최근 정보보호 교육이 기관과 기업에서 활발히 진행되고 있다. 잇따른 정보보안 사고와 개인정보보호법 시행에 맞춰 정보보호 교육 수요가 늘고 있는 것도 그 원인이다. 기업과 기관에서 열정적으로 보안교육에 힘쓰고 있는 김석 컨설턴트를 만나 보안과 관련된 여러가지 이야기를 나눴다.
 
10여 년간 정보보호 교육과 교육교재 개발, 모의해킹과 포렌식 강의에 전념해 온 김석(인텍 컨설팅/ 한국 솔라리스 사용자 모임 회장/솔라리스 시큐리티 테크넷 운영진)컨설턴트는 “2005년부터 솔라리스와 보안강의를 해 왔다. 최근에는 수사기관과 군 정보기관, 검찰청 등에서 포렌식과 모의해킹 강의를 진행하고 있다"며 “초기에는 네트워크, 서버, 시스템 강의를 주로 하다가 2001년부터 본격적으로 보안관련 강의를 시작했다”고 말했다.
 
그와 보안과 관련된 이런저런 이야기들을 해봤다. 먼저 인력문제가 도마 위에 올랐다. 그는 “대학이나 학원 등에서 보안전문 인력이 양성되고는 있지만 급여나 근무환경 때문에 많은 사람들이 초급자로 머물다 전업해 버리는 경우를 봐 왔다”며 “최근 초급자나 경력이 많은 베테랑을 채용하기 보다는 3년에서 7년차 한창 실무에 일할 수 있는 중급자를 채용하기는 너무 힘든 상황이다. 인력구조가 하청에 하청으로 넘어오는 구조인데다 처우도 형편없는 경우가 많다. 초급자와 상급자를 이어주는 중급자들의 수가 부족한 것은 큰 문제”라고 지적했다.
 
그는 “정보보호 인력구조가 하청에 하청으로 넘어오는 구조라 열악하다. 그래서 하위구조에 있는 보안인력들은 처우문제 때문에 생활이 힘든 상황”이라고 전했다.
 
또 보안인력들에게도 문제는 있다고 지적했다. “첫술에 배부르고자 하는 분들이 있다. 한 분야에서 인정을 받기 위해서는 최소 10년은 해야 한다”며 “업체에서는 처우개선이 안되고 보안인력들은 자신의 능력에 비해 급여를 더 요구하는 경우도 있다. 우선은 인내심을 갖고 배우려는 의지가 있어야 하지 않을까”라고 말했다. 업체도 업체지만 배우려는 자들의 마음가짐도 중요하다는 이야기다.
 
이번에는 보안분야의 과도한 공명심에 대해 이야기를 나눴다. 그는 “요즘 보면 아닌 것 같은데 과도하게 부풀려 언론에 터트리는 것이 많은 것 같다”며 “그런 모습들은 일부 학원에서도 일어난다. 자기가 대단한 해커인양 과대 포장해 자신을 소개해 학생들을 끌어 모으고 실제로 배워보면 허접한 경우가 많다. 학생들은 대학은 모르겠지만 학원 선택시 꼼꼼히 여러 사람들 이야기를 들어보고 결정해야 한다”고 조언했다. 학원문제는 이전부터 문제가 돼 왔던 부분이다. 영업사원들의 감언이설에 속아 학원을 선택하면 큰 낭패를 보게 된다. 보안강사들의 이력도 부풀려진 경우가 많다고 한다.
 
이야기는 자격증 문제까지 넘어왔다. 그는 “개인적으로 CISSP, CISA, SIS 자격증을 추천한다. 말도 안되는 자격증 따면 시간과 돈만 손해를 본다”고 조언했다. 또 “포렌식 분야에 관심이 있다면 디지털포렌식 전문가 자격증을 취득하면 좋다. 우리나라 법률에 최적화된 자격증으로 주로 포렌식 수사와 관련된 업무에 적합한 자격증이다. 기업이나 기관 서트팀에서 유용한 자격증으로는 삼양데이터시스템에서 운영하는 CHFI 등이 도움이 될 것”이라고 추천했다. 즉 자신의 업무에 맞는 최적화된 자격증 취득이 중요하다는 것이다.
 
자격증만 있다고 취업과 실력배양이 해결되는 것은 아니다. 그는 “자격증을 따고 난 후가 더 중요하다. 대부분 자격증 취득과 동시에 책을 덮어 버린다. 60점 정도면 자격증 취득이 가능하기 때문에 완벽하게 책을 섭렵하지 않은 상황에서 자격증만 따고 책을 중고로 팔아버리는 경우도 많다”며 “해당 자격증을 취득했으면 그것을 시작으로 더 깊이 있게 공부하는 것이 중요하다. 그냥 이력서에 한 줄 추가하는 것에 만족한다면 자격증의 의미는 없다”고 꼬집었다. 그래서 그는 취업시에는 자격증 보다는 자신이 일한 포트폴리오를 잘 정리해서 가는 것이 더 도움이 된다고 말한다.
 
해킹 공부에 대해서도 그는 “어린 친구들을 보면 해킹 공부를 하면서 해킹툴 사용에 너무 집중하는 경향이 있다. 툴은 도구에 불과하다”며 “이론을 등한시하면 기초가 없기 때문에 심도 있는 단계로 넘어갈 수 없다. 더디더라도 이론을 차근차근 공부하고 자신이 직접 증명해보고 그것을 몸으로 체득해야만 자기 것이 된다. 머리로만 이해하려고 하면 안된다”고 충고했다.
 
그럼 기업들 보안교육하면서 느낀 점은 어떤 것이 있을까. 그는 “교육하면 많이 느낀다. APT 공격 이야기 많이 나오는데도 불구하고 아직도 보안담당자들 위기의식 못 느끼고 있다”고 지적했다.
 
“문제점을 지적하면 우리 회사는 해커들이 들어와도 가져갈 것 별로 없다는 식이다. 아직도 보안인식 재고가 부족하다”고 말했다.
 
또 “정부기관의 정보보호 인력 부족도 문제”라며 “주기적으로 보직이 변경되기 때문에 공공기관에서 전문가를 찾아보기란 어려운 실정이다. 또 모 정부기관은 통신계열과 전산계열로 업무가 나뉘어져 있다. 예를 들어 웹방화벽은 전산에서 운영하고 L4스위치는 통신부서에서 운영하고 있다. 머리와 다리가 따로 노는 식이다. 협업도 이루어지지 않고 운영도 따로 하고 있기 때문에 그 사이에서 보안 홀이 당연히 발생할 수밖에 없는 상황”이라고 지적했다.
 
더불어 “공공기관의 보안수준은 담당자 수준에 비례하고 있다. IT와 보안을 좀 알고 있는 담당자가 운영하는 기간에는 보안수준이 올라가다가 담당자가 바뀌는 순간 수준이 확 떨어지는 경우도 많다”며 “모든 보안장비를 통합 운영할 수 있는 조직이 필요하고 전문가들이 지속적으로 관심을 갖고 운영할 수 있는 환경이 만들어 져야 한다”고 말했다.
 
김석 컨설턴트는 “현재 운영하고 있는 회사가 가족 같은 분위기에서 매년 조금씩 성장하면서 보람을 찾고 일하는 회사가 됐으면 좋겠다. 또 앞으로 보안교육 책도 쓰고 싶다. 교육과정에서 아쉬웠던 부분들을 책으로 묶어 발간하고 싶다”며 “현재 학원에서 외국 교재들을 많이 사용하고 있다. 외국 교재보다는 우리나라 현실에 맞는 한국형 교재로 보안교육을 하고 싶다. 또 고객들이 보안업체 영업사원들 말만 듣게 된다. 판단할 수 있는 능력이 없기 때문이다. 그 기업에 가장 적합한 보안솔루션을 코디해 줄 수 있는 컨설팅에도 주력할 것”이라고 포부를 밝혔다. [데일리시큐=길민권 기자]