보안 직무, 어떻게 공부하고 준비해야 할까요?

안녕하세요, 멘티님. 반갑습니다. 프로필을 보니 학점도 좋으시고 영어도 잘하시고, 너무 열정적이시네요. 그럼 질문에 답변드리도록 할게요.

ⓒPixbay

먼저 제가 어떻게 보안 직무를 시작하게 되었는지를 물어보셨는데요. 저도 보안 쪽 일을 하게 된 사연이 길어요. 일단 학부 때 보안 동아리를 했고요. 군대 업무를 보안 쪽으로 했어요. 군대 생활하면서 공군 보안 방어 대회 같은 것도 나가봤고요.  

 

그러다 4학년에 전자 회사인 L 사의 인턴 면접을 보게 되었어요. 그때 면접관분들이 판단하셔서 L 사 보안팀에 근무하게 되었죠. 하지만 소질에 잘 안 맞는 것 같아서 대학원에 진학하고 석사 전공을 소셜 데이터 분석 쪽으로 돌렸어요. 공부하는 게 재미있고, 제게 맞는 적성 같았거든요.

 

그 이후 박사를 고민하다가 여러 군데 기업을 써봤고요. 결국 금융결제원에 가게 되었는데, 제가 하던 전공 관련 팀이 없어서 취약점 분석 쪽으로 오게 되었어요. 아마 제가 정말 데이터 쪽으로 가고 싶어서 회사에 들어갔다면, 지금은 그 업무를 하고 있었을 거예요.

 

10년의 이야기인데 짧게 요약하려다 보니 눈에 안 들어올 수도 있겠네요. 어쨌든 제 결론은 사연보다는 본인의 의지와 선택이 중요하다는 거예요. 멘티님도 어떤 계기로 보안 쪽을 진로로 설정하셨는지 곰곰이 생각해 보시면 좋을 거 같네요.

ⓒstructuresxx

동호회 등에서 공부하며 재미를 느끼는 부분을 찾으세요

두 번째 질문에서는 보안 분야에 대해 물어보셨네요. 다른 직무와 비슷하게 보안에도 여러 분야가 있는데요. 자신과 잘 맞는지 확인하려면 미리 어느 정도 공부하시면서 파악하거나 실제로 업무를 하면서 터득해야 해요.

 

참고로 분야에 대해서 간단히 분류해 보면 이 정도가 될 거예요.

- 취약점 분석 평가 컨설팅 (모바일, 웹, 인프라에서 보안 취약점 찾기)

- 악성코드 분석 (랜섬웨어 및 악성 프로그램 분석해서 동작 원리 찾기)       

- 보안 관제 (들어오는 공격 패킷을 주기적으로 관찰 분석)

- 블록체인 등 최근 핀테크 관련 기술 동향 파악 및 연구

 

저는 독학이나 동호회 등으로 공부하시면서 어떤 분야가 맞는지 파악하시는 걸 추천드려요. 예를 들어, 리버싱하면서 문제 찾는 게 상쾌한 기분이 들면서 재밌다고 한다면 당연히 악성코드 분석 쪽이 유리할 거예요.

 

그다음으로는 자격증에 대해 질문 주셨는데요. 이건 간단히 말씀드릴게요. 신입으로 입사하기 위한 자격증으로는 정보보안기사를 꼭 취득하시면 좋겠어요. 국가 자격증이고 난이도도 있어서 어디에서도 단점은 되지 않거든요.

 

그리고 보안 분야에서는 리눅스 마스터나 CCNA 등보다는 정보보안기사 취득 후 *CISSP를 취득하는 게 더 좋아요. 면접관이 좋게 평가하거든요. 또 해보면 좋은 활동에는 당장 들어가기에는 시간이 걸릴 수 있지만, 해킹 관련 동아리나 그룹들이 있어요.

 

한 가지 더 말씀드리면, 공부하실 때는 책보다는 모의 연습 사이트(리버싱 연습 사이트/웹 해킹 연습 사이트)에서 공부하는 게 좋습니다.

 
ⓒampcool

마지막 질문에서는 반드시 보안 관제부터 시작해야 하는지 물어보셨네요. 일단 면접에서 들으셨다는 말은 좀 과도한 표현이라고 생각해요. 그러니 크게 신경 쓰지 않으셔도 될 거 같아요. 저도 지식이 없었지만, 취약점 분석부터 시작했으니까요. 그리고 신입들은 아무래도 지식이 부족하니 어쩔 수 없이 ‘맨땅에 헤딩’해야 하는 것도 사실이에요.

 

한편으로는 면접관의 시각에서도 생각해 볼 필요가 있어요. 어쩌면 근본적인 문제이기도 할 텐데요. 예를 들어 A와 B가 포렌식 분야에 지원했다고 가정해 볼게요. 포렌식 담당 면접관은 해당 분야를 5~10년 이상 한 사람이에요. A는 신입사원에 포렌식 관련 지식은 없는 반면, B는 석사 전공을 포렌식으로 하고 전 회사에서도 포렌식 업무를 했어요.

 

그러면 면접관 입장에서는 어떨까요? 당연히 B가 나이가 많아도 B를 뽑을 수밖에 없어요. 본인 팀에 도움도 되고 즉시 쓸 수 있으니까요. A를 선택할 수도 있지만, 어느 정도 수준으로 올리려면 시간이 걸리죠.

 

신입도 어느 분야에 지원하려면, 그 분야에 대해 어필을 할 만한 뭔가가 있어야 해요. 하지만 대학생은 학점을 따고 대외 활동을 하기도 바쁘죠. 이게 딜레마에요. 참 어렵죠. 하지만 필요한 것도 사실이에요.

 

일단은 멘티님도 관심 분야를 여러 개 선택해서 ‘내가 어필을 할 수 있는 부분’을 분야마다 적어 보세요. 그럼 어느 분야가 자신에게 최적인지 보일 거예요.

 ⓒAlexxndr

끝으로 제가 멘티님의 입장이라면 어떨까 하는 생각을 하며, 추천할 만한 준비 방향을 정리해 봤어요. 아래 내용을 참고하면 좋을 것 같네요.

 

1. 정보보안기사 자격증을 꼭 취득하세요. 보안에 대한 관심을 어필하기 좋아요.

2. 학점과 토익이 높으시니 공기업, 금융권 지원이 유리해요.

3. 국비 지원 보안 과정을 자소서에 녹여서 보안 지식에 대해 관심 있음을 어필하세요.

4. 인적성 대신 전산 전공 필기시험을 공부하세요. 추후 면접에서도 많이 도움 됩니다. 한국은행, 금감원, 거래소, 금결원 등 공기업에서 보는 전공 필기시험을 참고하세요. 

5. 지원하시는 부서와 팀에 대한 이해를 높이세요. 특히 자소서에서부터 내 역량과 팀에서 하는 일이 맞는다는 점을 중점적으로 드러내야 해요.

 

예를 들면 이런 식으로 작성할 수 있어요. ‘금융보안원에서 취약점 분석 평가를 하고 싶습니다. 저는 학부 시절 국비 보안 과정과 정보보안기사를 취득하면서 SQL 인젝션 등에 대한 애플리케이션 취약점을 연습해 볼 수 있었습니다. 최근 비대면 실명 인증 및 챗봇 등 사용자들이 사용하기 편한 기능들이 새로 추가되면서, 이에 대한 보안 위협 또한 증가하는 것으로 알고 있습니다. 저는 평소 최신 기술들에 대해 관심이 있었고, 이 기술들을 제가 가진 지식을 토대로 평가해 보고 싶습니다’

 

멘티님이 고민을 많이 하고 계신 것 같은데, 제가 볼 때는 학점이나 영어, 노력 전부 만점이에요. 그러니 어느 분야를 하고 싶은지 방향만 잘 잡아주시면 될 것 같아요. 연봉이나 안정성이 우선이면 은행이나 공기업이 좋아할 만한 요소를, 관련 연구를 해보고 싶다면 대학원이나 연구소, 기업에서 좋아할 만한 요소를 준비하면 될 거예요.

 

그럼 답변이 되었길 바라요. 부족한 부분은 또 질문 주시고요. 하시는 일에 좋은 결과 있길 바랄게요. 힘내세요.

 

*CISSP : 국제공인 정보시스템 보안전문가(Certified Information Systems Security Professional)는 국제정보시스템보호인증협회(ISC)에서 독립적으로 운영되는 정보보호 인증 자격증이다.