2015.09.07

기고 | 사이버보안 인력이 정말 부족할까?

Ira Winkler | Computerworld

사이버보안 인력이 부족한 것처럼 보이는 이유는 사람들이 잘못된 곳을 보고 있기 때문이다.


Credit: Hochgeladen von Colin, CC-BY-SA 4.0, via Wikipedia

흔히 사람들은 유능한 보안 종사자들이 부족하고, 보안 분야에 필수적인 능력을 갖춘 인재들이 충분히 진출하지 않기 때문이라고 생각하는 듯 보인다. 이런 생각에는 오류가 있다. 사람들은 보안이 독립적인 분야로 생각하지만 사실 보안은 컴퓨터 분야의 일부다. 그렇게 다루지 않는 것은 실수다.

필자를 포함해 10년 이상 보안 쪽에 종사해온 대부분의 사람들은 사이버보안을 전공하지 않고 이 분야에 진출했다. 자격증이 있기도 했지만 그 자격증 때문에 우리가 전문적이 된 것은 아니라고 생각한다.

필자의 경험도 다르지 않다. 근무해온 기간 내내 직원으로 혹은 NSA와 기타 군사와 정보 기관 등의 도급업자로 일해온 필자는 특별히 보안 작업이라고 여겨질 만한 일을 한 적이 없다.

사실 NSA에서는 컴퓨터 분야에서 시작한 것 조차도 아니었다. 필자는 정보 분석가 일이 너무나도 싫어서 컴퓨터 시스템 인턴 프로그램에 지원했었다. 당시 NSA는 컴퓨터 전문가를 충분히 구하지 못하고 있었고, 그래서 컴퓨터 적성이 뛰어난 사람들을 식별하고 교육하기 위해 프로그램을 만들었다. 비록 나중에 민간 분야에서 보안 전문가로 알려지기는 했지만, 필자는 보안 특정 교육을 받은 적이 전혀 없다. 대신 훌륭한 기술 운영 프랙티스에 대해 오랫동안 현장 경험과 정식 교육을 받았다. 침투 테스트에 있어서 이후 내 성공은 시스템을 어떻게 해킹하고 소셜 엔지니어링 공격을 어떻게 수행하느냐에 대한 정식 교육이 아닌 대부분 훌륭한 프랙티스의 부재를 잡아내는 것에 기반했다. 마주했던 엉망진창인 보안 상황에서 필자는 고급 기술은 전혀 쓰지 않아도 문제 없었다. 다시 말해 그건 사이버보안 프로그램에서 일어나는 사건이 전혀 아니었다.

물론 NSA는 나처럼 보안에 집중해 일하는 인력이 있지만, 그들은 운영이나 네트워크 같은 것들을 배운 후 그 분야로 옮겨왔다. 그들은 초급 직원으로 선입들의 교육하에 있지 않은 이상 ‘보안’에서 일을 시작하지 않았다.

NSA만 이런 접근방식을 취하는 것은 아니다. 다른 정보와 군사 기관, 정부 도급업자, 대형 은행, 그리고 강력한 보안 프로그램을 이행하는 다른 리더들은 알맞은 적성과 연관된 기술을 가진 사람들을 식별하는데 초점을 맞추고 그들에게 정식 현장 교육을 시키고 보안 관련 역할을 맡긴다.

모든 직업세계가 비슷하게 돌아간다. 엔지니어링 회사들이 교량 엔지니어링 학위를 가진 인력이 없어서 한탄하거나, 마천루 건축 학위를 가진 졸업생이 없어서 불평하는 건설사에 대한 이야기를 들어보지 못했을 것이다. 군대는 전투 훈련을 이미 마친 졸업생들을 구하기 어렵다며 이를 불평하지 않는다. 그러면 대체 왜 많은 정부기관들과 민간 기업들은 사이버보안 전문가들이 없다고 난리들인 걸까?
 


사이버보안 학위를 가진 인력을 더 많이 받는 게 오히려 해가 될 수 있다는 점 때문에 필자는 곤혹스럽다. 그런 학위를 가진 이들은 조직에서 스스로 키워낼 수 있는 보안에 초점을 맞춘 전문가들만큼 지식을 쌓을 수도 유능해질 수도 없다.

 




2015.09.07

기고 | 사이버보안 인력이 정말 부족할까?

Ira Winkler | Computerworld

사이버보안 인력이 부족한 것처럼 보이는 이유는 사람들이 잘못된 곳을 보고 있기 때문이다.


Credit: Hochgeladen von Colin, CC-BY-SA 4.0, via Wikipedia

흔히 사람들은 유능한 보안 종사자들이 부족하고, 보안 분야에 필수적인 능력을 갖춘 인재들이 충분히 진출하지 않기 때문이라고 생각하는 듯 보인다. 이런 생각에는 오류가 있다. 사람들은 보안이 독립적인 분야로 생각하지만 사실 보안은 컴퓨터 분야의 일부다. 그렇게 다루지 않는 것은 실수다.

필자를 포함해 10년 이상 보안 쪽에 종사해온 대부분의 사람들은 사이버보안을 전공하지 않고 이 분야에 진출했다. 자격증이 있기도 했지만 그 자격증 때문에 우리가 전문적이 된 것은 아니라고 생각한다.

필자의 경험도 다르지 않다. 근무해온 기간 내내 직원으로 혹은 NSA와 기타 군사와 정보 기관 등의 도급업자로 일해온 필자는 특별히 보안 작업이라고 여겨질 만한 일을 한 적이 없다.

사실 NSA에서는 컴퓨터 분야에서 시작한 것 조차도 아니었다. 필자는 정보 분석가 일이 너무나도 싫어서 컴퓨터 시스템 인턴 프로그램에 지원했었다. 당시 NSA는 컴퓨터 전문가를 충분히 구하지 못하고 있었고, 그래서 컴퓨터 적성이 뛰어난 사람들을 식별하고 교육하기 위해 프로그램을 만들었다. 비록 나중에 민간 분야에서 보안 전문가로 알려지기는 했지만, 필자는 보안 특정 교육을 받은 적이 전혀 없다. 대신 훌륭한 기술 운영 프랙티스에 대해 오랫동안 현장 경험과 정식 교육을 받았다. 침투 테스트에 있어서 이후 내 성공은 시스템을 어떻게 해킹하고 소셜 엔지니어링 공격을 어떻게 수행하느냐에 대한 정식 교육이 아닌 대부분 훌륭한 프랙티스의 부재를 잡아내는 것에 기반했다. 마주했던 엉망진창인 보안 상황에서 필자는 고급 기술은 전혀 쓰지 않아도 문제 없었다. 다시 말해 그건 사이버보안 프로그램에서 일어나는 사건이 전혀 아니었다.

물론 NSA는 나처럼 보안에 집중해 일하는 인력이 있지만, 그들은 운영이나 네트워크 같은 것들을 배운 후 그 분야로 옮겨왔다. 그들은 초급 직원으로 선입들의 교육하에 있지 않은 이상 ‘보안’에서 일을 시작하지 않았다.

NSA만 이런 접근방식을 취하는 것은 아니다. 다른 정보와 군사 기관, 정부 도급업자, 대형 은행, 그리고 강력한 보안 프로그램을 이행하는 다른 리더들은 알맞은 적성과 연관된 기술을 가진 사람들을 식별하는데 초점을 맞추고 그들에게 정식 현장 교육을 시키고 보안 관련 역할을 맡긴다.

모든 직업세계가 비슷하게 돌아간다. 엔지니어링 회사들이 교량 엔지니어링 학위를 가진 인력이 없어서 한탄하거나, 마천루 건축 학위를 가진 졸업생이 없어서 불평하는 건설사에 대한 이야기를 들어보지 못했을 것이다. 군대는 전투 훈련을 이미 마친 졸업생들을 구하기 어렵다며 이를 불평하지 않는다. 그러면 대체 왜 많은 정부기관들과 민간 기업들은 사이버보안 전문가들이 없다고 난리들인 걸까?
 


사이버보안 학위를 가진 인력을 더 많이 받는 게 오히려 해가 될 수 있다는 점 때문에 필자는 곤혹스럽다. 그런 학위를 가진 이들은 조직에서 스스로 키워낼 수 있는 보안에 초점을 맞춘 전문가들만큼 지식을 쌓을 수도 유능해질 수도 없다.

 


X