올해 한국직업능력개발원에서 '현재와 10년 뒤 직업 전망'을 조사한 결과 10년 뒤 유망한 직업으로서 컴퓨터 보안전문가가 2위를 차지했다. 이 조사는 각 분야에서 10년 이상 근무한 현업 경력자 등 직업 전문가를 대상으로 보상, 고용 안정, 발전 가능성, 근무 여건, 직업 전문성, 고용 현황, 고용 평등의 7개 분야 23개 항목에 대한 직업 전망을 평가한 것이어서 나름대로 전문성과 객관성을 갖춘 결과로 볼 수 있을 것 같다.
정보기술(IT)을 빼고는 아무 것도 이뤄질 수 없는 것이 지금의 세계 현실이고, 10년 뒤에는 이러한 상황이 더욱 심화될 것이 분명하기 때문에 IT 보안을 다루는 컴퓨터 보안전문가의 전망이 밝다고 보는 것은 적절하다고 생각된다.
보안전문가들을 하는 일에 따라 여러 가지로 분류할 수 있다. PC통합보안, 네트워크보안, 모바일 보안, 웹 보안, 게임보안, 콘텐츠 보안 등 다양한 보안 제품을 개발하는 보안 제품 개발자, 암호 알고리즘과 보안 프로토콜을 분석, 설계하는 암호 전문가, 보안 기획, 보안 정책의 수립, 보안 위협의 감시, 보안 장비의 운용, 보안 교육 실행 등 보안 전반을 관리하는 보안 관리자, 시스템이나 네트워크의 보안뿐 아니라 조직과 제도, 관리적 측면에서 해당 조직의 보안 수준을 점검하고, 보안 수준을 높이기 위해 필요한 요소들을 찾아 내어 그것들을 단계적으로 향상시킬 수 있는 방안을 냄으로써 조직 전체의 보안 수준을 높일 수 있도록 조언하는 보안 컨설턴트 등이 보안전문가의 범주에 속한다.
하지만 기술적인 깊이에 매료되어 젊은이들이 가장 동경하는 보안전문가는 역시 보안분석가이다. 그들은 보안 취약점이나 보안 위협, 보안 공격을 심층적으로 분석하여 그것의 피해와 원인을 정확히 분석하고, 대안을 수립한다.
예를 들어 악성코드가 발생하면 악성코드 파일을 분석하여 그것이 어떤 행동을 하고, 어떤 취약점을 통해 유입되었는지, 어떤 피해를 입히는지 분석하고, 그것을 진단할 수 있는 시그니처를 긴급하게 만들어서 보안 제품의 엔진에 반영한다.
또한 운영체제, 애플리케이션, 네트워크 장비 등 IT 자산에 내재해 있는 보안 취약점을 찾아내 업체에 그것을 알림으로써 공격 발생 이전에 보완하도록 하고, 모의해킹을 통해 인터넷 서비스에 내재해 있는 문제점을 사전에 발견한다.
보안 사고가 발생하면 나타난 흔적을 기반으로 공격 경로와 피해를 추적하고, 공격자의 공격방법을 분석하여 대책을 수립하고, 날로 발전하는 악성코드를 막기 위해 안티바이러스, 안티스파이웨어 엔진을 만들고 다양한 진단법을 개발한다.
최근 네트워크 보안 장비의 주요 임무는 트래픽의 내용을 검사하는 것이다. 이에 따라 침입방지시스템(IPS), 통합위협관리(UTM) 장비에서 들어가는 보안 룰(rule)이나 시그니처를 실시간으로 만드는 것도 보안분석가의 몫이 되었다.
IT 자산의 종류가 많아지고 단말이나 네트워크가 커지고 통합되는 추세에 따라 보안 분야도 폭이 넓어지고 기술적 난이도가 높아지고 있다. 이에 따라 보안분석가는 다양한 분야에 걸쳐 폭넓은 기술과 지식을 쌓아야 한다. 하드웨어나 네트워크 지식은 물론이고, 운영체제, 파일시스템, 웹 분야에서 넓고 깊은 지식이 필요하다. 프로그래밍 언어나 웹 스크립트 언어도 잘 알아야 보안 분석이 가능하다. 아울러 디버깅, 디스어셈블 등 이진 파일을 분석할 수 있는 도구, 네트워크 패킷을 분석하기 위한 다양한 도구에도 능통해야 한다. 계속 발전하는 보안위협에 맞서기 위해 최신 보안 기술을 습득해야 함은 물론이다.
이 모든 것의 바탕에는 지식과 기술을 올바로 사용하기 위한 윤리 의식이 확고하게 자리잡고 있어야 한다. 보안 지식과 기술을 잘못 사용하면 보안전문가가 아니라 범죄자가 되기 때문이다.
그런데 위에 열거한 모든 것을 한 사람이 다 할 수는 없다. 보안분석가 역시 자신의 전문분야가 있고 그것을 바탕으로 여러 사람이 팀을 이뤄 문제를 해결하게 된다. 보안분석가가 되기 위해서는 기술적인 내용을 깊이 파는 것을 좋아해야 한다. 또한 몇백 KB나 되는 파일들을 365일 내내 분석하거나 몇백 MB의 네트워크 트래픽을 분석하려면 집중력과 끈기도 매우 중요하다.
세계적인 보안 위협의 흐름, 보안 기술의 흐름에도 민감해야 한다. 보안 기술의 발전에 따라 보안 공격 기술도 변화하고 있기 때문이다. 안티바이러스 업체들은 국제적인 보안 공격에 대응하기 위해 창구를 통해 정보를 교환하고, AVAR(Association of anti Virus Asia Researchers) 컨퍼런스나 VB(Virus Bulletin) 컨퍼런스 등을 통해 기술 교류를 한다. 매달 나오는 해외 전문잡지와 논문을 보는 것도 좋은 방법이다.
한편 보안업체에서는 보유하고 있는 보안전문가들의 실력과 규모가 보안제품이나 서비스 경쟁력에 큰 영향을 미치기 때문에 좋은 인력을 확보하고, 육성, 유지하는 데 많은 노력을 기울인다. 특히 보안분석가를 양성하려면 최소한 5-6달 정도의 집중적인 교육이 필요하고, 1년은 지나야 제 몫을 하기 때문에 채용 단계에서 신경을 많이 쓰게 된다.
작년과 올해 신입공채를 진행해 보니, 이론과 경험을 겸비한 좋은 인력들이 몇 명 눈에 띄었다. 주로 지방대 정보보호학과 졸업생들이거나 컴퓨터공학을 전공하면서 정보보호 동아리 활동을 한 것이 특징이었다. 아무래도 보안 쪽 질문이 많고, 인성 측면에서도 보안분석가의 자질에 집중하다 보니, IT 보안을 전공하거나 보안동아리 활동 등을 통해 관심을 가져 온 사람들이 두각을 나타내는 것은 자연스러운 일일지도 모르겠다. 다만 아쉬운 것은 이런 인력들이 프로그래밍 기본에 취약한 것이 일부 보인다는 점이다.
요즘 진단법을 개발하거나 분석을 자동화하는 것이 세계적인 추세이기 때문에 분석 기술을 구현하기 위해서 프로그래밍 실력을 갖추는 것도 매우 중요하다는 점을 염두에 두고, 학창 시절에 잘 준비하면 좋겠다. 대학에서도 이를 학문적으로 잘 뒷받침해줘야 할 것 같다.
일반 소프트웨어나 장비를 개발하는 업체보다 보안업체에서 일하는 것은 좀더 고달픈 일이다. 근본적으로 보안은 보안 공격을 방어하는 일이기 때문이다. 어떤 보안 공격을 적절하게 방어하면 공격자는 이를 피해 가는 다른 공격 방법을 만들어 낸다. 기계와 씨름할 뿐 아니라 결국 공격자와 머리 싸움을 한다는 것에 일반 개발업체와 가장 큰 차이가 있다. 보안 공격의 피해를 입은 고객사 보안관리자는 퇴근하지도 않은 채 업무 시스템이 제대로 동작하기를 기다리고 있는 경우도 비일비재하다. 그래서 스트레스가 크다.
하지만 보안업계만큼 직업을 통해 사회에 기여하는 보람을 얻을 수 있는 업계도 많지 않다. IT가 없으면 하루도 돌아가지 않는 오늘의 세상. 24시간 365일 수천 만 사용자들의 소중한 IT 자산을, 수십만 기업의 사업 기반을 지금 지키고 있는 것이다. 사용자들에게서 문제를 해결해줘서 고맙다는 말을 들을 때의 뿌듯함 역시 보안업계에서 느낄 수 있는 즐거움이다.
보안업계에 오신 분들을 환영한다. 보안전문가를 꿈꾸며 오늘도 준비하는 모든 이들이 이 길에 함께 할 수 있기를 바란다. 지금 보안전문가로 밤낮을 가리지 않고 일하는 분들은 자부심을 가졌으면 좋겠다. 그대들이 우리나라를 지킨다. 그대들이 지구를 지킨다.
/강은성 안철수연구소 상무
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기