One Day One Commit

2021.02.13.

Feb 13, 2021
3 minute read

보안 초년생이었던 과거의 나에게 해주고 싶은 조언들 (보안뉴스, 문가용 기자, 2021.02.13.)

오늘은 보안뉴스를 보던 중 입사 3주차이자 보안 초년생인 나에게 매우 자극적인(?) 기사 제목을 보게 되었다. 보안 초년생에게 해주고 싶은 조언들이라니, 완전 나를 위한 기사가 아닌가. 그래서 홀린듯이 링크를 타고 들어가 기사를 읽었다.

기사의 내용이 다소 원론적인 것들이 많고 국내 인력들이 아닌 해외 인력(외국인)들의 조언이라는 점은 약간 아쉬웠지만, 그럼에도 상당히 의미 있는 조언들이 많았다. 아래는 기사에서 다룬 조언들을 내 나름대로 요약 및 해석한 것이다.

1. 보안은 ‘팀 스포츠’다

이 조언은 굳이 보안 뿐만 아니라 거의 모든 분야에 다 통용되는 조언이 아닐까 싶다. 혼자서 모든 것을 다 할 수는 없다. 그러니 그런 것에 실망할 필요도 없다. 이 조언을 해준 사람은 ‘내 개인의 실력보다 팀 전체가 내는 결과물이 더 중요’하다고 말한다. 이 점을 생각하며 내 역량을 키우고 발휘하는 방향으로 나아가는 것이 최선이라는 생각이 든다.

2. 기술 기반 지식은 넓을수록 좋다

이 조언은 공부의 중요성을 역설한다. 사실 이 조언 역시 정보보호에만 해당되는 것은 아니고 넓게 보면 IT 분야 전체, 더 넓게 보면 결국 모든 분야에 해당되는 조언일 것이다. 세상은 하루가 다르게 발전하고 있는데 나만 가만히 있으면 뒤쳐지는 것은 당연한 것 아닌가. 좋으나 싫으나 평생 공부하며 살아야 한다는 것이 조금은 가혹하게 느껴지지만, 그래도 알아가는 즐거움을 느끼며 살아갈 수 있어 다행이다.

3. 아직 보안 분야는 다양성이라는 부분에서 부족하다 & 다양성은 보다 나은 팀을 만드는 활력소다

이 조언은 내가 그다지 와닿지 않는 조언이다. 그 이유는 내가 ‘다양성’에 대한 이해가 다소 부족한 것도 있지만, 이 조언은 실무자보다는 관리자 입장에서 보다 의미가 있을 조언이라고 생각하기 때문이다. 단순하게 보자면 다양한 생각과 가치관을 가진 사람들이 모여 활발하게 교류한다면 당연히 좋은 방향으로 발전할 것이라고 생각한다.

4. 보안은 결국 사업의 한 영역이다

보안은 비즈니스를 돕기 위해 있는 것이다. 그렇기 때문에 내가 속해있는 조직의 비즈니스에 대한 이해가 필요하며, 이해한 것을 기반으로 보안 전략을 세워야 한다고 조언한다. 이러한 이해 없이 순수하게 보안만을 추구하는 것은 오히려 좋지 못한 결과를 낳을 수 있다.

5. 스스로를 의심하지 말라

이 조언은 스스로를 과소평가하지 말라는 조언이다. 지금은 일에 대해 아무 것도 모르고 자신과 맞지 않는 일을 한다고 생각할 수도 있겠지만, 호기심을 가지고 최선을 다하면 언젠가는 그 빛을 발하고 다른 사람들도 그 성취를 인정해줄 것이라는 조언인 듯 하다.

6. 정보 보안 커뮤니티에 발을 적극 담그라

이 조언은 정보보안 커뮤니티 참가의 중요성을 역설한다. 혼자서 업무를 하는 것은 한계가 있듯, 혼자서 공부하는 것도 한계가 있는 법이다. 그러니 좋은 커뮤니티를 찾아 활동하여 보다 발전할 계기로 만들라는 뜻인 듯 하다. 맞는 말이긴 하지만 ‘좋은 커뮤니티’를 찾는 것은 쉽지 않아보인다…

7. 리스크를 짊어질 필요도 있다

내가 잘 아는 분야만 깊게 파고 드는 식으로 커리어패스를 정할 수도 있겠지만, 누군가는 어느 정도 기본기만 있다면 새로운 분야에 도전해보는 것도 좋다고 말한다. 내가 보기에도 정보보안 전문가가 된다는 것은 특정 분야에 대해서만 잘 아는 것이 아닌 모든 분야에 대한 폭넓은 이해가 요구된다고 생각한다.

8. 보안은 거의 대부분 사람의 문제다

처음 보안을 공부하게 되면 기술에 대한 공부만 하기 마련이다. 물론 기술도 중요하지만, 기술이 전부는 아니다. 나는 처음에 ‘사회공학적 공격’이라는 것을 배웠을 때, 단순히 말장난 같은 것이라고만 생각했다. 하지만 이후 알게된 수많은 해킹 사례들과 (얼마 안되는) 실무 경험을 통해 공격자들이 사회공학적 공격에 얼마나 많은 노력을 들이는지 알게 되었다.

9. 데이터가 최고다

말로만 정보보안을 말할 것이 아니라, 데이터를 통해 설득력과 전달력을 키우라는 조언인 듯 하다. 사실 너무 당연한(?) 내용인데다 조언 자체도 다소 추상적이어서 더 해석할 것도 없다…

10. 보안 전문가의 최고 덕목은 인내다 & 하늘이 무너지는 일은 별로 없다

이 조언은 주어진 일에 대해 빠른 일처리도 좋지만, 좀 더 여유를 가질 필요도 있음을 역설한다. 보다 넓은 시야를 가지고 주어진 문제를 다루고 연구하다 보면 새로운 시각과 접근법을 발견할 수도 있을 것이다. 이 조언 역시 정보보안 분야에서만 적용될 조언은 아닐 것이다.

11. 보안 인식 제고? 아직도 문제다

약간 슬픈 이야기지만 비전문가들의 보안 인식은 국내외를 막론하고 그다지 좋지는 않은 듯 하다. 해외 보안기업의 CEO도 이런 말을 하고 있는 것 보면… 하지만 이를 속상해하고 넘어가기만 할 것이 아니라 서로 대화를 통해 관점을 좁혀나가는 것이 중요하다고 말한다.