정보보호 분야 교육홍보 정책 괜찮은가?

 먼저 저는 약 4년간 정보보호관련 공부와 강의를 수강해온 학생 중 한명입니다.
 정보보호에 관심을 가지면서 공부를 시작하는 분들께 저의 개인적인 생각과 충고들을 적어볼까 합니다.
 정보보호 분야에 뛰어 들기전, 이 분야를 얼마나 알고 있는지에 대해 객관적으로 자신을 평가해 보시길 바랍니다.
 글 내부 모든 내용들은 개인적인 생각입니다.
 글은 JohnG's HackBox와 공동 기제 되고 있습니다.

 2005년 "향후 정보보호 유망직종 1위" 포스트. 현재 "향후 정보보호 유망직종 1위" 포스트.
 중요 포인트 : 1위 예상....."예상!"

 2005년 대학에 입학하기전 "향후 정보보호 유망직종 1위"라는 내용을 접할 수 있었습니다.
 영화속의 해커 라는 존재, 지금껏 알던 내용과 전혀 다른 분야를 알고 싶은 욕심, 아주 전문적인 사람으로 평가될만한 직업 등. "정보보호 전문가"라는 직업은 상당히 매력적으로 다가왔습니다.

 저 역시 "향후 정보보호 유망직종 1위"라는 포스트에 동의합니다. 모두가 높은 연봉과 편안한 직업을 원하면서 정보보호전문가 혹은 관리자가 그렇게 보이기 때문이죠. 하지만 누군가가 편하고 쉬운 업무라고 알려준 사람이 없는데 저 스스로 왜 그런 생각이 들었는지 모르겠습니다. 의심해볼만한 부분은 영화와 같은 미디어로 부터 이런 생각이 파생되지 않았나 추측해 볼 뿐입니다.

 향후 정보보호 유망직종이 된다는것은 그만한 이유가 있습니다. 기업의 중요 핵심기술을 외부로 유출되지 않도록 보호하는것이 기업의 존망에 크나큰 영향력을 행사하며, 그외 보안 측면으로 업무를 효율적으로 관리할 수 있도록 하고 일에 대한 책임을 명확하게 구분할 수 있는 지표가 될 수도 있기 때문입니다. 하지만 기업에 정보보호전문가를 채용할 조건을 가지려면 기업의 업무가 그만큼 봅잡하고 기술력이 높아야 합니다. 대기업들은 충분히 납득할 만한 실력자를 채용하고 있습니다. 일반적인 대기업 취업과 대기업 보안관리자로 취업하는것은 분명 채용 기준이 다를것입니다. 그만한 책임이 주어지므로 좀더 까다롭게 지식과 경험들을 평가할 것입니다.

 정보보호 유망직종이 될것을 예상하는 다른 이유도 있습니다. 중소기업에서의 정보보호전문가가 그것입니다. 중소기업 역시 세계적인 기술력을 가지고 있는곳이 많습니다. 또한 앞으로도 계속 생겨날것을 희망하고 있습니다. 하지만 정보보호 관리자를 채용하는데에 그만한 인건비를 지불하는 중소기업이 얼마나 되겠습니까? 주변 지인이나 각종 포털 사이트의 답변글에 확인해보면 네트워크 관리자, 서버관리자 등등 보안은 아니지만 IT에 종사하시는 분들이 자기 개발을 통해 정보보호 업무를 함께 하신다는 글이 보입니다.
 기업의 입장에서도 당연히 현직원에게 연봉을 올려주면서 새로운 인력을 뽑지 않는것이 이윤이 남을것이기 때문입니다. 정리하자면 연관성이 높은 서버관리자, 네트워크 관리자, 프로그래머 등등 IT업계에 종사하시는 분들이 정보보호 분야로 전향하더라도 크게 불리한 조건이 아니라는것입니다 하지만 처음부터 보안관리자로 들어가기 위해 보안공부를 시작하신다면 다시 한번 생각해 보시길 바랍니다.
 또한 "향후 정보보안 유망직종 1위"에 대한 글이 얼마나 현실성을 가지고 있는지에 대한 생각을 개인적으로 다시 한번 분석해 보아야할 것입니다.


정보보호 분야 업무의 이상
악성코드 분석가, 모의 해커, 보안정책, 서버관리자, 네트워크관리자, 보안관리자, 서트, 침해사고대응팀, 보안 관제, 보안 프로그래머 등등

 보안 분야가 정보보호관리자에만 한정되어 있지는 않습니다. 위의 글을 통해 정보보호관리자에 대한 내용이 많았던 이유는 일반적으로 보안업무를 보는 사람을 이런 보안관리자로 보기 때문입니다. 저 역시 사내보안관리자를 꿈꾸면서 진로를 바꾼 케이스 입니다. 대학 입학과 함께 사내 보안관리자에 기대을 품었지만 적성, 흥미, 공부량 등에 영향으로 악성코드 분석 분야로 준비하고 있습니다.

 정보보호 분야 업무를 세분화 한다는것은 각 개개인의 차이가 있을 수도 있습니다. 하지만 공통적으로 보안 뿐만 아니라 IT분야는 시스템의 기본적인 기능과 활용성들을 이해해야 좀더 고급스러운 업무와 매끄럽게 사건을 해결할 수 있을 것입니다.

 가끔 "컴퓨터는 거짓말을 하지 않는다"라는 글이 나오곤 합니다. 물론 해석하는 사람에 따라 다르겠지만 저는 이 글에 상당히 신용하고 있습니다. 이유는 간단합니다. 시스템은 인간과 같은 "생각"이라는 것을 하지 않고, 입력한 명령 이외의 행동을 한다면 그만한 이유가 명확히 존재 하기 때문입니다.
 저는 항상 공부를 해오면서 의문형을 잘 가지지 않습니다. 시스템은 거짓할 하지 않기 때문이죠. 어떤 사건이 "일어날 수 밖에 없다." 라는 납득 가능한 이유를 찾을 뿐입니다.

 제가 설명하는 핵심은 "어떻게 일어날 수 밖에 없는 이유를 찾는 능력을 개발하느냐", "어떻게 새로운 신 기술을 개발 하느냐"  입니다.
 이 역시 간단합니다 가장 기본적인 시스템과 네트워크의 기본 부터 차근히 알아가야 하는것입니다. 아주 기본적이지만 완벽히 알기로는 힘든 일이기도 합니다. 또한 IT분야 발전의 이유가 포함되어 있는 이유로 시대 흐름별 정리도 상당히 도움이 될것입니다.

보안을 준비하는 분들께

 간단하게 보안을 준비하는 분들을 분류해보면 보안에 관심 많은 (예비)대학생, 다른 업종에 종사하시다가 IT로 전향하신분, IT업무 중이지만 자기 개발을 통해 보안을 공부하시는 분 등 입니다.
 IT에 종사하시는 분들은 보안 분야가 얼마나 좁은지, 얼마나 준비를 해야 하는지에 대해 아실 것입니다. 하지만 보안 분야에 처음 접해보시는 분들은 겉으로 알고 있던 내용만 믿고 있다가 크게 실망할 수 있을 것입니다.
 분명히 고수익에 유망하다고 광고되어 있지만 실제 그러지 않는 부분도 상당히 많다는것을 미리 알아 보셔야 합니다. 점진적으로 자기개발을 하면서 최종적으로 올라갔을 경우에 겉으로 설명해오고 있던 고수익 업무가 될것입니다. 하지만 그만큼의 책임도 부여 되므로 편안한것은 개개인의 차이가 될 수 있겠습니다.

 제 개인적으로 지금껏 정보보호관련 흥보들을 바라보면 너무 희망적이고 몽환적인 내용들이 많지 않은가 하는 생각이 듭니다. 물론 희망적인 내용들이 많으면 그만큼 인력이 많아 질 것입니다. 하지만 반대로 사회적 실망감도 함께 일어날것임을 알아야합니다. 누구나 IT를 통해 성공하지는 않습니다. 끊임 없는 자기개발을 통해서만 성공할 확율이 높지 않을까 생각합니다. 또한 이러한 내용들은 현업에 계신 분들에게 중요하지만, 보안을 준비하시는 분들에겐 좀더 특별한 의미로 중요하지 않을까 생각됩니다. 읽고 계신 모든 분들이 올바른 시각으로 보안을 바라보시기를 희망합니다.