본 칼럼은 필자의 주관적인 생각이고 보안쪽에 모든 생각을 대표하지 않음을 밝힙니다. - 주인장 백
필자는 학부전공이 상경계열 출신이다. 이런저런 사정으로 IT에 발을 들여 놓은지 어언 15년째 되어간다. 그동안 무수한 기술의 발전이 있었고, PC통신시절 나우누리에도 한때 빠져 보기도 하였고, 처음시작시에는 윈도우3.1 시절에 IT업무를 그것도 비전공자가 하였으니 얼마나 무식했겠는가?
할수 있는 일이 없으니 PC납품부터 시작하였다. 그리고 A/S, 그 다음 네트워크, 유닉스, 리눅스, 윈도우 시스템관리 보안솔루션, 컨설팅 ,ISMS,PIMS까지 꾸준히 자신을 업그레이드 하면서 대학원에서는 정보호학 공부에 매진하여 전문성을 키우려고 노력을 하였다. 그렇게 세월이 흘러가다보니 이제 조금 보안이라는 것이 무엇인지 자신만의 생각을 정립할수 있는 나름대로 개똥 철학을 가지게 되었다.
SNS의 전신인 포털 카페를 운영하다보니 자연스럽게 여러가지 답변과 조언을 하게 되는 경우가 많은데 최근에 젊은이들의 취업이 힘들고 어렵다 보니 보안에 대한 이슈가 부각이되고 하여 많은 질문과 조언을 구하는 일이 많아졌다.
어제에도 33살 된 이제 막 보안에 입문하려는 여성과 통화를 하게 되었는데, 나이가 조금 있어서인지 신중함을 보이고 미래를 걱정하는 모습이 역력했다. 이야기 도중에 "필자가 내 인생도 내가 책임을 잘 못지는데 어떻게 타인의 인생을 이렇게 저렇게 감히 조언한다는 것이 어찌보면 불편한 진실일지도 모른다" 라고 말이다.
그것은 보안을 시작하는 비기너(Beginner)의 경우 대부분 어떻게 시작을 해야 하는지 그 시작점을 찾지 못하는 것이다. 차라리 학교에 전공을 선택하는 것이라면 학교 교육이라도 받으면 수업에 매진이라도 할수 있겠지만 이미 학교를 모두 졸업하고 이도저도 아닌 상태에서 미래에 대한 전망만 바라보고 시작하는 사람들에 대한 접근이다.
보안은 상당히 광범위 하다. 기술도 많고 해야할 것도 많고 그중에 하나가 빠른게 변화하는 기술의 발전을 따라가기 위하여 체력을 키워야 하는데 이는 나이가 들어감에 따라 민첩성이나 순발력이 떨어질수 밖에 없다., 혹자는 백발이 성성하도록 외국에서는 개발이나 프로그램을 하고 하는데 우리나라는 그렇지 못하는 것이 현실적이다.
우리는 현실을 직시할 필요가 있다. 자신의 어느포지션에 있는지 파악이 중요
그럼 비기너는 어떻게 시작해야 할까? 보안이라고 하면 기술적인 부분부터 먼저 떠 올리는 것은 당연한 것이라 생각을 한다. 기술적인 부분이 중요하다. 기술이 중요하지 않다는 이야기가 아니라,
자신이 어느 위치 어느포지션에 있는지를 현실적으로 잘 파악하는것이 더 중요하다는 것이다. 지금 현실적으로 기술적 접근이 어려움에도 불구하고 그것만을 고집을 한다면 자신의 운신의 폭은 그만큼 줄어 든다는 것을 염두해 두어야 한다.
연령별로 살펴본 보안접근 방법
만약 20대라면 정말 열정적으로 기술적인 부분에 한번 빠져보라고 권해주고 싶다. 기본적인 전반적인 이해는 결국 기술에서 시작을 하니까..20대에 자신이 의사결정을 내려야 하고 정책을 수립할 일은 그다지 많지 않으니까.
기술에 몰입할 수밖에 없는 환경적 구조로 이루어져 있다.
30대라면 이제 슬슬 자신의 필살기를 만들고 최적화 내제화 할 필요가 있다. 점차 자신이 롱런 할수있는 방법을 찾아야하고 자신을 브랜딩 할수 있는 방법을 찾아야 한다. 보안에 대한 범위가 워낙 광범위 하기 때문에 그 모든 것에 자신이 전문가 일수는 없는 것이다.
보안도
으로 나뉘어지고 IT보안은 다시 역할별로 본다면 러프하게
- 엔지니어
- 개발자
- 컨설턴트
- 정보보호관리자로 구분이 된다.
기술적으로 본다면
- 보안관제
- 보안 컨설팅
- 보안서트
- 악성코드분석/침해사고대응
- 보안솔루션개발
- 보안정책수립
- 보안교육
- 보안솔루션판매
- 보안포렌식
- 개인정보보호등
여러가지 갈래길에서 자신의 집중할 수 있는 곳을 찾아야 한다.
40대에서는 이제 관리쪽으로 방향을 잡게 된다. 그 이유는 말 하지 않아도 잘 알것이다. 물론 모두 그렇다는 것이 아니라 대부분 그렇게 흘러 간다는 것이다. 2-30대에게 40대 50대에 IT에 있으면 무엇을 하고 싶은가? 혹은 뭘 하고 있을까라고 질문한다면 대부분 보안컨설팅, 감리등 자신의 그동안 지식이나 경험을 토대로 하여 지식을 활용할수 있는 연령대에 역할을 하기를 원한다. 하지만 현실은 그리 녹녹치 않다는 것,.
왜냐하면 한가지 기술을 알기에도 많은 시간이 필요하고 다양한 경험과 노력이 필요하기 때문이다. 그 모든 것으로 보안이라는 전체 지식을 아우르기에는 많은 노력과 다양한 지식이 필요하다는 것이다.
필자도 나이가 어렸을땐 스폰지처럼 빨아 들이기 위하여 한 없이 노력을 하였다. 왜냐하면 잘 모르기 때문에 더 없이 노력하였다. 모르는 것은 창피한 것이 아니다. 차라리 모르면서 아는척 하는것이 더 부끄러운 일이라 생각을 한다. 그렇게 달려오다보니 세월이 흘러갔다.
그러다 우연히 관리체계라는 분야를 접하게 되었다. 말 그대로 조직이나 기업이 보안을 관리하려면 체계적인 관리시스템이 필요한 것이다. 이것은 프로세스요 시스템인 것이다. 이러한 시스템이 잘 갖추어진다면 담당자가 갑자기 퇴사하여도 매뉴얼을 통하여 숙지되고 진행되는 것이다. 어쩌면 대기업이 관리체계를 다루고 있지만 역으로 생각하면사람 이동이 많은 중소기업이 더 체계적인 관리가 시급한 것이다. 그렇게 인증심사도 해 보고, 체크리스트도 점검해 보고 자문도 해보고, 공부도 해보면서 하나의 공통점을 발견하게 되었다.
그것은 우리네 인생도 마찬가지라는 것이다. 자신의 목표와 비젼 그리고 인생의 삶의 목표가 무엇인지. 그리고 내가왜 사는지, 삶에 대한 정체성등이 혼란스러운 사람들은 바로 인생관리체계가 수립이 되어 있지 않기 때문이다. 필자는 이러한 측면에 도달을 하게 되자 보안이나 인생이나 위험관리(Risk Manangement) 하는 것은 그 맥락은 같다라는 생각이 든다.
다시 보안으로 돌아와 보자. 기술이 중요하다는 것은 누구나 모두 안다. 하지만 체계적인 관리가 없이 기업이 어떠한 방향으로 가야하는지, 어떠한 위험을 감수하고 어떠한 자산을 보호해야 하는지 명확한 근거 규정이나 체계적인 관리없이는 어떠한 기술도 임시적인 방편이 지나지 않음을 깨닫게 되었다. 그것은 수많은 자문을 통하여 경험을 통하여 내 인생을 통하여 알게된 깨달음이기도 하였다. 그에 대한 공통점은 역시 보안도 "사람"이 하는 것이라는 공통점이 내재 되어 있다는 사실이다. 그 기술도 사람이 만들고 그 관리도 결국 사람이 한다는 사실이다.
이러한 사람이라는 공통된 사실에 기반하여 기술만 강조하다보면 어떤식으로 나가야 할지 어떻게 정책을 진행해야 할지에 대한 부분이 갈팡질팡 임시방면 정체성혼란등을 가져오다가 결국 미흡한 부분이나 결함사항 또는 정보유출로 인하여 기업이나 조직경영에 막대한 피해를 고스란히 가져오게 된다.
그렇다고 정책만 나열해 놓고 기술적으로 소홀히 한다면 이또한 안되는 부분이다. 그것은 형식적인 문서나 문구에지나지 않는 정책을 많이 보기 때문이다. 최근 개인정보보호법으로 인한 내부관리계획수립이나 개인정보취급방침과 처리방침에 대한 것을 많이 접하게 되는데 100에 하나 또는 둘은 정말 잘 적용하는 경우를 본다. 그런 것을 접하면서 나또한 배우기도 하는데 대부분 형식적인 정책 문서에 지나지 않는다는 생각이 든다.
결론
보안은 기술일까? 정책일까? 에 대한 물음에 답은 딱 이것이다라고 정하기는 어렵다., 다만 두 명제 모두 사람이라는 공통점이 있다. 보안하면 기술이라고 하는 부분도 있지만 필자는 늘 보안=사람=교육이라는 나름대로의 명확한 기준을 가지고 있다. 그렇기에 너무 기술적인 부분에 치우치다보면 결국 나무만 보게되고 그것은 조직의 비지니스에 보안이 어떠한 역할을 하는지에 대한 숲을 보지 못하는 결과를 초래하게 된다. 넓은 시야를 가지는 것이 보안전문가로서의 자질과 역할이라고 생각이 들고 너무 기술적인 부분에만 얶메이지 않았으면 하는 바램이 있다.
그래야 먼 시간에 자신도 CIO, CSO , CEO 등 최고 의사결정의 자리에 올랐을때 그동안 준비해온 역량을 바탕으로 의사결정시에 흔들림이 없을 것이다. @엔시스.
2011_국내_정보보안산업_실태조사_최종보고서.pdf
