[보안전문가 Q&A] 보안전문가를 꿈꾸는 고3 학생입니다.

2008.04.07

 

"보안 전문가가 되려면 어떻게 준비해야 하나요?" 정보보안에 대한 중요성이 점점 대두되면서, 보안전문가가 되고자하는 학생들은 무엇을 공부하고 어떤 준비를 해야될지 막막한 상황이 많을 것입니다. 그래서 아이뉴스24에 칼럼을 기고와 강연 등을 통해 보안전문가가 되고자 하는 학생들에게 많은 조언을 하고 있는 안철수연구소 강은성 상무에게 보내오는 이메일과 그에 대한 답변을 공유하도록 하겠습니다. 이 내용이 보안전문가를 꿈꾸는 여러분들에게 많은 도움이 되길 바랍니다.

Q : 안녕하세요. 제가  보안전문가를 꿈꾸고 있는 고등학교 3학년 학생입니다. 고등학교는 실업계를 다니고있고 있습니다. 보안전문가가 될려면요 맨처음에 어떤 컴퓨터 과목부터 공부해야 머리에 습득이 되는지 그것이 제일 궁금합니다. 제가 지금.. MOS를 따고 있구요. 곧바로 정보처리기능사를 배울려고 합니다. 어떻게 말씀들여야할지 잘 모르겠지만. . 한가지 제일 묻고 싶은 것은 보안전문가가 될려면  그 시작과정을 제대로 알고 공부하고 싶다는 저의 생각입니다.

A : 보안전문가의 길로 가고자 하는 학생이라니 참 반갑습니다. 제가 말씀 드리는 게 님의 상황에 적절하지 않을 수도 있는데, 이게 업계에서 보는 현실이라는 점을 이해하시는 게 좋을 듯 싶습니다.

 

1. IT 보안 분야와 대학 입학

 

IT 분야는 대학을 졸업하는 것이 일하는 데 좋습니다. 사실 공부할 것도 많구요. 계속 새롭게 나오는 지식과 기술을 습득하려면 해당 분야의 기본 지식을 쌓는 것이 중요합니다. 따라서 일단 대학 입시 공부를 하라고 권해 드리고 싶습니다. 하지만 님의 환경이 그렇지 않을 때에는 이런 방식이 어떨까 합니다.

 

대학에 들어 가지 않고 본인의 보안 기술 실력을 입증할 수 있는 방법으로는 해킹(방어) 대회에 참여하는 것이 있습니다. 한국정보보호진흥원이나 몇몇 대학 등에서 이런 대회를 개최합니다. 여기서 좋은 성적을 거둔다면 본인의 실력을 인정받을 수 있습니다.

 

2. 보안 분야로 가는 한 가지 방법: 네트워크 관리 --> 네트워크 보안

 

사실 보안 분야는 IT가 포괄하고 있는 것만큼 있습니다. 네트워크로 연결되지 않은 IT 장비가 없는 만큼 네트워크 보안 분야는 매우 중요합니다. 이미 보안으로 들어 온 분들 중 네트워크 관리를 거쳐서 보안으로 오신 분들도 많이 있습니다. '보안 관리자'나 '보안 분석가' 중에서 많이 계시지요.

 

네트워크 관리를 하다 보면 침해사고를 겪게 되고 그것의 원인과 재발방지책을 세우기 위해서는 보안을 알아야 하기 때문에 공부를 하게 되는 것이지요. 보안전문가들도 네트워크를 잘 모르면 일하기가 힘듭니다. 예를 들어 요즘 이슈가 되고 있는 공격 중 ARP spoofing 공격이 있는데, TCP/IP 프로트콜과 ARP, MAC 등에 대해 정확하게 알지 못하면 이 공격이나 방어에 대해 이해하기가 어렵습니다.

 

이를 위해서는 대졸 자격이 필요없는 기업에 네트워크 관리나 시스템 관리 업무로 입사합니다. 보통 조그만 업체일 경우가 많아서, 이런 회사들은 시스템 관리, 네트워크 관리를 한 사람이 맡는 경우도 많습니다. 일은 많고 어렵지만, 적극적으로 생각하면 많은 것을 배우고 실행할 수 있는 좋은 기회이기도 합니다. 바닥부터 올라가겠다는 생각으로 하셔야 본인의 실력도 늡니다. 물론 네트워크 관리를 하더라도 열심히, 적극적으로 하면서 많은 것을 배워야겠지요.

 

3. 자격증

 

보안 쪽 자격증은 컨설팅 업체에서 컨설턴트를 뽑는 쪽 이외에는 큰 관심은 없습니다. 컨설팅 업체는 정부에서 지정한 자격 요건 때문에 자격증이 있는 인력이 필요합니다. 이 때 필요한 자격증 역시 MOS나 정보처리기능사 같은 자격증은 아닙니다. 고교시절 딸 수 있는 자격증이 보안 분야에서 의미있게 볼 만한 건 없는 것 같습니다.

 

자격증에 대해 좀더 말씀 드리면, 자격증이 실력을 보증하는 게 아니라서요. 사실 30분~1시간 정도 면접을 해 보면 실력은 금방 알게 되거든요. 좀더 정색을 하고 얘기하면 자격증을 많이 얘기하는 회사는 보통 매우 관료적인 회사이거나 사람의 실력을 평가할 능력이 없는 회사라고 보면 거의 맞을 겁니다.

 

물론 자격증은 없는 것보다는 있는 게 좋긴 하지만, 이런 것들은 부가적인 요소(핵심적인 요소가 아니)여서 시간과 비용 대비 효과의 측면에서 따져 볼 필요가 있습니다. 자격증은 해당 분야를 공부할 때 이 분야에 이런 공부할 주제가 있다는 걸 알 수 있게 해 주는 지침서 역할을 하는 것이지요.

 

끝으로, 실업계 학생인데, 제가 대학 입학 얘기를 해서 미안한 마음이 듭니다. 저희 회사에도 연구개발 부문에 극소수이지만 ‘고졸’이 있습니다. 하루빨리 실력으로 평가할 수 있는 때가 와야 하는데, 아직 우리나라가 그렇지 못한 것이 안타깝습니다. 학생이 제 위치에 올라 올 시점에는 우리나라가 학력이나 학맥, 인맥이 아니라 실력으로 평가받고 일하는 사회를 만들 수 있기를 바라마지 않습니다.