본문 바로가기
AhnLab 칼럼

[강은성 칼럼] 자격증을 권하는 사회

by 보안세상 2020. 4. 19.

2008.04.24

 

'보안전문가가 되려면'이란 칼럼을 쓴 뒤에 보안전문가를 꿈꾸는 많은 분들이 그 동안 이메일로 질문을 했다. 중고등학생부터 대학생 일반인에 이르기까지 다양한 분들이 보안전문가가 되는 데에 관심을 갖고 있어서 먼저 이 길을 가고 있는 사람으로서 반갑고 고마웠다.

 

부족한 점이 있겠지만, 나름대로 성심껏 답변을 보내드리면서 공통적으로 나오는 질문에 대해서 칼럼을 쓰면 더 많은 분들께 도움이 될 것 같아 이번 주제를 ‘자격증’으로 잡았다.

 

요즘 각종 자격증 시험이나, 자격증을 따로 부여하지 않더라도 자격을 인정해 주는 '인증 시험'이 성행하고 있다. 초등학교 다니는 아이들도 영어, 수학, 한문, 국어, 컴퓨터 등 온갖 인증 시험을 본다. 심지어 어떤 영어 인증시험은 미취학 아동도 치를 수 있게 되어 있다. 초등학교 시절부터 보는 자격 시험은 중고등학교까지 이어 지고, 대학에 들어 가서는 취업 준비용 토익 시험과 해당 분야의 자격증 시험을 본다.

 

정보기술(IT) 분야에서도 마이크로소포트, 시스코, 오라클, 썬 등 시장 지배적 업체들이 자신의 제품을 잘 쓰는지를 인증해 주는 다양한 자격증들이 있다. 가히 자격증의 시대, 자격증 공화국이라고 부를 만하다.

 

보안전문가가 되기 위한 자격증에 대해 가장 많이 물어 본 이들은 고등학생들이었다. 인증 시험의 홍수 속에서 지냈을 그들의 삶의 궤적을 곰곰이 생각해 보니 고등학교 시절에 틈틈이 자격증을 따 놓고 싶은 마음을 어느 정도 이해할 수 있었다.

 

IT나 보안 분야에서는 계속 새롭게 나오는 기술에 대해 탐구하는 것이 중요하므로, 긴 인생의 여정을 볼 때 그 나이에는 대학 진학을 위해 공부하는 것이 가장 도움이 된다고 답했지만, 대학 입시를 준비하지 않는 실업계 학생들에게는 자격증이 좀더 현실적인 문제로 다가오는 것 같다.

 

또한 컴퓨터공학이나 정보보호학 등 보안 관련 학문을 전공하지 않고 정보보호 분야로 취업하고 싶어 하는 취업 준비생들의 질문도 자격증에 대한 질문을 많이 던졌다.

 

우리가 전통적으로 알고 있는 자격증에는 의사, 변호사, 변리사, 공인중개사, 회계사, 건축사 등이 있는데, 이러한 자격증의 특징은 우선 해당 직업에 종사하기 위한 기본 자격증으로서 국가에서 공인해 주고 있고, 주로 개인 고객 대상으로 개인 사업을 할 수 있는 직업들이기 때문에 일반인은 자격증을 통해 최소한의 요건을 갖춘 사업자인지 식별할 수 있는 기준이 된다.

 

하지만 소프트웨어업계나 보안업계 입장에서 보면, 직무에 딱 맞아 떨어져서 엔지니어가 반드시 갖춰야 하는 국가자격증은 존재하지 않고, 개인 고객을 비롯한 고객들은 자격증을 가진 개인을 신뢰하기보다는 제품과 서비스를 제공하는 회사를 보기 때문에 자격증의 실효성은 크게 떨어진다. 게다가 대부분의 자격증이 특정 업체의 제품에 대한 자격증이고, 웬만한 자격증은 시험에 대한 ‘족보’가 있어서 그것을 열심히 공부만 하더라도 좋은 성적으로 올릴 수 있는 환경이라는 점도 유의해야 할 대목이다.

 

특히 소프트웨어 개발 업체와 같이 전문성에 기초한 분업과 협업을 통해 제품을 개발하는 곳에서는 컴퓨터공학 전반에 걸친 기초 이론과 그것을 기반으로 쌓은 개발 경험이 매우 중요하다.

 

실제로 안철수연구소에서 2004년 '백발을 휘날리는 개발자'를 모토로 해서 경력 7년 이상의 '핵심 인재'를 뽑을 때에 해외 유수의 대학 출신의 경력자들이 지원했으나 한 명도 뽑지 못했던 것도, 그들이 졸업 이후에 좋은 직장에서 제대로 된 개발 경험을 쌓지 못한 것이 원인이었던 것으로 분석된다.

 

또한 보안이 이제 IT의 한 인프라가 되었기 때문에 IT 관리자, 웹 개발자, 법률 부서, 인사부서, 경영진 등 다양한 분야의 사람들과 소통하며 협업하는 것이 업무를 수행하는 데 핵심적인 요소가 되는데, 이러한 것 역시 자격증으로 검증할 수는 없다.

 

실제 소프트웨어나 보안 분야의 자격증을 취득함으로써 얻는 효과는 대체적으로 다음과 같이 분류할 수 있다.

 

(1) 비전공자가 해당 분야를 공부할 때 무엇을 공부해야 할지 알 수 있다

 

(2) 해당 분야나 제품의 기반 지식과 원리를 공부하게 되어 이후 실무를 배울 때 도움이 된다

 

(3) 취직하는 데 도움이 된 것 같다.

 

위 (1)과 (2)는 자격증을 따는 과정을 통해 자신의 실력과 전문성을 키우는 것으로서 매우 바람직한 현상이다. 하지만 자격증 취득이 아닌 다른 방법으로도 같은 목표를 이룰 수 있다면 많은 이들이 비싼 돈을 들여서 자격증을 따기 위해 애쓰지는 않을 것이기 때문에, 주로 (3)이 자격증을 따는 핵심적인 이유가 되는 것으로 생각된다.

 

그렇다면 자격증 문제의 '키'는 기술 인력을 채용하는 기관이나 업체 쪽에 있는 것으로 판단 된다. 채용하는 쪽에서 기본 자격 요건에 자격증을 넣지 않는다면 굳이 자격증에 목을 매어 수십 만원에서 수백 만원을 투자할 사람이 많지 않을 것이기 때문이다.

 

기술 인력을 채용하는 과정에서 신입공채 사원부터 10여 년의 경력사원에 이르기까지, 고졸부터 박사학위 소지자, 해당 분야의 전공자나 비전공자 등 많은 엔지니어들을 면접해 본 지난 7년 동안의 경험을 되돌아 보면, 1시간 정도의 면접을 통해 채용 분야 업무에 필요한 지원자의 실력을 대부분 평가할 수 있다. 자격증이 있는 지원자는 그것을 통해 얻은 지식과 기술을 면접 과정을 통해 표현할 수 있다.

 

자격증을 기본 요건으로 하는 업체도 면접을 건너 뛰지는 않으므로, 결국 정보보호전문업체 지정과 같은 특수한 경우를 제외하고는 대다수 업체들이 자격증을 이력서 필터링의 수단 정도로 쓰고 있는 듯하다.

 

담당 업무를 수행하는 데에 필수적이지 않은 자격증을 단지 취업을 위해 따는 일은 가정이나 개인에게도 큰 부담인 동시에 국가적으로도 큰 손실이 아닐 수 없다. 최소한 대학과 같은 공교육 과정에서 관련 분야를 전공하여 실력을 쌓은 뒤에 자격증을 따기 위해 거액을 들여 사교육을 따로 받는 일은 없었으면 좋겠다.

 

그러기 위해서는 채용하는 회사와 부서, 실제 현업을 해 나가는 엔지니어들이 해당 자격증이 정말 현업 수행을 위해 반드시 필요한지 심도 있게 검토할 필요가 있다.

 

거시적으로 볼 때에도 우리 사회가 산업사회에서 정보사회를 거쳐 지식기반사회로 발전하면서 전문성과 창의성이 강조되는 현실에서 필요한 인재를 자격증이라는 창으로 찾아 낼 수 없다는 점 또한 명백한 사실이다.

 

우리 사회가 학력이나 자격증이 아니라 실력으로 인정받는 사회, 실력을 평가할 수 있는 실력을 갖춘 사회가 되는 것이, 자라나는 청소년들, 대학에서 열심히 공부한 젊은이들, 그들을 교육시키고 뒷바라지 하느라 애쓴 부모들을 자격증 사교육의 사슬에서 해방시킬 뿐 아니라, 치열한 국제 경쟁 속에서도 글로벌 경쟁력 있는 소프트웨어 업체, 보안 업체가 나올 수 있는 밑거름이 될 것이라 믿는다.

 


   강은성 상무는 안철수연구소에서 사용자의 IT 자산을 지키는 보람과
   즐거움으로 일하고 있으며, 어린이들도 즐겁게 뛰놀 수 있는 안전하고
   편안한 인터넷 세상을 만드는 꿈을 갖고 있습니다