안녕하세요, 멘티님. 대학에 입학한지 얼마 되지 않았는데 벌써 정보 보안 전문가로서 나아가야 할 방향을 찾고 고민하시는 점 정말 멋집니다. 게다가 그 방향이 꽤 구체적이라 놀랍네요. 궁금하신 점과 관련해 제 의견을 말씀드리겠습니다.
Ⓒplush design studio
주요 자격증을 취득하세요
먼저 자격증의 효력을 질문하셨는데, 자격증이 필요 없다는 말이 아니라, 쉽게 취득할 수 있는 자격증은 큰 가치가 없다는 의미겠죠? 저도 많은 자격증이 있지만 자격사항에는 주요 자격증만 기재합니다.
CISA(국제정보보안감사가)나 행정자치부 인정 소프트웨어 보안약점 진단원(시큐어코딩 관련) 자격증은 취득하기 어려운 편입니다.
특히 모의해킹과 관련이 깊은 소프트웨어 보안약점 진단원 시험은 소스코드를 분석해서 어느 부분이 보안에 취약한지 판단하고, 그 해결 방법까지 서술해야 합니다.
또 자격증의 유효기간 때문에 취득 시기를 질문하셨는데, 저는 말씀하신 자격증을 보유하고 있지 않아서 답변해드리기 어렵네요. 그래서 주변 사람들에게 물어보았는데 요즘은 CCNA와 CCNP 자격증을 동시에 취득하는 경우가 많다고 하니 참고하시면 좋겠습니다.
정책이나 법도 공부해보세요
두 번째 질문은 다소 광범위한 부분이라 답변드리기 어렵고 신중해지네요. 혹시 멘티님은 정보 보안의 품질에 관해 생각해 보신 적이 있나요?
Ⓒfreepik
보통 정보 보안은 적절하게 보안 네트워크를 구성하고, 상황에 맞는 정책을 관리하며, 보안코딩을 하고, 관제에 신경 써서 사고를 예방하는 정도로 생각합니다. 개인적으로는 이런 구현 지향적인 보안이 점차 의미를 잃어 갈 거라고 봐요.
사실 망을 구성하고 보안 관리를 하는 일은 일정 수준의 보안 기술을 갖춘 기술자가 하는 일이지만, 위험 요인을 분석하고 허용 위험 수준을 관리하며 자산 영향도를 분석해 보안 중요도를 선정하는 일은 정보 보안 정책 담당자가 해야 하거든요.
기술뿐만 아니라 정책이나 법 등도 공부하셔서 정보 보안 품질관리 전문가가 되신다면 다른 분들과 차별되는 정보 보안 전문가가 되실 거라고 생각합니다.
관련 기관의 보안 교육 과정을 추천해요
보안 관련 공부법은 다른 멘티님들도 많이 질문해주셔서 같은 답변을 드릴게요. 우선 기본적인 학과 공부를 충실히 하는 게 가장 중요합니다. 시스템이나 개발을 모르는데 보안을 논할 수는 없으니까요.
그다음 KISA 사이버 보안 인재센터에서 주관하는 보안 관련 교육과정 중에서 참여할 수 있는 게 있는지 알아보세요. 기회가 되신다면 자격 취득 여부와 상관없이 CISA 공부는 꼭 하시길 권해요. 다양한 분야로 시각을 넓힐 수 있는 좋은 기회가 될 겁니다.
ⒸPixabay
또 모의 해킹을 신입이 할 수 있는지 질문하셨는데, CERT 관제 업무는 역할에 따라서 경력이 없는 신입 분들도 많이 하는 걸로 알고 있습니다. 모의해킹은 실제 사이트에 영향을 줄 수 있기 때문에 신입이 바로 업무를 주도적으로 하기는 어렵습니다.
하지만 대형 정보 보안 전문 업체도 관리팀, 물리 팀, 정보시스템팀, 모의해킹 팀 등 여러 담당자가 팀을 이루어서 업무를 하기 때문에 모의해킹 팀에서 일을 배워가면서 참여하실 수는 있을 것 같습니다.
다양한 경험이 기술력만큼 필요해요
끝으로 말씀드리고 싶은 것은, 너무 지식과 기술에 의지하지 말라는 것입니다. 보안과 관련이 없더라도 많은 경험을 하고 많은 사람을 만나고 다양한 분야의 책도 읽어보세요.
경력이 쌓인 보안 전문가는, 회사나 기관의 입장을 이해하고 그 이해 안에서 보안 계획을 수립하고 세부 정책을 반영할 수 있어야 합니다. 즉 컨설팅을 할 수 있어야 전문가라고 할 수 있습니다.
여유 있게 생각하시고 많은 경험을 하시기 바랍니다. 영어공부도 잊지 마시고요. 열의를 가지고 준비하시는 만큼 꿈을 꼭 이루시길 바랍니다. 감사합니다.