멘토님, 안녕하세요. 보안 직무를 희망하고 있는 취준생입니다. 이 직무와 관련해 궁금한 내용 무척 많은데요. 질문은 아래에 정리를 해 보았습니다. 

 

1. 저는 대학에 입학할 때부터 이끌리듯이 보안 쪽으로 진로를 정해야겠다고 생각했습니다. 그런데 대학교 3학년 말에 진로에 대한 의문이 들었어요. 나는 왜 보안으로 가고 싶을까라는 질문을 하게 되었죠.

 

혹시 멘토님은 어떤 계기로 이 직무에서 일을 하게 되셨는지 여쭤봐도 될까요? 최근에 면접을 보다가 든 고민인데, 혹시 보안으로 취직하려면 뜻깊은 남다른 사연이 있어야 하는 걸까요?

2. 보안 쪽도 분야가 다양한데, 구체적으로 어떤 분야가 있는지 알고 싶습니다. 그리고 제가 어떤 보안 분야와 잘 맞을지는 어떻게 알 수 있을까요?

 

3. 보안 관련 공부를 어디서부터 시작하는 게 좋을지 고민인데요. *CCNA 같은 자격증이 필요한지 궁금합니다. 만약 그렇다면 어떤 자격증들을 우선적으로 가지고 있으면 좋을지 추천 부탁드려요. 또 하면 좋은 활동에는 무엇이 있을까요?

 

4. 저는 컨설팅이나 교육, 포렌식 쪽 일을 하고 싶습니다. 그래서 그동안 컨설팅 쪽 신입으로만 지원했는데요. 어느 회사 면접관분이 ‘겁도 없이’라는 표현을 쓰시더라고요. 보안을 시작할 때는 무조건 보안 관제부터 시작해야 하는 것인가요?

 

그리고 한번은 제가 그룹 면접을 본 적이 있는데요. 면접관께서 빅데이터 쪽 근무를 했던 지원자를 꺼리셨어요. 혹시 보안 분야 사이의 장벽이 높은 편인가요? 제가 원래 하고 싶던 컨설팅 등으로 계속 지원해도 괜찮을지 걱정이 됩니다.

 

질문이 많은데 들어 주셔서 감사합니다. 멘토님의 답변 기다릴게요.

 

*CCNA : 네트워크 구성 및 설치 운영 능력을 검증하는 CISCO 사의 네트워크 기초, 기본 자격증이다.

안녕하세요, 멘티님. 반갑습니다. 프로필을 보니 학점도 좋으시고 영어도 잘하시고, 너무 열정적이시네요. 그럼 질문에 답변드리도록 할게요.

먼저 제가 어떻게 보안 직무를 시작하게 되었는지를 물어보셨는데요. 저도 보안 쪽 일을 하게 된 사연이 길어요. 일단 학부 때 보안 동아리를 했고요. 군대 업무를 보안 쪽으로 했어요. 군대 생활하면서 공군 보안 방어 대회 같은 것도 나가봤고요.  

 

그러다 4학년에 전자 회사인 L 사의 인턴 면접을 보게 되었어요. 그때 면접관분들이 판단하셔서 L 사 보안팀에 근무하게 되었죠. 하지만 소질에 잘 안 맞는 것 같아서 대학원에 진학하고 석사 전공을 소셜 데이터 분석 쪽으로 돌렸어요. 공부하는 게 재미있고, 제게 맞는 적성 같았거든요.

 

그 이후 박사를 고민하다가 여러 군데 기업을 써봤고요. 결국 금융결제원에 가게 되었는데, 제가 하던 전공 관련 팀이 없어서 취약점 분석 쪽으로 오게 되었어요. 아마 제가 정말 데이터 쪽으로 가고 싶어서 회사에 들어갔다면, 지금은 그 업무를 하고 있었을 거예요.

 

10년의 이야기인데 짧게 요약하려다 보니 눈에 안 들어올 수도 있겠네요. 어쨌든 제 결론은 사연보다는 본인의 의지와 선택이 중요하다는 거예요. 멘티님도 어떤 계기로 보안 쪽을 진로로 설정하셨는지 곰곰이 생각해 보시면 좋을 거 같네요.

동호회 등에서 공부하며 재미를 느끼는 부분을 찾으세요

두 번째 질문에서는 보안 분야에 대해 물어보셨네요. 다른 직무와 비슷하게 보안에도 여러 분야가 있는데요. 자신과 잘 맞는지 확인하려면 미리 어느 정도 공부하시면서 파악하거나 실제로 업무를 하면서 터득해야 해요.

 

참고로 분야에 대해서 간단히 분류해 보면 이 정도가 될 거예요.

- 취약점 분석 평가 컨설팅 (모바일, 웹, 인프라에서 보안 취약점 찾기)

- 악성코드 분석 (랜섬웨어 및 악성 프로그램 분석해서 동작 원리 찾기)       

- 보안 관제 (들어오는 공격 패킷을 주기적으로 관찰 분석)

- 블록체인 등 최근 핀테크 관련 기술 동향 파악 및 연구

 

저는 독학이나 동호회 등으로 공부하시면서 어떤 분야가 맞는지 파악하시는 걸 추천드려요. 예를 들어, 리버싱하면서 문제 찾는 게 상쾌한 기분이 들면서 재밌다고 한다면 당연히 악성코드 분석 쪽이 유리할 거예요.

 

그다음으로는 자격증에 대해 질문 주셨는데요. 이건 간단히 말씀드릴게요. 신입으로 입사하기 위한 자격증으로는 정보보안기사를 꼭 취득하시면 좋겠어요. 국가 자격증이고 난이도도 있어서 어디에서도 단점은 되지 않거든요.

 

그리고 보안 분야에서는 리눅스 마스터나 CCNA 등보다는 정보보안기사 취득 후 *CISSP를 취득하는 게 더 좋아요. 면접관이 좋게 평가하거든요. 또 해보면 좋은 활동에는 당장 들어가기에는 시간이 걸릴 수 있지만, 해킹 관련 동아리나 그룹들이 있어요.

 

한 가지 더 말씀드리면, 공부하실 때는 책보다는 모의 연습 사이트(리버싱 연습 사이트/웹 해킹 연습 사이트)에서 공부하는 게 좋습니다.

 

마지막 질문에서는 반드시 보안 관제부터 시작해야 하는지 물어보셨네요. 일단 면접에서 들으셨다는 말은 좀 과도한 표현이라고 생각해요. 그러니 크게 신경 쓰지 않으셔도 될 거 같아요. 저도 지식이 없었지만, 취약점 분석부터 시작했으니까요. 그리고 신입들은 아무래도 지식이 부족하니 어쩔 수 없이 ‘맨땅에 헤딩’해야 하는 것도 사실이에요.

 

한편으로는 면접관의 시각에서도 생각해 볼 필요가 있어요. 어쩌면 근본적인 문제이기도 할 텐데요. 예를 들어 A와 B가 포렌식 분야에 지원했다고 가정해 볼게요. 포렌식 담당 면접관은 해당 분야를 5~10년 이상 한 사람이에요. A는 신입사원에 포렌식 관련 지식은 없는 반면, B는 석사 전공을 포렌식으로 하고 전 회사에서도 포렌식 업무를 했어요.

 

그러면 면접관 입장에서는 어떨까요? 당연히 B가 나이가 많아도 B를 뽑을 수밖에 없어요. 본인 팀에 도움도 되고 즉시 쓸 수 있으니까요. A를 선택할 수도 있지만, 어느 정도 수준으로 올리려면 시간이 걸리죠.

 

신입도 어느 분야에 지원하려면, 그 분야에 대해 어필을 할 만한 뭔가가 있어야 해요. 하지만 대학생은 학점을 따고 대외 활동을 하기도 바쁘죠. 이게 딜레마에요. 참 어렵죠. 하지만 필요한 것도 사실이에요.

 

일단은 멘티님도 관심 분야를 여러 개 선택해서 ‘내가 어필을 할 수 있는 부분’을 분야마다 적어 보세요. 그럼 어느 분야가 자신에게 최적인지 보일 거예요.

 

끝으로 제가 멘티님의 입장이라면 어떨까 하는 생각을 하며, 추천할 만한 준비 방향을 정리해 봤어요. 아래 내용을 참고하면 좋을 것 같네요.

 

1. 정보보안기사 자격증을 꼭 취득하세요. 보안에 대한 관심을 어필하기 좋아요.

2. 학점과 토익이 높으시니 공기업, 금융권 지원이 유리해요.

3. 국비 지원 보안 과정을 자소서에 녹여서 보안 지식에 대해 관심 있음을 어필하세요.

4. 인적성 대신 전산 전공 필기시험을 공부하세요. 추후 면접에서도 많이 도움 됩니다. 한국은행, 금감원, 거래소, 금결원 등 공기업에서 보는 전공 필기시험을 참고하세요. 

5. 지원하시는 부서와 팀에 대한 이해를 높이세요. 특히 자소서에서부터 내 역량과 팀에서 하는 일이 맞는다는 점을 중점적으로 드러내야 해요.

 

예를 들면 이런 식으로 작성할 수 있어요. ‘금융보안원에서 취약점 분석 평가를 하고 싶습니다. 저는 학부 시절 국비 보안 과정과 정보보안기사를 취득하면서 SQL 인젝션 등에 대한 애플리케이션 취약점을 연습해 볼 수 있었습니다. 최근 비대면 실명 인증 및 챗봇 등 사용자들이 사용하기 편한 기능들이 새로 추가되면서, 이에 대한 보안 위협 또한 증가하는 것으로 알고 있습니다. 저는 평소 최신 기술들에 대해 관심이 있었고, 이 기술들을 제가 가진 지식을 토대로 평가해 보고 싶습니다’

 

멘티님이 고민을 많이 하고 계신 것 같은데, 제가 볼 때는 학점이나 영어, 노력 전부 만점이에요. 그러니 어느 분야를 하고 싶은지 방향만 잘 잡아주시면 될 것 같아요. 연봉이나 안정성이 우선이면 은행이나 공기업이 좋아할 만한 요소를, 관련 연구를 해보고 싶다면 대학원이나 연구소, 기업에서 좋아할 만한 요소를 준비하면 될 거예요.

 

그럼 답변이 되었길 바라요. 부족한 부분은 또 질문 주시고요. 하시는 일에 좋은 결과 있길 바랄게요. 힘내세요.

 

*CISSP : 국제공인 정보시스템 보안전문가(Certified Information Systems Security Professional)는 국제정보시스템보호인증협회(ISC)에서 독립적으로 운영되는 정보보호 인증 자격증이다.