안녕하세요. 저는 대학교 1학년 학생입니다. 아직 학생이라 현직자 분과 대화할 기회가 없었는데, 잇다에서 멘토님을 알게 됐고 조언을 듣고 싶어서 질문하게 되었습니다.

 

저의 꿈은 정보 보안 전문가 입니다. 그중에서도 클라우드나 인공지능 분야의 정보 보안 전문가가 되고 싶습니다. 그래서 앞으로의 계획을 구체적으로 세워보았어요.

 

우선, 1학년 때 대외활동을 하며 *CCNA나 *CCNP 자격증을 취득하고 2학년 때 편입 공부를 해서 Y대학의 컴퓨터과학과에 편입할 생각입니다. 또 정보 보안동아리에 가입해 해킹대회에 나가서 입상한 후, 3학년을 마치고 정보보호병으로 군 복무를 하고 싶어요.

1. 이쪽 업계에서 자격증은 성실성을 확인하는 정도로만 활용하고 실무 면접에서 생각을 말로 전달하는 능력을 더 중요시한다고 들었습니다. 정말 자격증이 큰 효력이 없나요?

2. 요즘 정보 보안 관련 직무로 취업을 준비하는 사람이 많다고 하던데 제가 어떤 준비를 해야 다른 지원자와 차별성을 갖출 수 있을까요?

3. CCNA 자격증은 CCNP 자격증과 달리 유효기간이 3년이라 갱신을 해야 하는데요. 1학년 때는 CCNA를 취득해 두고 제대 후 CCNP를 취득하는 게 좋을까요? 아니면 둘 다 취득하고 나중에 CCNP만 갱신하는 게 나을까요?

4.   지금 책을 보면서 보안 공부를 하고 있는데 컴퓨터로 실습하면서 공부할 수 있는 방법은 없을까요? 제가 어떤 공부를 하면 좋을지 알려주세요.

5.   정보 보안 직무를 보면 보안 관제, *CERT, 모의해킹 등 분야가 많던데 모의해킹은 신입사원이 하기 힘든가요?

6.   진로에 관해 여러 조언 부탁드립니다.

*CCNA(Cisco Certified Network Associate): 네트워크 기술능력 검증.

*CCNP(Cisco Certified Network Professional): 네트워크 기술능력 전문자격.

*CERT(Computer Emergency Response Team): 인터넷상에서 보안문제가 발생하면 지원해 주는 인터넷 보완과 관련된 기관.

 

안녕하세요, 멘티님. 대학에 입학한지 얼마 되지 않았는데 벌써 정보 보안 전문가로서 나아가야 할 방향을 찾고 고민하시는 점 정말 멋집니다. 게다가 그 방향이 꽤 구체적이라 놀랍네요. 궁금하신 점과 관련해 제 의견을 말씀드리겠습니다.

 Ⓒplush design studio

먼저 자격증의 효력을 질문하셨는데, 자격증이 필요 없다는 말이 아니라, 쉽게 취득할 수 있는 자격증은 큰 가치가 없다는 의미겠죠? 저도 많은 자격증이 있지만 자격사항에는 주요 자격증만 기재합니다.

 

CISA(국제정보보안감사가)나 행정자치부 인정 소프트웨어 보안약점 진단원(시큐어코딩 관련) 자격증은  취득하기 어려운 편입니다.

 

특히 모의해킹과 관련이 깊은 소프트웨어 보안약점 진단원 시험은 소스코드를 분석해서 어느 부분이 보안에 취약한지 판단하고, 그 해결 방법까지 서술해야 합니다.

 

또 자격증의 유효기간 때문에 취득 시기를 질문하셨는데, 저는 말씀하신 자격증을 보유하고 있지 않아서 답변해드리기 어렵네요. 그래서 주변 사람들에게 물어보았는데 요즘은 CCNA와 CCNP 자격증을 동시에 취득하는 경우가 많다고 하니 참고하시면 좋겠습니다.

 

두 번째 질문은 다소 광범위한 부분이라 답변드리기 어렵고 신중해지네요. 혹시 멘티님은 정보 보안의 품질에 관해 생각해 보신 적이 있나요?

 Ⓒfreepik

보통 정보 보안은 적절하게 보안 네트워크를 구성하고, 상황에 맞는 정책을 관리하며, 보안코딩을 하고, 관제에 신경 써서 사고를 예방하는 정도로 생각합니다. 개인적으로는 이런 구현 지향적인 보안이 점차 의미를 잃어 갈 거라고 봐요.

사실 망을 구성하고 보안 관리를 하는 일은 일정 수준의 보안 기술을 갖춘 기술자가 하는 일이지만, 위험 요인을 분석하고 허용 위험 수준을 관리하며 자산 영향도를 분석해 보안 중요도를 선정하는 일은 정보 보안 정책 담당자가 해야 하거든요.

 

기술뿐만 아니라 정책이나 법 등도 공부하셔서 정보 보안 품질관리 전문가가 되신다면 다른 분들과 차별되는 정보 보안 전문가가 되실 거라고 생각합니다.

 

보안 관련 공부법은 다른 멘티님들도 많이 질문해주셔서 같은 답변을 드릴게요. 우선 기본적인 학과 공부를 충실히 하는 게 가장 중요합니다. 시스템이나 개발을 모르는데 보안을 논할 수는 없으니까요.

 

그다음 KISA 사이버 보안 인재센터에서 주관하는 보안 관련 교육과정 중에서 참여할 수 있는 게 있는지 알아보세요. 기회가 되신다면 자격 취득 여부와 상관없이 CISA 공부는 꼭 하시길 권해요. 다양한 분야로 시각을 넓힐 수 있는 좋은 기회가 될 겁니다.

 ⒸPixabay

또 모의 해킹을 신입이 할 수 있는지 질문하셨는데, CERT 관제 업무는 역할에 따라서 경력이 없는 신입 분들도 많이 하는 걸로 알고 있습니다. 모의해킹은 실제 사이트에 영향을 줄 수 있기 때문에 신입이 바로 업무를 주도적으로 하기는 어렵습니다.

 

하지만 대형 정보 보안 전문 업체도 관리팀, 물리 팀, 정보시스템팀, 모의해킹 팀 등 여러 담당자가 팀을 이루어서 업무를 하기 때문에 모의해킹 팀에서 일을 배워가면서 참여하실 수는 있을 것 같습니다.

끝으로 말씀드리고 싶은 것은, 너무 지식과 기술에 의지하지 말라는 것입니다. 보안과 관련이 없더라도 많은 경험을 하고 많은 사람을 만나고 다양한 분야의 책도 읽어보세요.

 

경력이 쌓인 보안 전문가는, 회사나 기관의 입장을 이해하고 그 이해 안에서 보안 계획을 수립하고 세부 정책을 반영할 수 있어야 합니다. 즉 컨설팅을 할 수 있어야 전문가라고 할 수 있습니다.

 

여유 있게 생각하시고 많은 경험을 하시기 바랍니다. 영어공부도 잊지 마시고요. 열의를 가지고 준비하시는 만큼 꿈을 꼭 이루시길 바랍니다. 감사합니다.