가 중요하다.
쓰고 보니 어디서 들어봤음직한 뻔한 이야기가 되버렸지만, 보안 관련 일을 하는 사람으로써 중요하다고 생각하는 포인트를 말씀드렸습니다.
도움이 됐으면 좋겠습니다.
저자: 이찬우, 한빛리더스