보안관리 직무인터뷰 | 보안은 산소 같다는 고공석 멘토. 자격증 또한 필수라는 보안의 세계를 보러 갈까요?

보안은 산소 같다는 고공석씨. 자격증은 필수라는 보안전문가에 세계로 들어가보자.

이 직업을 처음에 선택하게 된 동기가 궁금합니다.: 제가 처음 IT 분야에 입문했을 때 IT가 도입되고 성장하는 시기였어요. 그리고 공부도 그쪽으로 하고 있었고 직접 회사에 들어가 일을 해보니 저와 맞는 부분도 있었죠. 그래서 이 일을 시작하게 됐어요. 무엇보다 그때 당시 향후 10년 성장가능성이 높은 업종에 IT 그중에서도 보안분야가 있었고 지금도 그렇잖아요. 미래를 내다보고 결정하게 됐어요.

취업을 준비하면서 특별한 기억이 있으신가요?: 처음에 입문하기 전에 전문교육을 많이 받았어요. 그렇게 전문기관에서 교육을 이수하였고 취직후에 회사를 다니면서 부족한 게 많다는걸 느끼게 되어서 더 지식을 쌓기로 결심했죠. 그래서 대학원을 진학했어요. 그런데 야간대학원이다 보니 주간에 일하고 야간에 대학원을 갔기 때문에 상당히 힘든 기억이 나네요. 하지만 대학원에서 보안 쪽의 다양한 전문가를 만날 수 있는 기회가 되었는데 지금까지 많은 도움이 됩니다.

14년 넘게 일할 수 있었던 원동력은 무엇인가요?: 초기에 업무를 잘 선택했던 것 같아요. 그 당시에 가장 첫 번째로 꼽았던 직업을 선택하는 조건이 향후 전망이었는데 그중에서 보안전문가가 있었고 오랫동안 할 수 있겠다 생각해서 입문했어요. 보안분야는 계속 성장하는 산업이다 보니 미래에 대한 불안감이 적고 열심히 시간을 투자할 수 있었죠. 무엇보다 저를 필요로 하는 곳이 많고 저를 찾아주는 것이 전 좋더라고요. 그런 것들이 제가 지금까지 이 일을 할 수 있었던 원동력이 되지 않았을까? 라는 생각이 드네요.

앞으로의 목표나 꿈이 있다면 어떤 게 있을까요?: 제 나이 40대 초반인데 IT 산업에서는 나이가 많은 편이에요. 그래서 남은 시간 동안 해보고 싶은 거 다 해본 다음 여러 전문가들의 도움을 받아 해외에 나가보고 싶어요. 제가 아는 분이 유럽에 나가 있는데 그곳이 우리나라보다 선진국이지만 생각보다 IT쪽은 우리나라 만큼 인프라가 잘 구축되어 있는 나라가 없다고 말하더라고요. 그래서 지금까지 배웠던 걸 토대로 우리나라에서 성공적으로 구축했던 인프라나 보안에 대한 부분을 유럽 쪽에 전파를 해보고 싶어요.

하시는 일에 대해서 설명 부탁 드립니다.: 지금 보안컨설팅을 비롯해서 보안분야가 광범위하게 퍼져있어요. 옛날에는 관리자 한 명 이서 보안업무를 할 수 있었는데 지금은 그 범위를 넘어섰죠. 모든 분야를 아울러서 컨설팅 해줄 수 있는 인재가 필요해요. 최근에 뉴스 보면 보안 관련해서 계속 이슈가 나오고 있잖아요. 시스템 네트워크 어플리케이션 등 다양한 분야에 걸쳐서 보안은 밀접하게 연관되어 있어요. 그런 곳에 일어날 수 있는 위험을 분석하고 이에 대한 대책을 수립하고 실현할 수 있도록 지원하는 일을 하고 있어요.

보안전문가는 보통 어디에 소속되어 일을 하나요? 아니면 프리로 일을 하나요?: 저 같은 경우 지금까지는 소속되어서 일을 해왔어요. 보안컨설팅이라는 것이 6개월에서 1년 단위로 프로젝트가 마무리되기 때문에 컨설팅 하시는 분들은 프리랜서가 많아요. 그리고 기업에서는 상위레벨의 실력자들을 필요로 하기 때문에 자체 수급하기가 쉽지가 않아요. 그래서 보통은 프리랜서를 채용해서 일을 해요.

이론과 실제는 차이가 크죠?: 이론을 배울 땐 간단하게 생각하잖아요. ‘시스템 보안만 잘하면 되는구나. 프로그램 네트워크에 대해서 알기만 하면 되고’ 라는 식으로 생각하는데 그렇지 않아요. 저 또한 교육기관에서 교육을 듣거나 혼자서 공부하면서 ‘이 정도면 보안전문가 다됐다’ 라는 생각을 해왔거든요. 하지만 실제로 입문해보니까 그렇지 않더라고요. 보안 일 이라는 게 모든 것이 다 접목돼서 발생되는 문제를 다루기 때문에 한 분야만 이해하고 있거나 단편적인 지식 가지고는 할 수 없는 업무예요. 전체적인 흐름을 다 볼 줄 알아야 되고 이해할 수 있어야 해요. 네트워크만 안다고 해서 그것만 보는 것이 아니라 네트워크에 연결돼 있는 시스템도 봐야 하고 그와 연동되어있는 어플리케이션도 봐야 합니다. 그래서 보통 ‘내 문제는 다 조정해보았는데 왜 해결이 안 되는 거지?’ 라는 생각이 들 수 있어요. 그것은 자기가 아는 쪽만 조사하고 분석했기 때문이에요. 이 점을 꼭 유의하셔야 해요.

업무를 볼 때 가장 중점으로 두고 하는 것이 있나요?: 사람과의 관계에 가장 많은 비중을 둬요. 보안컨설팅이라는 업무는 지속적인 커뮤니케이션을 통해서 일을 하는 것이기 때문이죠. 그리고 어떻게 고객을 설득할 것인가? 설득이 많은 부분을 차지하죠. 기술적인 부분보다는 정서적으로 고객들과의 커뮤니케이션을 통해 설득작업에 가장 큰 중점을 두고 있어요.

이 업무를 위해 평소에 노력하는 부분이 있나요?: IT 분야는 속도가 정말 빨라요. 하루만 공부하지 않으면 남들에게 뒤쳐지기 마련이죠. 끊임없이 자기개발하고 자신에게 투자를 해야 해요. 최근 트렌드가 무엇인지 알기 위해 교육기관을 통해 교육을 받거나 인터넷 혹은 보안전문가를 만나서 이야기를 하고 있어요. 그리고 기업의 CIO또는 CTO분과 잦은 만남을 통해 최근 이슈나 문제점 이런 부분에 대해서 생각하는 시간을 마련하고 있어요.

뿌듯했던 경험은 언제였나요?: 우리나라 기간산업 중 핵심기밀이 해외로 유출되는 사건이 있었어요. 그때 제가 급히 투입이 되어 컨설팅을 했는데요, 어떤 경로를 통해서 어떤 식으로 유출이 되었는지 이걸 앞으로 어떻게 보안할건지 대책을 세웠고 실행이 되었죠. 굴지의 큰 기업인데도 불구하고 그부분에 보안이 취약하였는데 컨설팅을 통해 핵심기술이 유출되지 않도록 역할을 했던 것이 정말 뿌듯했어요.

그렇다면 반대로 힘들었던 경험은 언제였나요?: 전체적으로 다 힘들어요(웃음). 보안컨설팅이라는 업무는 기간제한이 있거든요. 정해진 기간에 마무리 하는 것은 쉽지가 않죠. 보안이 한 분야만 하는 것이 아니라 전 분야에 고루 걸쳐있고 그 범위는 점점 늘어나고 확산되어 시간 안에 마무리 하는 것이 가장 힘들었어요. 실제로 제가 맡은 프로젝트가 있었는데 3개월짜리 프로젝트였는데 결과적으로 6개월이 걸렸어요. 시간이 경과되면 그만큼 인건비가 많이 투입되기 때문에 민감한 부분이죠. 프로젝트 하는 동안은 많이 힘들었지만 생각보다 큰 문제없이 마무리되어서 다행이었죠.

혹시 직업병이 있으신가요?: 보안전문가로 일을 하다 보니 스마트폰, 인터넷뱅킹 등을 믿질 못하겠어요(웃음). 모든 IT업무에는 취약점이 있는데 항상 민감하게 반응하죠. 그래서 스마트폰 활용을 남들보다 적게 하고 인터넷뱅킹은 정말 주의해서 하고 있어요.

이 직업을 하기 위해 필요한 능력이나 스펙이 있나요?: 다른 분야도 똑같겠지만 보안전문가는 특히나 스펙이 중요하게 작용하는 분야에요. 특히나 최근 모든 기업이나 공공기관에서 스펙을 요구하고 있는 추세에요. 그래서 CISA, CISSP, SIS 이 3가지 전문자격증이 있으면 좋을 것 같아요. 기본적인 시스템 네트워크 어플리케이션에 대한 지식이 필요하겠지만 무엇보다 자격증을 취득하는 것이 좋아요. 보안 관련 커리큘럼이 많이 생기고 있기 때문에 크게 어려움은 없을 거에요. 보안은 상당히 민감한 부분을 다루는 직무이기 때문에 인성도 중요하죠. 크게는 국가기밀부터 작게는 회사의 주요 기밀까지 다루기 때문에 중요한 사항을 망각하고 개인적인 욕심을 부리게 된다면 생각지 못한 문제가 발생하게 되죠. 그래서 책임감과 도덕성이 강해야 해요.

보안전문가가 되기 위해 읽으면 좋은 책이나 영상이 있을까요?: 저 같은 경우 디지털타임즈나 보안뉴스를 자주 봐요. 요즘에는 경제관련 서적이나 영상을 자주 보는데 제가 굳이 뭐라고 말씀드리지 않더라고 이 분야의 관심 있으신 분들은 저보다 더 잘 아실 거에요. 보안전문가는 IT와 경제 둘 다 잘 알아야 돼요. 컨설팅을 하면서 기술적인 부분과 경제적인 효과를 분석해야 하는 경우가 많기 때문이죠. 개인적으로 로버트 치알디니의 “설득의 심리학”을 추천해주고 싶어요. 6가지 설득에 대한 부분이 나오는데 보안컨설팅 업무를 하면서 이 책의 도움을 많이 받았어요. 상대방을 알고 나를 알면 보다쉽게 설득할 수 있을 거라 생각해요.

마지막으로 후배들에게 해주실 조언이나 충고가 있나요?: IT분야가 누구나 쉽게 접근할 수 있는 반면에 타인과의 경쟁력이 부족한 게 현실이에요. 실력이 월등한 신입들은 많지 않아요. 다 고만고만한 사람이 많죠. 그래서 남보다는 잘할 수 있는 나만의 경쟁력을 가지는 것이 중요하다고 생각해요. 최근에는 교육 시스템이 잘 갖추어져 있는 기관이 많기 때문에 그런 기회를 잘 활용했으면 좋겠어요. 많이도 아닌, 남들보다 1%만 앞서자 라고 말씀 드리고 싶어요. 그러려면 끊임없이 노력해야 되죠. IT분야는 특히 그런 것 같아요. 그리고 요즘 젊은 사람들 보면 취업자리가 많지 않아서 어려워하는 것 같더라고요. 사실 능력 있는 사람도 많은데 자리가 없어요. 글로벌 경제침체로 인해 업체들이 인력채용에 어려움을 겪고 있어요. 그래서 어디서든 경력을 쌓는 것이 중요해요. 더구나 나이는 중요하지 않아요. 서른이 넘었다고 해서 초조하거나 불안한 분들이 많은데 절대 그렇지 않으니 걱정 안 하시면 좋겠어요. 끊임없이 자기성찰과 자기계발을 하다 보면 기회는 반드시 올 거라고 생각해요. 그리고 그 기회는 준비가 되어있는 사람에게만 온다는 것 잊지 마세요.

나에게 보안이란?: 산소예요. 꼭 필요하고 정말 중요하며 없으면 안 되는 거죠. 그런데 보통 사람은 세상을 살아가면서 산소의 중요성을 모르잖아요. 산소호흡기가 필요한 환자나 위급한 경우에나 그런걸 느끼잖아요. 보안도 똑같아요. 평소에는 중요성을 모르죠. 그런데 기밀이 유출되거나 문제가 발생하면 그때서야 중요성을 알게 되죠. 이제는 어느 기업이든 필수적으로 보안구축을 해놓고 더욱더 중요한 업무를 할 수 있었으면 좋겠어요.