[보안칼럼]보안 전문가에게 필요한 소양

[보안칼럼]보안 전문가에게 필요한 소양

보안 전문가란 관련 지식을 일정 수준의 대가를 받고 관련 정보를 다양한 형태로 제공하는 직업인을 말한다. 보안전문가 소양은 직업인과 보안이라는 전문지식 보유자로서 소양이 함께 요구된다.

보안 및 기술 분야를 선망하는 많은 사람들이, 첫째로 오해하는 것 중 하나는 기술력만 뛰어나면 된다고 생각하는 문제다. 물론 아주 뛰어나면 그럴지도 모른다. 특히 모의해킹 분야 인력들은 상대적으로 그런 경향이 강하다.

현실에서 얼마나 많은 사람들이 오직 실력만으로 문제를 해결하는지는 모르겠지만 아마도 영화 등에서 그렇게 많이 다뤘기 때문이 아닐까 한다. 일을 잘하는 것과 전문 지식을 많이 아는 것은 조금 다른 관점에서 접근할 필요가 있다. 똑똑한 사람이 모두 일을 잘하지 않는 것은 생각해 볼 필요가 있다. 그러면 우리는 일을 잘하기 위해서 기업 또는 고객으로부터 무엇을 요구 받고 있는가.

특정 분야를 떠나 대다수 직업은 일을 시작할 때, 이른바 기안이라고 하는 문서로 시작해서 최종보고서로 끝이 난다. 따라서 문서 작성 능력은 매우 중요하다.

관련 구성원에게 충분한 이해와 설득을 구하기 위해 커뮤니케이션 능력도 반드시 필요하다. 물론 설명이 필요 없을 만큼 완벽한 문서가 가장 좋기는 하지만 문서 하나로 모든 일이 정리되는 것은 아니다. 이 때문에 커뮤니케이션은 지속적으로 발생할 수밖에 없다. 문서에 담기는 내용에 따라서 직업이 달라질 뿐이다.

근태 관리, 자세(attitude), 자기관리 등은 직장인의 필수 덕목이다. 최근 들어 이러한 부분을 파괴하고 보다 자유롭고 개인적인 업무환경으로 변화하는 노력이 있지만 마음가짐과 자세는 손해 볼 일이 없는 소양이다. 주변인과 함께 살아가는 일상에서도 필요한 부분이다. 따라서 좋은 보안 전문가가 되려면 먼저 좋은 직업인이 돼야 한다.

보안 전문지식을 보유한 인재 관점에서 고민해 보자. 보안 분야는 영역이 다양하다. 교육, 개발, 컨설팅, 관제, 침해사고 대응 등 다양한 분야가 존재한다. 보안이라는 큰 틀에서 보면, 위의 모든 분야는 내외부의 악의적인 사용자로부터 자산을 보호하려는 기본 목적은 동일하다. 따라서 업무적 소양 이외에 다음과 같은 소양이 추가적으로 보완되면 보안전문가로서 최고의 인재가 될 수 있다.

가장 중요한 것은 책임감과 소명의식이다. 보안은 모든 공격을 예측하기 어렵고 방어가 불가능하다는 대전제가 있다. 보안전문가는 더욱이 이에 대한 책임감과 소명의식이 커야 한다.

완벽이 없다면 최선이 필요하기 때문이다. 이는 단순히 직업인의 마인드를 넘어서야 할 때가 많기 때문이다.

둘째는 전문지식이다. 보안 관련 기술은 발전 속도가 매우 빠르다. 특히나 방어 측면보다는 공격 측면의 공격 발전 속도가 더욱 빠르고 파급 효과는 매우 크다. 일정 수준 이상의 지식을 지속적으로 연마해야 하며 새로운 정보에 늘 목말라해야 한다. 많은 분야가 그렇지만 보안 분야도 평생 공부를 해야 한다.

셋째는 배려심과 이타심이다. 서비스를 사용자 입장에서 보면 보안은 자신이 이용하는 서비스에서 티내지 않도록 보안요소가 존재하는 것이 바람직하다. 늘 하던 대로 하면 되는 것이 가장 편하고 익숙하기 때문이다. 다만 불편함에 익숙해져서 익숙함을 말하는 것은 아니다.

불편함은 편리함으로 개선돼야 하는 게 당연하다. 하지만 대부분의 보안은 업무를 불편하고 하고 더디게 한다. 매우 많은 프로그램을 설치하도록 유도하면서 사용자에게 많은 스트레스를 유발시키기도 한다. 보안을 적용한다는 것은 사용자로부터 많은 불평과 불만을 감당해 내야 한다. 지속적으로 사용자에게 설명하고 설득해야 한다. 상대방에 대한 끊임없는 배려심과 이타심이 요구된다.

마지막으로 윤리의식이다. 윤리의식은 보안이라는 업무를 수행하는 사람이 반드시 가져야 할 덕목이다. 자산과 정보에 가장 가까이 있는 보안전문가는 이를 악용했을 경우 그 피해가 몇 십 배나 커질 수 있기 때문이다. 최근 윤리의식 부재로 인한 사건사고가 자주 발생한다. 이는 단순히 교육적인 측면을 넘어서 사회 전반의 가치와 맞물려 있다.

결론적으로 보안 전문가는 직업인으로 다양한 소양 이외에도 중요 정보와 자산에 밀접한 관계를 맺고 있어 다른 소양까지 요구된다. 어느 분야나 그렇듯이 타고나는 소양이 있는가 하면 열심히 노력해서 만들어 가야 할 소양도 있다. 대한민국의 사이버 역량이 더욱 강화될 수 있도록 훌륭한 보안 전문가 지속적으로 배출되기를 기대한다.

황석훈 타이거팀 대표 h9430@tigerteam.kr