Offcanvas

������ ���������

'보안 애널리스트' 자질 제대로 검증하려면... 꼭 물어야 할 질문 8가지

다음의 8가지 질문을 건넨다면 지원자가 보안 애널리스트 직무에 필요한 역량과 특성을 갖추고 있는지 파악할 수 있을 것이다.  보안 애널리스트 직무에 지원한 후보자를 인터뷰하고 있다. 한 명은 공식적인 기술 관련 경력이 없는 역사 전공자다. 다른 한 명은 사이버 보안에 중점을 둔 컴퓨터 공학 분야에서 고급 학위를 취득했다. 또 침투 테스트와 보안 운영센터에서 10년의 경력을 가지고 있다. 어떤 사람을 채용할까?   美 보안 교육 업체 ‘인포섹(InfoSec)’의 수석 보안 연구원 키트론 에반스는 전자(경력 없는 역사 전공자)를 채용했다고 밝혔다. 그는 적합한 질문을 통해 (해당 후보자에게서) 보안 애널리스트에게 가장 필요한 자질(문제 해결 능력, 호기심, 배우고자 하는 열망, 사이버 보안 분야에 관한 열정 등)을 봤기 때문이라고 설명했다.  한편 보안 애널리스트를 찾는 수요가 그 어느 때보다 높다. 이러한 추세는 앞으로도 계속될 전망이다. 美 노동 통계청(Bureau of Labor Statistics)에 따르면 보안 애널리스트 채용은 2019년부터 2029년까지 31% 증가할 것으로 예상된다.  다음은 보안 애널리스트를 성공적으로 채용할 수 있도록 하는 데 도움이 되는 인터뷰 질문 8가지다.  1. TCP란 무엇인가? ‘소켓 연결 설정(3-way handshake)’이나 ‘TCP 통신 표준’ 같은 주제에 대해 이야기하는 방식은 해당 지원자가 보안의 기본적인 사항을 얼마나 잘 이해하고 있는지 드러낸다.  에반스에 따르면 경력이 없었던 (역사 전공) 후보자가 교과서뿐만 아니라 실제 컴퓨팅 환경에서 공부한 것처럼 TCP에 대해 이야기했다. 그는 “지원자 중에 경험은 가장 적었지만 TCP 같은 프로토콜을 직접 만든 것처럼 대답했다”라고 전했다. 넥서스 IT 그룹(Nexus IT Group)의 사이버 보안 부문 관리 책임자 트래비스 린데모엄은 다른 기본 사항으로 ▲대칭 암호화와 비대칭 암호화의 차이,...

보안 애널리스트 보안 보안 전문가 데이터 침해

2021.09.09

다음의 8가지 질문을 건넨다면 지원자가 보안 애널리스트 직무에 필요한 역량과 특성을 갖추고 있는지 파악할 수 있을 것이다.  보안 애널리스트 직무에 지원한 후보자를 인터뷰하고 있다. 한 명은 공식적인 기술 관련 경력이 없는 역사 전공자다. 다른 한 명은 사이버 보안에 중점을 둔 컴퓨터 공학 분야에서 고급 학위를 취득했다. 또 침투 테스트와 보안 운영센터에서 10년의 경력을 가지고 있다. 어떤 사람을 채용할까?   美 보안 교육 업체 ‘인포섹(InfoSec)’의 수석 보안 연구원 키트론 에반스는 전자(경력 없는 역사 전공자)를 채용했다고 밝혔다. 그는 적합한 질문을 통해 (해당 후보자에게서) 보안 애널리스트에게 가장 필요한 자질(문제 해결 능력, 호기심, 배우고자 하는 열망, 사이버 보안 분야에 관한 열정 등)을 봤기 때문이라고 설명했다.  한편 보안 애널리스트를 찾는 수요가 그 어느 때보다 높다. 이러한 추세는 앞으로도 계속될 전망이다. 美 노동 통계청(Bureau of Labor Statistics)에 따르면 보안 애널리스트 채용은 2019년부터 2029년까지 31% 증가할 것으로 예상된다.  다음은 보안 애널리스트를 성공적으로 채용할 수 있도록 하는 데 도움이 되는 인터뷰 질문 8가지다.  1. TCP란 무엇인가? ‘소켓 연결 설정(3-way handshake)’이나 ‘TCP 통신 표준’ 같은 주제에 대해 이야기하는 방식은 해당 지원자가 보안의 기본적인 사항을 얼마나 잘 이해하고 있는지 드러낸다.  에반스에 따르면 경력이 없었던 (역사 전공) 후보자가 교과서뿐만 아니라 실제 컴퓨팅 환경에서 공부한 것처럼 TCP에 대해 이야기했다. 그는 “지원자 중에 경험은 가장 적었지만 TCP 같은 프로토콜을 직접 만든 것처럼 대답했다”라고 전했다. 넥서스 IT 그룹(Nexus IT Group)의 사이버 보안 부문 관리 책임자 트래비스 린데모엄은 다른 기본 사항으로 ▲대칭 암호화와 비대칭 암호화의 차이,...

2021.09.09

2021년에도 보안 전문가 수요는 '상승세'··· 핫한 업종과 역량은?

요즘처럼 채용 시장이 얼어붙은 시기에도 보안 전문가에 대한 수요는 여전히 높다. 여기서는 현재 사이버 보안 직종 수요가 가장 뜨거운 업종과 시장을 살펴본다. 또한 고소득 일자리를 얻기 위해서는 무엇이 필요한지도 알아본다.    올해 봄, 미국은 대공황(Great Depression) 이래로 가장 높은 실업률을 기록했다. 정보 보안 전문가도 예외는 아니었다. 물론 의료, 금융서비스, 공공 부문에서 정보 보안 서비스에 대한 니즈가 증가하긴 했다. 하지만 많은 기업이 예산을 동결하거나 삭감하면서 섣불리 채용 계획을 내놓지 못했기 때문이다.  한편 구직에 있어 산업군과 관계없이 중요한 것은 보안 전문가의 경험, 역량, 마인드셋이다. 예일대학교 CISO 폴 리버스에 따르면 특정 툴을 다룰 줄 알거나 기술 경험이 있는 사람을 찾기는 쉬운 편이다. 하지만 조직의 목표를 달성하기 위해 자신의 역량을 활용할 줄 아는 사람을 찾기는 쉽지 않다.  그는 “탁월한 기술적 역량과 수준 높은 정보 보안 지식으로는 충분하지 않다. 어려운 과제에 대한 해결책을 내놓으며 조직의 목표를 성취할 줄 아는 사람이라면 언제나 수요가 높을 것”이라고 강조했다. 보안 전문가 수요가 높은 업종은?  코로나19 여파로 정리해고 바람이 확산되는 가운데 오히려 정보 보안 전문가의 수요가 명백하게 높아진 업종들이 있다. 대표적으로 은행 및 금융서비스다. 팬데믹이 시작된 이래 끊임없는 사이버 공격에 시달렸기 때문이다.  사이버 보안 및 기술 임원 전문 구인 업체인 렌즈너 그룹(Lenzner Group)의 사장 트레이시 렌즈너는 실제로 은행 및 금융서비스 부문이 정보 보안 일자리 급증에 영향을 미쳤다고 진단했다. 그는 “이러한 일자리 대다수가 대형 은행, 기술 대기업, 전문 정보 보안 기업들에 의해 생겨났다. 관련 업계 임원들의 이야기를 종합해본 결과, IT 보안 분야의 채용 수요는 4분기까지 꾸준할 것이며, 2021년 이후에도 큰 상승세를 보일 ...

보안 사이버 보안 보안 전문가 채용 구직 CISO 모바일 보안 네트워크 보안 클라우드 보안 IoT 보안 생체인식 암호화 퀀텀 컴퓨팅 블록체인

2020.07.31

요즘처럼 채용 시장이 얼어붙은 시기에도 보안 전문가에 대한 수요는 여전히 높다. 여기서는 현재 사이버 보안 직종 수요가 가장 뜨거운 업종과 시장을 살펴본다. 또한 고소득 일자리를 얻기 위해서는 무엇이 필요한지도 알아본다.    올해 봄, 미국은 대공황(Great Depression) 이래로 가장 높은 실업률을 기록했다. 정보 보안 전문가도 예외는 아니었다. 물론 의료, 금융서비스, 공공 부문에서 정보 보안 서비스에 대한 니즈가 증가하긴 했다. 하지만 많은 기업이 예산을 동결하거나 삭감하면서 섣불리 채용 계획을 내놓지 못했기 때문이다.  한편 구직에 있어 산업군과 관계없이 중요한 것은 보안 전문가의 경험, 역량, 마인드셋이다. 예일대학교 CISO 폴 리버스에 따르면 특정 툴을 다룰 줄 알거나 기술 경험이 있는 사람을 찾기는 쉬운 편이다. 하지만 조직의 목표를 달성하기 위해 자신의 역량을 활용할 줄 아는 사람을 찾기는 쉽지 않다.  그는 “탁월한 기술적 역량과 수준 높은 정보 보안 지식으로는 충분하지 않다. 어려운 과제에 대한 해결책을 내놓으며 조직의 목표를 성취할 줄 아는 사람이라면 언제나 수요가 높을 것”이라고 강조했다. 보안 전문가 수요가 높은 업종은?  코로나19 여파로 정리해고 바람이 확산되는 가운데 오히려 정보 보안 전문가의 수요가 명백하게 높아진 업종들이 있다. 대표적으로 은행 및 금융서비스다. 팬데믹이 시작된 이래 끊임없는 사이버 공격에 시달렸기 때문이다.  사이버 보안 및 기술 임원 전문 구인 업체인 렌즈너 그룹(Lenzner Group)의 사장 트레이시 렌즈너는 실제로 은행 및 금융서비스 부문이 정보 보안 일자리 급증에 영향을 미쳤다고 진단했다. 그는 “이러한 일자리 대다수가 대형 은행, 기술 대기업, 전문 정보 보안 기업들에 의해 생겨났다. 관련 업계 임원들의 이야기를 종합해본 결과, IT 보안 분야의 채용 수요는 4분기까지 꾸준할 것이며, 2021년 이후에도 큰 상승세를 보일 ...

2020.07.31

걸스카웃도 공략한다··· 보안 업계의 인재 확보 노력 ‘천태만상’

보안 인재 부족 현상이 점점 더 심각해지고 있다. 사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면, 2015년 전세계적으로 3조 달러였던 사이버범죄 비용은 2021년이면 2배 증가한 6조 달러에 이를 것으로 예상된다. 2016년 100만 개였던 사이버보안 일자리는 2019년이면 150만 개로 늘어나게 된다. 실제로 사이버공격은 그 규모와 피해가 계속 커지고 있다. 주니퍼 리서치(Juniper Research)에 따르면 올해 고객 데이터 기록 도난 건수는 28억 건이며 2022년까지 50억 건으로 늘어날 것으로 예상된다. 이 밖에 사이버시큐리티 벤처스에서는 랜섬웨어 공격으로 인한 비용 총액이 올해 50억 달러에 이를 것으로 추산하고 있다. 이는 2015년의 3억2,500만 달러에서 크게 늘어난 수치이다. 사이버시크(CyberSeek)에 따르면, 현재 미국 전체의 사이버보안 종사자가 전부 합쳐 80만 명이 안되는 상황에서 사이버보안 전문가들을 위한 일자리는 거의 35만 개 가까이 있다고 한다. 보안 자격증 보유자 역시 부족한 실정이다. 공인정보보안관리자 자격증 보유자를 위한 일자리가 3만 개나 있지만 실제 자격증 보유자는 약 1만 500명에 불과하다. 고정 관념 탈피 따라서 회사들은 전통적인 방식으로는 보안 직원을 채용하기가 대단히 어려운 실정이다. 구인 광고를 내는 것 이외의 방법을 모색해야 한다. 채용 담당자를 고용해서 이미 보안 업무에 교육을 받고 경력이 쌓인 전문가를 찾아야 한다. 미국 캘리포니아 주 서니베일(Sunnyvale)에 위치한 일루미오(Illumio)의 최고 영업 책임자 알란 코헨은 관련 기술직 종사자들을 물색하는 것도 한 가지 방법이라고 소개했다. 그는 “똑똑한 IT 종사자들이 정보 보안 분야로 몰려들고 있다. 소프트웨어로 처리되는 업무가 늘어남에 따라 응용프로그램 개발자와 운영 종사자들이 중요한 보안 역할을 맡게 될 것”이라고 말했다. ...

채용 인재 훈련 구인 보안 전문가 해커톤

2017.07.17

보안 인재 부족 현상이 점점 더 심각해지고 있다. 사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면, 2015년 전세계적으로 3조 달러였던 사이버범죄 비용은 2021년이면 2배 증가한 6조 달러에 이를 것으로 예상된다. 2016년 100만 개였던 사이버보안 일자리는 2019년이면 150만 개로 늘어나게 된다. 실제로 사이버공격은 그 규모와 피해가 계속 커지고 있다. 주니퍼 리서치(Juniper Research)에 따르면 올해 고객 데이터 기록 도난 건수는 28억 건이며 2022년까지 50억 건으로 늘어날 것으로 예상된다. 이 밖에 사이버시큐리티 벤처스에서는 랜섬웨어 공격으로 인한 비용 총액이 올해 50억 달러에 이를 것으로 추산하고 있다. 이는 2015년의 3억2,500만 달러에서 크게 늘어난 수치이다. 사이버시크(CyberSeek)에 따르면, 현재 미국 전체의 사이버보안 종사자가 전부 합쳐 80만 명이 안되는 상황에서 사이버보안 전문가들을 위한 일자리는 거의 35만 개 가까이 있다고 한다. 보안 자격증 보유자 역시 부족한 실정이다. 공인정보보안관리자 자격증 보유자를 위한 일자리가 3만 개나 있지만 실제 자격증 보유자는 약 1만 500명에 불과하다. 고정 관념 탈피 따라서 회사들은 전통적인 방식으로는 보안 직원을 채용하기가 대단히 어려운 실정이다. 구인 광고를 내는 것 이외의 방법을 모색해야 한다. 채용 담당자를 고용해서 이미 보안 업무에 교육을 받고 경력이 쌓인 전문가를 찾아야 한다. 미국 캘리포니아 주 서니베일(Sunnyvale)에 위치한 일루미오(Illumio)의 최고 영업 책임자 알란 코헨은 관련 기술직 종사자들을 물색하는 것도 한 가지 방법이라고 소개했다. 그는 “똑똑한 IT 종사자들이 정보 보안 분야로 몰려들고 있다. 소프트웨어로 처리되는 업무가 늘어남에 따라 응용프로그램 개발자와 운영 종사자들이 중요한 보안 역할을 맡게 될 것”이라고 말했다. ...

2017.07.17

"아직도 절반 이하"··· CSO·CISO가 필요한 이유

보안 관련해서는 전문가를 고용해야 하지만 최근 조사에 따르면 CSO나 CISO를 고용하는 기업의 비율이 절반에도 못 미치고 있는 상황이다. CIO에게는 보안 외에도 전담 업무가 많다. 수많은 CIO(또는 CTO)가 보안을 동시에 담당하지만 ‘제너럴리스트’ 역할만 할 뿐이다. 그래서 정말로 필요한 사람은 ‘보안 스페셜리스트’인 CSO 또는 CISO다. 무료 온라인 보안 MOOC 제공업체인 사이브러리의 ‘사이버 보안 직업 트렌드 설문 조사’에 따르면, 절반에 가까운 49%의 응답자만이 보안을 전담하는 CSO나 CISO를 고용하고 있다고 답했다. 해당 설문 조사는 고위급 IT전문가 435명을 대상으로 작년 10월부터 12월까지 실시됐다. 사이브러리의 제품 및 채용 담당자인 트레버 할스티드는 “역량이 요구치에 못 미친다는 점을 모든 직위의 사이버 전문가들이 직접 경험해 잘 알고 있고, 우리도 이런 점을 알고는 있었지만, (조사 결과) 보안을 책임지는 CSO나 CISO를 고용하는 기업의 수가 심하게 적어서 놀랐다”라고 말했다. 어째서 CSO/CISO인가? CIO나 CTO를 이미 고용하고 있는데도 보안 전담 C급 임원을 따로 둬야 하는 이유는 무엇일까? '정보, 인프라, 민감 정보, 평판 등 전반적인 보안과 사업'이라는 우선순위를 다루고, 이 모든 사항에 대한 리스크를 사전에 최소화해야 하기 때문이다. 디지털 가디언의 CTO인 솔로 페이저는 전담 CSO나 CISO의 경우 사이버 위협 실태와 보안 접근법, 툴, 기술에 관해 넓고 깊이 있는 지식을 갖췄을 뿐 아니라, 리스크 분석 및 최소화 방법과 관련해서도 전문적인 관점으로 볼 수 있는 사람들이라고 말했다. 디지털 가디언은 데이터 손실 방지 및 보안 관리 서비스를 제공하는 업체다. 페이저는 “CSO나 CISO의 경우 정확한 공격 가능성 예측 또는 사이버 위협 실태에 대한 인...

CIO 경영 CSO CISO CTO 보안 전문가 사이버 보안

2016.03.25

보안 관련해서는 전문가를 고용해야 하지만 최근 조사에 따르면 CSO나 CISO를 고용하는 기업의 비율이 절반에도 못 미치고 있는 상황이다. CIO에게는 보안 외에도 전담 업무가 많다. 수많은 CIO(또는 CTO)가 보안을 동시에 담당하지만 ‘제너럴리스트’ 역할만 할 뿐이다. 그래서 정말로 필요한 사람은 ‘보안 스페셜리스트’인 CSO 또는 CISO다. 무료 온라인 보안 MOOC 제공업체인 사이브러리의 ‘사이버 보안 직업 트렌드 설문 조사’에 따르면, 절반에 가까운 49%의 응답자만이 보안을 전담하는 CSO나 CISO를 고용하고 있다고 답했다. 해당 설문 조사는 고위급 IT전문가 435명을 대상으로 작년 10월부터 12월까지 실시됐다. 사이브러리의 제품 및 채용 담당자인 트레버 할스티드는 “역량이 요구치에 못 미친다는 점을 모든 직위의 사이버 전문가들이 직접 경험해 잘 알고 있고, 우리도 이런 점을 알고는 있었지만, (조사 결과) 보안을 책임지는 CSO나 CISO를 고용하는 기업의 수가 심하게 적어서 놀랐다”라고 말했다. 어째서 CSO/CISO인가? CIO나 CTO를 이미 고용하고 있는데도 보안 전담 C급 임원을 따로 둬야 하는 이유는 무엇일까? '정보, 인프라, 민감 정보, 평판 등 전반적인 보안과 사업'이라는 우선순위를 다루고, 이 모든 사항에 대한 리스크를 사전에 최소화해야 하기 때문이다. 디지털 가디언의 CTO인 솔로 페이저는 전담 CSO나 CISO의 경우 사이버 위협 실태와 보안 접근법, 툴, 기술에 관해 넓고 깊이 있는 지식을 갖췄을 뿐 아니라, 리스크 분석 및 최소화 방법과 관련해서도 전문적인 관점으로 볼 수 있는 사람들이라고 말했다. 디지털 가디언은 데이터 손실 방지 및 보안 관리 서비스를 제공하는 업체다. 페이저는 “CSO나 CISO의 경우 정확한 공격 가능성 예측 또는 사이버 위협 실태에 대한 인...

2016.03.25

기고 | 보안 전문가에게 컨설팅 경력이 필요한 이유

현재 북미 시장에서 IT 보안 컨설턴트가 인기다. 대형 컨설팅기업부터 IT대기업, 보안 전문업체까지 IT 보안 컨설턴트 확보에 나섰다. IT전문 자유기고가인 브루스 하팜은 보안 전문가가 되고 싶다면 IT 보안 컨설턴트 경력이 도움될 것이라고 권했다. 이미지 출처 : Thinkstock 보안 전문가가 되고 싶나? 그렇다면, IT 보안 컨설턴트에 먼저 도전해 볼 것을 권한다. 탁월한 선택이 될 것이다. 기업에서 보안 분야를 담당하는 것과 달리 컨설턴트는 다양한 비즈니스 솔루션과 산업에 접할 기회가 많다. 컨설팅 분야에서 성공한 사람을 보면, 대개 업계 최고의 기술과 새로운 기술에 대한 최신 지식을 보유하고 있는 경우다. 컨설팅을 시작하기에 앞서 현재 업계의 기회와 문제점에 대해 알아보도록 하자. BH 컨설팅(BH Consulting)의 설립자 브라이언 호난은 "클라우드, 포렌식, 보안 위험 평가를 수행하는 분야에서 보안 서비스 수요가 많다"고 말했다. 아일랜드에 있는 이 IT 보안 컨설팅 기업에는 현재 10명의 컨설턴트가 있으며, 이들이 아일랜드, 유럽, 영국, 미국의 기업에게 서비스를 제공하고 있다. 포부가 큰 컨설턴트는 보안 산업과 관련한 여러 기업을 파악해야 한다. 각 보안 기업의 유형은 전문 분야, 지리적인 위치, 성장 측면에 따라 달라진다. 개인의 경력은 자신의 위치와 시장에 제공하는 기술에 영향을 받게 된다. <완벽한 컨설팅(Flawless Consulting)>의 저자로 유명한 피터 블록은 "컨설팅에서 프로젝트를 만드는 쪽과 업무를 수행하는 쪽, 이 두 그룹을 경제적인 관념에서 이해하는 것이 중요하다"고 설명했다. --------------------------------------------------------------- 보안 경력 인기기사 ->블로그 | 수요·공급 많은 보안직종, 인재 찾기 어려운 이유 -> 블로그 | 당신의 보안...

CSO IT 보안 컨설팅 팔로알토 네트웍스 RSA 수요 보안 전문가 포티넷 딜로이트 컨설턴트 고용 IBM 채용 틈새시장

2016.03.17

현재 북미 시장에서 IT 보안 컨설턴트가 인기다. 대형 컨설팅기업부터 IT대기업, 보안 전문업체까지 IT 보안 컨설턴트 확보에 나섰다. IT전문 자유기고가인 브루스 하팜은 보안 전문가가 되고 싶다면 IT 보안 컨설턴트 경력이 도움될 것이라고 권했다. 이미지 출처 : Thinkstock 보안 전문가가 되고 싶나? 그렇다면, IT 보안 컨설턴트에 먼저 도전해 볼 것을 권한다. 탁월한 선택이 될 것이다. 기업에서 보안 분야를 담당하는 것과 달리 컨설턴트는 다양한 비즈니스 솔루션과 산업에 접할 기회가 많다. 컨설팅 분야에서 성공한 사람을 보면, 대개 업계 최고의 기술과 새로운 기술에 대한 최신 지식을 보유하고 있는 경우다. 컨설팅을 시작하기에 앞서 현재 업계의 기회와 문제점에 대해 알아보도록 하자. BH 컨설팅(BH Consulting)의 설립자 브라이언 호난은 "클라우드, 포렌식, 보안 위험 평가를 수행하는 분야에서 보안 서비스 수요가 많다"고 말했다. 아일랜드에 있는 이 IT 보안 컨설팅 기업에는 현재 10명의 컨설턴트가 있으며, 이들이 아일랜드, 유럽, 영국, 미국의 기업에게 서비스를 제공하고 있다. 포부가 큰 컨설턴트는 보안 산업과 관련한 여러 기업을 파악해야 한다. 각 보안 기업의 유형은 전문 분야, 지리적인 위치, 성장 측면에 따라 달라진다. 개인의 경력은 자신의 위치와 시장에 제공하는 기술에 영향을 받게 된다. <완벽한 컨설팅(Flawless Consulting)>의 저자로 유명한 피터 블록은 "컨설팅에서 프로젝트를 만드는 쪽과 업무를 수행하는 쪽, 이 두 그룹을 경제적인 관념에서 이해하는 것이 중요하다"고 설명했다. --------------------------------------------------------------- 보안 경력 인기기사 ->블로그 | 수요·공급 많은 보안직종, 인재 찾기 어려운 이유 -> 블로그 | 당신의 보안...

2016.03.17

보안 전문가를 둘러싼 10가지 흔한 오해

보안을 다루다 보면 많은 오해에 직면한다. 오해를 일으키는 요소는 영화, 선입견 또는 단순한 상상 등이다. CSO는 최근 베라코드(Veracode)의 크리스 엥, 크리스 와이소팔, 넷스코프(Netskope)의 산제이 베리, 그리고 퀄리스(Qualys)의 안드류 와일드와 대담을 나누며 보안 분야에서 일하며 경험한 사람들의 오해에 대한 의견을 들어봤다. editor@itworld.co.kr

오해 보안 전문가

2014.01.17

보안을 다루다 보면 많은 오해에 직면한다. 오해를 일으키는 요소는 영화, 선입견 또는 단순한 상상 등이다. CSO는 최근 베라코드(Veracode)의 크리스 엥, 크리스 와이소팔, 넷스코프(Netskope)의 산제이 베리, 그리고 퀄리스(Qualys)의 안드류 와일드와 대담을 나누며 보안 분야에서 일하며 경험한 사람들의 오해에 대한 의견을 들어봤다. editor@itworld.co.kr

2014.01.17

보안 전문가들에게 '왜'라는 질문이 중요한 3가지 이유

보안 전문가들은 어떻게 이 분야에 몸담게 됐을까? 이들이 보안을 직업으로 택한 이유는 무엇을까? 그 이유를 분명히 하는 것은 더 나은 경력을 개발하고 차별화 시켜줄 수 있다.  20년 가까이 정보 보안 산업의 이런 저런 역할들에 몸담았던 필자는 지난해 12월 문득 이런 생각이 들었다. 바로 “나는 출구를 찾고 있었다”는 생각이었다. 3년 간의 답사 여행을 끝마친 직후의 일이었다. 필자는 그간 잊고 있던 ‘왜'에 관한 질문을 스스로에게 다시 던져봤다. 그리고 해답은 ‘무엇'의 문제로 돌아왔다. 시야가 조금 더 명확해졌다. 이 과정에 7개월이 걸렸다. 필자에게 ‘왜'라는 문제는 언제나 모두에게 각자의 이야기가 있다는 믿음을 근간으로 두고 있다. 우리 각자의 이야기는 모두 이야기 할 가치가 있는 것들이며, 동시에 경청할 가치가 있는 것들이다. 우리는 스스로의 이야기를 하며 많은 것을 배운다. 그리고 다른 이의 이야기를 들으며 더 많은 것들을 배운다. 필자의 ‘왜'는 사람들에게 자신의 이야기를 할 커뮤니케이션 방법론 활용을 독려하는 시스템을 구축하는 노력이 보안보다 중요하다는 믿음이었다. 지난 3월 필자는 웹사이트를 개편하고 동료들에게 연락을 취해 내가 어떻게 그들을 도울 수 있을지 설명했다. 내 도움이 어떤 효과가 있는지 누군가 물어올 때에는, 패스워드 인증이 사용자들의 습관을 어떻게 바꾸는지에 관해 설명해줬다. 이 과정에서 중요한 사실을 깨달을 수 있었다. 패스워드는 인간과 시스템, 그리고 정보 사이의 교차점에 위치한다. 몇 달 간 보안 문제에 집중하며 필자가 어떻게 ‘보안에 집중하지 않았는가'를 설명하고 연구하는데 투자하며 필자는 ‘왜 보안인가?’라는 궁금증의 답을 찾아갔다. 나는 사람을 믿는다. 내가 보안 산업에 몸담아온 이유는 ‘사람'이 성공의 핵심이라는 사실을 알...

보안 전문가 경력 개발

2013.08.20

보안 전문가들은 어떻게 이 분야에 몸담게 됐을까? 이들이 보안을 직업으로 택한 이유는 무엇을까? 그 이유를 분명히 하는 것은 더 나은 경력을 개발하고 차별화 시켜줄 수 있다.  20년 가까이 정보 보안 산업의 이런 저런 역할들에 몸담았던 필자는 지난해 12월 문득 이런 생각이 들었다. 바로 “나는 출구를 찾고 있었다”는 생각이었다. 3년 간의 답사 여행을 끝마친 직후의 일이었다. 필자는 그간 잊고 있던 ‘왜'에 관한 질문을 스스로에게 다시 던져봤다. 그리고 해답은 ‘무엇'의 문제로 돌아왔다. 시야가 조금 더 명확해졌다. 이 과정에 7개월이 걸렸다. 필자에게 ‘왜'라는 문제는 언제나 모두에게 각자의 이야기가 있다는 믿음을 근간으로 두고 있다. 우리 각자의 이야기는 모두 이야기 할 가치가 있는 것들이며, 동시에 경청할 가치가 있는 것들이다. 우리는 스스로의 이야기를 하며 많은 것을 배운다. 그리고 다른 이의 이야기를 들으며 더 많은 것들을 배운다. 필자의 ‘왜'는 사람들에게 자신의 이야기를 할 커뮤니케이션 방법론 활용을 독려하는 시스템을 구축하는 노력이 보안보다 중요하다는 믿음이었다. 지난 3월 필자는 웹사이트를 개편하고 동료들에게 연락을 취해 내가 어떻게 그들을 도울 수 있을지 설명했다. 내 도움이 어떤 효과가 있는지 누군가 물어올 때에는, 패스워드 인증이 사용자들의 습관을 어떻게 바꾸는지에 관해 설명해줬다. 이 과정에서 중요한 사실을 깨달을 수 있었다. 패스워드는 인간과 시스템, 그리고 정보 사이의 교차점에 위치한다. 몇 달 간 보안 문제에 집중하며 필자가 어떻게 ‘보안에 집중하지 않았는가'를 설명하고 연구하는데 투자하며 필자는 ‘왜 보안인가?’라는 궁금증의 답을 찾아갔다. 나는 사람을 믿는다. 내가 보안 산업에 몸담아온 이유는 ‘사람'이 성공의 핵심이라는 사실을 알...

2013.08.20

보안 전문가들이 갖춰야 할 6가지 소프트 스킬

성공한 CSO들은 고유의 능력을 잘 조합해 활용한 덕분에 현재의 위치에 올라서게 됐다고 말할 것이다. 최고경영진에 들어갈만한 자격이 충분한 CSO에게 기술적 배경은 분명 중요할 것이다. 하지만, 사업부문의 실행과 우수한 커뮤니케이션 능력이 바로 결정적이 요인이라는 점을 간과해서는 안된다. 이러한 추세가 단시간 내에 바뀌리라 보지 않는다. 그러나 몇년마다 한번씩, 그 당시 화제가 되는 기술이 요구되는 기술 조합에 추가되는데, 바로 이 기술이 당신을 (당신의 회사와 미래의 고용주에게) 더욱 매력적으로 보이게 해주고, 당신이 뛰어든 분야에서 최고가 되도록 해줄 것이다. 당신 스스로 그 기술을 익히는 것보다는 다재다능한 직원들을 보유함으로써 이런 기술들 몇 가지를 도입해야할 필요가 있다. 업계 전문가들이 말하는현재 가장 중요하다고 여겨지는 능력들을 여기 소개하겠다. 다양한 IT 경험 정보 보안과 물리적 보안에 대한 숙련된 기술이 필요하다. 세계적인 디지털-위험-관리와 조사 기업 스트로츠 프리드버그(Stroz Friedberg)의 CSO 칼 영은 이 2가지 모두에 대한 숙련된 경험이 보안 분야 최고의 위치에 올라서는데 중요하다고 전했다. 이런 분야들간의 커져가는 상호의존성은 위험 관리에 관한 폭넓은 관점을 요구한다. 요구사항을 예측하는 능력. 업계의 요구사항을 이해하고, 신기술과 위협을 미리미리 파악함으로써, 훌륭한 CSO는 정보와 물리적 보안 측면 모두에서 필요한 특별한 기술과 전문성(분석 전문성이나 악성코드에 대한 특화된 전문성 같은)을 분간해낼 수 있다고 영은 전했다. 숙련된 물리적 보안 기술 인력 채용 업체인 SCW 컨설팅(SCW Consulting)의 회장 탐 베르저는 기술면에 능숙한 물리적-보안 전문가, 특히 디지털-비디오 소프트웨어 관리와 분석 분야에 대한 수요가 커지고 있다고 밝혔다. 얼라이드바톤 시큐리티 서비스(AlliedBarton Security Services)의 부회장 브렌트 오브라이언은 그의 회사가 물...

CSO 커뮤니케이션 변화 CISO 적응 보안 전문가

2013.03.08

성공한 CSO들은 고유의 능력을 잘 조합해 활용한 덕분에 현재의 위치에 올라서게 됐다고 말할 것이다. 최고경영진에 들어갈만한 자격이 충분한 CSO에게 기술적 배경은 분명 중요할 것이다. 하지만, 사업부문의 실행과 우수한 커뮤니케이션 능력이 바로 결정적이 요인이라는 점을 간과해서는 안된다. 이러한 추세가 단시간 내에 바뀌리라 보지 않는다. 그러나 몇년마다 한번씩, 그 당시 화제가 되는 기술이 요구되는 기술 조합에 추가되는데, 바로 이 기술이 당신을 (당신의 회사와 미래의 고용주에게) 더욱 매력적으로 보이게 해주고, 당신이 뛰어든 분야에서 최고가 되도록 해줄 것이다. 당신 스스로 그 기술을 익히는 것보다는 다재다능한 직원들을 보유함으로써 이런 기술들 몇 가지를 도입해야할 필요가 있다. 업계 전문가들이 말하는현재 가장 중요하다고 여겨지는 능력들을 여기 소개하겠다. 다양한 IT 경험 정보 보안과 물리적 보안에 대한 숙련된 기술이 필요하다. 세계적인 디지털-위험-관리와 조사 기업 스트로츠 프리드버그(Stroz Friedberg)의 CSO 칼 영은 이 2가지 모두에 대한 숙련된 경험이 보안 분야 최고의 위치에 올라서는데 중요하다고 전했다. 이런 분야들간의 커져가는 상호의존성은 위험 관리에 관한 폭넓은 관점을 요구한다. 요구사항을 예측하는 능력. 업계의 요구사항을 이해하고, 신기술과 위협을 미리미리 파악함으로써, 훌륭한 CSO는 정보와 물리적 보안 측면 모두에서 필요한 특별한 기술과 전문성(분석 전문성이나 악성코드에 대한 특화된 전문성 같은)을 분간해낼 수 있다고 영은 전했다. 숙련된 물리적 보안 기술 인력 채용 업체인 SCW 컨설팅(SCW Consulting)의 회장 탐 베르저는 기술면에 능숙한 물리적-보안 전문가, 특히 디지털-비디오 소프트웨어 관리와 분석 분야에 대한 수요가 커지고 있다고 밝혔다. 얼라이드바톤 시큐리티 서비스(AlliedBarton Security Services)의 부회장 브렌트 오브라이언은 그의 회사가 물...

2013.03.08

더러운 IT 보안 속임수 14개, 보안 전문가 편

IT 보안 세계에서는 돌팔이와 모방꾼들이 넘쳐난다. 보안 분야에 종사하는 이라면 이런 이들을 조심하라는 '충고'를 접해보지 못한 이는 없을 것이다.    보통 IT 보안 컨설턴트에게 기대하는 것은 전문적인 지식, 공정한 조언, 경험에서 우러난 충고, 합리적인 가격 등이다. 그러나 때로는 이들과의 관계가 득보다는 실이 많은, 떠올리기 싫은 경험이 될 수도 있음을 알아야 한다.    구체적으로 예를 들면 사소한 문제를 과장해 값비싼 솔루션을 추천하는 컨설턴트나 계약 이후 말도 안 되는 기능 셋을 가져오는 컨설턴트, 또는 기한을 어기거나 작업이 끝난 후에 자사의 시스템에 무슨 일이 생기든 나 몰라라하는 컨설턴트 등이 있을 것이다.    그러나 이런 징조를 알아채기란 쉽지 않은 것이 사실이다. 이들은 최고의 업체명이 적힌 명함을 건네면서 그 누구보다 친절하게 인사하고 자신이 직면한 어려움을 진심으로 걱정해주기 때문이다. 물론 그들이 악의를 가지고 피해를 주는 것은 아니다. 그들은 단지 자사의 문제를 효율적으로 해결해 줄 방법을 모르고 있는 것뿐이다.    다음에서 자신이 외부 컨설턴트나 개발업체를 모색하는 과정에서 주의를 기울일 필요가 있는 14개의 못된 IT 보안 속임수들을 소개한다. 여기 소개된, 혹은 또 다른 속임수에 넘어가 본 경험이 있다면, 댓글을 통해 그 경험을 공유해주길 바란다.   IT 보안 속임수 NO. 1 : 꾸며낸 경험 한 재미난 TV 광고가 있었다. 누군가 어떤 솔루션의 설계를 막 끝마친 테크놀로지 컨설턴트들에게 솔루션 배치 지원을 요청하자, 컨설턴트들이 화를 내며 "저기, 우린 컨설턴트일 뿐이라고!"라고 말하는 것이었다.    조금은 과장이 섞인 면도 있는 광고지만, 실제로 많은 컨설턴트들은 자신이 판매하고 있는 솔루션을 배...

보안 전문가 IT 속임수 보안 속임수

2013.02.27

IT 보안 세계에서는 돌팔이와 모방꾼들이 넘쳐난다. 보안 분야에 종사하는 이라면 이런 이들을 조심하라는 '충고'를 접해보지 못한 이는 없을 것이다.    보통 IT 보안 컨설턴트에게 기대하는 것은 전문적인 지식, 공정한 조언, 경험에서 우러난 충고, 합리적인 가격 등이다. 그러나 때로는 이들과의 관계가 득보다는 실이 많은, 떠올리기 싫은 경험이 될 수도 있음을 알아야 한다.    구체적으로 예를 들면 사소한 문제를 과장해 값비싼 솔루션을 추천하는 컨설턴트나 계약 이후 말도 안 되는 기능 셋을 가져오는 컨설턴트, 또는 기한을 어기거나 작업이 끝난 후에 자사의 시스템에 무슨 일이 생기든 나 몰라라하는 컨설턴트 등이 있을 것이다.    그러나 이런 징조를 알아채기란 쉽지 않은 것이 사실이다. 이들은 최고의 업체명이 적힌 명함을 건네면서 그 누구보다 친절하게 인사하고 자신이 직면한 어려움을 진심으로 걱정해주기 때문이다. 물론 그들이 악의를 가지고 피해를 주는 것은 아니다. 그들은 단지 자사의 문제를 효율적으로 해결해 줄 방법을 모르고 있는 것뿐이다.    다음에서 자신이 외부 컨설턴트나 개발업체를 모색하는 과정에서 주의를 기울일 필요가 있는 14개의 못된 IT 보안 속임수들을 소개한다. 여기 소개된, 혹은 또 다른 속임수에 넘어가 본 경험이 있다면, 댓글을 통해 그 경험을 공유해주길 바란다.   IT 보안 속임수 NO. 1 : 꾸며낸 경험 한 재미난 TV 광고가 있었다. 누군가 어떤 솔루션의 설계를 막 끝마친 테크놀로지 컨설턴트들에게 솔루션 배치 지원을 요청하자, 컨설턴트들이 화를 내며 "저기, 우린 컨설턴트일 뿐이라고!"라고 말하는 것이었다.    조금은 과장이 섞인 면도 있는 광고지만, 실제로 많은 컨설턴트들은 자신이 판매하고 있는 솔루션을 배...

2013.02.27

“잘못된 보안 기술에 투자하고 있다” 전문가들 지적

세이프넷(SafeNet)의 조사에 응한 보안 전문가의 약 2/3가 향후 3개월 내에 데이터 유출로 고생하게 될 것이라고 예상했다. 데이터 보안 업체 세이프넷이 화요일 발표한 자료에 따르면, 기업의 보안 투자가 잘못된 기술을 도입하는 데 쓰이고 있다고 지적한 보안 전문가가 1/3 이상인 것으로 나타났다. 이 조사는 세이프넷이 미 매릴랜드 주에 위치한 조사업체 벨캠프(Belcamp)에 의뢰해 진행했다. 이 조사에서 네트워크 경계 방어에 대한 지속적인 투자에도, 고가치 데이터를 보호하기 위한 제대로 된 기술을 사용하고 있다고 확신할 수 없다고 답한 미국의 보안 전문가는 230명 중에서 35%로 집계됐다. 세이프넷의 CSO 지온 고넨은 “이 결과가 말하는 메시지는 ‘우리는 그것이 작동하지 않는다는 것을 알고 있고 데이터 유출을 겪게 될 것이라 생각하지만 이 같은 많은 일들을 계속해서 할 것 같다’라는 것이다"라고 인터뷰에서 밝혔다. 고넨은 "같은 일을 하면서 다른 결과를 기대하는 것은 어리석은 짓이다"라고 지적했다. 응답자 대다수는 자신의 주변 방어를 강화하기 위해 투자하지만 이 방어가 뚫릴 경우 끔찍한 결과를 예측한다고 답했다. 이 조사에 따르면, 절반 이상인 59%는 일단 경계가 한번 뚫리면 데이터가 안전하지 않을 것이라고 말했다.   또한, 약 1/3인 65%는 향후 3년간 데이터 유출로 고생하게 될 것이라고 답했다. 그런데도 경계 방어가 과거에도 뚫린 적이 있다는 사실을 인정(31%)하면서도 74%는 이러한 방어가 경계 방어가 접근 권한이 없는 사용자들을 데이터 접근을 막는데 효과적이라고 확신한다고 대답했다. 하지만 경계 보안 투자를 늘리거나 지난해와 비슷하게 유지한다고 밝힌 보안 전문가는 압도적인 비중인 98%로 집계됐다. 회사가 보안에 충분히 투자하지 않는다고 말한 응답자는 절반 이상으로 조사됐다. 세이프넷은 네트워크 공격자로부터 보호하기 위...

CSO CISO 보안 전문가 세이프넷

2013.02.14

세이프넷(SafeNet)의 조사에 응한 보안 전문가의 약 2/3가 향후 3개월 내에 데이터 유출로 고생하게 될 것이라고 예상했다. 데이터 보안 업체 세이프넷이 화요일 발표한 자료에 따르면, 기업의 보안 투자가 잘못된 기술을 도입하는 데 쓰이고 있다고 지적한 보안 전문가가 1/3 이상인 것으로 나타났다. 이 조사는 세이프넷이 미 매릴랜드 주에 위치한 조사업체 벨캠프(Belcamp)에 의뢰해 진행했다. 이 조사에서 네트워크 경계 방어에 대한 지속적인 투자에도, 고가치 데이터를 보호하기 위한 제대로 된 기술을 사용하고 있다고 확신할 수 없다고 답한 미국의 보안 전문가는 230명 중에서 35%로 집계됐다. 세이프넷의 CSO 지온 고넨은 “이 결과가 말하는 메시지는 ‘우리는 그것이 작동하지 않는다는 것을 알고 있고 데이터 유출을 겪게 될 것이라 생각하지만 이 같은 많은 일들을 계속해서 할 것 같다’라는 것이다"라고 인터뷰에서 밝혔다. 고넨은 "같은 일을 하면서 다른 결과를 기대하는 것은 어리석은 짓이다"라고 지적했다. 응답자 대다수는 자신의 주변 방어를 강화하기 위해 투자하지만 이 방어가 뚫릴 경우 끔찍한 결과를 예측한다고 답했다. 이 조사에 따르면, 절반 이상인 59%는 일단 경계가 한번 뚫리면 데이터가 안전하지 않을 것이라고 말했다.   또한, 약 1/3인 65%는 향후 3년간 데이터 유출로 고생하게 될 것이라고 답했다. 그런데도 경계 방어가 과거에도 뚫린 적이 있다는 사실을 인정(31%)하면서도 74%는 이러한 방어가 경계 방어가 접근 권한이 없는 사용자들을 데이터 접근을 막는데 효과적이라고 확신한다고 대답했다. 하지만 경계 보안 투자를 늘리거나 지난해와 비슷하게 유지한다고 밝힌 보안 전문가는 압도적인 비중인 98%로 집계됐다. 회사가 보안에 충분히 투자하지 않는다고 말한 응답자는 절반 이상으로 조사됐다. 세이프넷은 네트워크 공격자로부터 보호하기 위...

2013.02.14

기고 | 보안 인력 부족이 사고 감지에 미치는 영향

기업이 보안 인력 문제를 해결하려면 보안 인텔리전스, 분석, 자동화를 개선해야 한다. 필자는 지난 몇 년 동안 보급 IT보안 기술 인력 부족에 대해 기고문을 작성해 왔는데, 2013년에도 이 일은 계속될 것 같다. 당신은 바이러스 백신 소프트웨어를 대량으로 만들어 낼 수 있다. 하지만 우리가 CISSP를 복제할 수 있을 때까지 보안 기술 부족 현상은 사이버보안의 상태에 점점 더 크게 영향을 미칠 것이다. 필자는 이 중요한 문제에 더 많은 관심을 갖지 않는지 그 이유를 모르겠다. 보안 기술 인력 부족에 대한 몇 가지 예를 들겠다. 엔터프라이즈 전략 그룹(Enterprise Strategy Group)은 임직원수 1,000명 이상의 대기업에 종사하는 보안 전문가 257명에게 사고를 감지하는데 가장 큰 문제가 무엇인지에 대해 질문해 답변을 취합했는데, 그 중 일부를 소개하겠다. •39%는 사고를 감지하는 데 가장 큰 문제는 보안 운영/사고 감지/대응 팀의 인력이 부족하다는데 있다고 말했다 •28%는 사고를 감지하는 데 가장 큰 문제는 정교한 보안 사고가 너무 어려워 이를 파악할 수 없다는 데 있고 답했다. (특히 전문 인력 부족으로) •28%는 사고를 감지하는 데 가장 큰 문제는 사내에 필요한 보안 분석 기술 인력들의 수준이 떨어진다고 말했다. 많은 대기업들이 보안 전문가들을 충분히 확보하지 않았거나 현재 보안 인력들이 보안 전문가로서 충분한 수준에 이르지 못했거나 아니면 둘 다의 문제를 안고 있다. 필자가 장담하건데, 이 문제들은 보안 사고에 대응하는 시간과 사고를 감지하는데 필요한 시간을 지연시킬 것이다. 이 문제가 더 악화될 수밖에 없기 때문에, CISO들은 적절하게 보상을 조정해야 하고 그에 따른 전략을 수립해야 한다. 훨씬 더 훌륭한 보안 기술 인텔리전스, 자동화, 통합과 함께 대규모 데이터 취합이 사고를 감지할 수 있도록 해야 한다. 이러한 기능들은 수동 프로세스와 고급 보안 분석가들이 수작...

부족 보안 전문가 사고 감지

2013.01.11

기업이 보안 인력 문제를 해결하려면 보안 인텔리전스, 분석, 자동화를 개선해야 한다. 필자는 지난 몇 년 동안 보급 IT보안 기술 인력 부족에 대해 기고문을 작성해 왔는데, 2013년에도 이 일은 계속될 것 같다. 당신은 바이러스 백신 소프트웨어를 대량으로 만들어 낼 수 있다. 하지만 우리가 CISSP를 복제할 수 있을 때까지 보안 기술 부족 현상은 사이버보안의 상태에 점점 더 크게 영향을 미칠 것이다. 필자는 이 중요한 문제에 더 많은 관심을 갖지 않는지 그 이유를 모르겠다. 보안 기술 인력 부족에 대한 몇 가지 예를 들겠다. 엔터프라이즈 전략 그룹(Enterprise Strategy Group)은 임직원수 1,000명 이상의 대기업에 종사하는 보안 전문가 257명에게 사고를 감지하는데 가장 큰 문제가 무엇인지에 대해 질문해 답변을 취합했는데, 그 중 일부를 소개하겠다. •39%는 사고를 감지하는 데 가장 큰 문제는 보안 운영/사고 감지/대응 팀의 인력이 부족하다는데 있다고 말했다 •28%는 사고를 감지하는 데 가장 큰 문제는 정교한 보안 사고가 너무 어려워 이를 파악할 수 없다는 데 있고 답했다. (특히 전문 인력 부족으로) •28%는 사고를 감지하는 데 가장 큰 문제는 사내에 필요한 보안 분석 기술 인력들의 수준이 떨어진다고 말했다. 많은 대기업들이 보안 전문가들을 충분히 확보하지 않았거나 현재 보안 인력들이 보안 전문가로서 충분한 수준에 이르지 못했거나 아니면 둘 다의 문제를 안고 있다. 필자가 장담하건데, 이 문제들은 보안 사고에 대응하는 시간과 사고를 감지하는데 필요한 시간을 지연시킬 것이다. 이 문제가 더 악화될 수밖에 없기 때문에, CISO들은 적절하게 보상을 조정해야 하고 그에 따른 전략을 수립해야 한다. 훨씬 더 훌륭한 보안 기술 인텔리전스, 자동화, 통합과 함께 대규모 데이터 취합이 사고를 감지할 수 있도록 해야 한다. 이러한 기능들은 수동 프로세스와 고급 보안 분석가들이 수작...

2013.01.11

칼럼 | 옥수수 보조금과 IT보안 인력 양성

IT칼럼의 주제로 옥수수를 이야기한다면, 분명 이상하게 들릴 것이다. 필자가 정확히 말하고 싶은 것은 미국 정부의 옥수수 보조금이다. 미국에서 옥수수 농부들이 옥수수를 계속 재배하는지 알 수 있는 방법은, 정부가 농민들에게 현금을 지급하느냐를 확인하는 것이다. 우리는 사료용과 주식용, 심지어 에탄올 제조용으로 옥수수를 심고 있다. 우리는 수 년 동안 이 일을 해왔고 앞으로도 계속 옥수수를 재배할 것이다. 왜냐면, 수확시기에 옥수수가 있는지를 확인하고자 하기 때문이다. 우리가 아는 수요를 충족시키는 것은 미래를 계획하고 시장-이 경우 농부들-에 미묘한 압력을 넣을 수 있다. 모든 직업에 대해 단기, 중기, 장기 전망이 어떠한 지를 알아보는 것은 필수다. 농부들도 마찬가지다. “옥수수를 재배할까? 아니면 알파파를 재배할까?”같은 질문들이 필요하다. 보조금은 의사결정을 더 쉽게 내릴 수 있게 해주는 변수일 뿐이다. IT보안 전문가의 차기 성장과 옥수수의 시장의 재배와 완전히 다르지 않다. 전 세계적으로, 보안 업계는 숙련된 IT보안 전문가 수요를 유지하는데 어려움을 겪고 있다. 미국의 경우, 많은 대학들이 IT보안 전문가와 관련해 학위 및 자격증 프로그램 과정을 개설했다. 문제는 이 전문가들이 현재 너무 부족하며 몇 년 내에 수요를 충족할 만큼 공급될 것 같지도 않다는 데 있다. 이는 미국 전역 CSO들이 필자에게 자주 언급했던 고민이기도 하다. 필자는 미국의 교육기관들이 IT가 아닌 IT보안에 좀더 집중해서 가르치기 전까지 이러한 CSO들의 우려는 기우가 아닐 것이라고 생각한다. 이를 가능하게 하려면, IT보안 인력 양성에도 옥수수 보조금 같은 것이 필요하다. 자, 우리가 이제 근처에 있는 대학들과 교육기관들에 찾아가 이 문제에 대해 귀담아 듣고 해결하도록 요구해 보자. 우리의 자녀들에게 IT보안 전문가가 유망하고 고액 연봉을 받을 수 있는 좋은 직업이라는 점을 알려 주자. 훌륭한 IT보안 인력이 부족하다...

CSO 교육 보안 전문가

2012.11.06

IT칼럼의 주제로 옥수수를 이야기한다면, 분명 이상하게 들릴 것이다. 필자가 정확히 말하고 싶은 것은 미국 정부의 옥수수 보조금이다. 미국에서 옥수수 농부들이 옥수수를 계속 재배하는지 알 수 있는 방법은, 정부가 농민들에게 현금을 지급하느냐를 확인하는 것이다. 우리는 사료용과 주식용, 심지어 에탄올 제조용으로 옥수수를 심고 있다. 우리는 수 년 동안 이 일을 해왔고 앞으로도 계속 옥수수를 재배할 것이다. 왜냐면, 수확시기에 옥수수가 있는지를 확인하고자 하기 때문이다. 우리가 아는 수요를 충족시키는 것은 미래를 계획하고 시장-이 경우 농부들-에 미묘한 압력을 넣을 수 있다. 모든 직업에 대해 단기, 중기, 장기 전망이 어떠한 지를 알아보는 것은 필수다. 농부들도 마찬가지다. “옥수수를 재배할까? 아니면 알파파를 재배할까?”같은 질문들이 필요하다. 보조금은 의사결정을 더 쉽게 내릴 수 있게 해주는 변수일 뿐이다. IT보안 전문가의 차기 성장과 옥수수의 시장의 재배와 완전히 다르지 않다. 전 세계적으로, 보안 업계는 숙련된 IT보안 전문가 수요를 유지하는데 어려움을 겪고 있다. 미국의 경우, 많은 대학들이 IT보안 전문가와 관련해 학위 및 자격증 프로그램 과정을 개설했다. 문제는 이 전문가들이 현재 너무 부족하며 몇 년 내에 수요를 충족할 만큼 공급될 것 같지도 않다는 데 있다. 이는 미국 전역 CSO들이 필자에게 자주 언급했던 고민이기도 하다. 필자는 미국의 교육기관들이 IT가 아닌 IT보안에 좀더 집중해서 가르치기 전까지 이러한 CSO들의 우려는 기우가 아닐 것이라고 생각한다. 이를 가능하게 하려면, IT보안 인력 양성에도 옥수수 보조금 같은 것이 필요하다. 자, 우리가 이제 근처에 있는 대학들과 교육기관들에 찾아가 이 문제에 대해 귀담아 듣고 해결하도록 요구해 보자. 우리의 자녀들에게 IT보안 전문가가 유망하고 고액 연봉을 받을 수 있는 좋은 직업이라는 점을 알려 주자. 훌륭한 IT보안 인력이 부족하다...

2012.11.06

글로벌 칼럼 | 보안 전문가, 얼마나 알고 있을까

최근 아이클라우드 보안 사건에서 파생된 여러 과제가 생겼다. 그 가운데서도 중요하다 싶은 것은 어떻게 하면 많은 보안 전문가들이 자기의 임무조차도 전화로 물을 만큼 모르는 지 입증하는 것이다.   아이클라우드 해킹 소식이 떠돌기 시작할 때, 보안 전문가 사이에서는 많은 토론이 있었다. 이 가운데 많은 이들은 기본적인 개념을 상당히 잘 알고 있었다. 그러나 몇몇의 경우는 보안의 기본 개념조차 이해하지 못한 이도 있었다는 것이다.   다들 아다시피, 현재 해커는 와이어드 기자의 아마존닷컴과 아이클라우드 계정에 침투할 수 있었다. 이 계정은 각 업체의 비밀번호 재설정 프로세스에서의 운영적인 보안 결점으로 인해 상당히 쉬운 사회 공학적 형태의 공격으로 침투당한 것이다.     이번 공격은 계정 비밀번호와는 전혀 상관없다는 데 강점이 있다. 공격자는 간단히 비밀번호 재설정만 하면 되기 때문이다. 그런데 보안 전문가로 추측되는 누군가가 비밀번호가 강력했다면 그 공격이 성공하지 못했다고 주장했다.   필자는 이 댓글을 읽으면서 자칭 보안 전문가라는 이에 대한 자격 요건이 궁금했다. 필자는 곧 그가 다른 부서로부터 정보 보안 부서에 새로 발령받았다는 것을 알아챘다.   발령 전에 어떤 공식적인 보안 훈련을 받지 않았다는 것은 문제가 되지 않는다. 문제는 이 사람이 재발령을 받은 이후에 어떠한 보안 훈련도 제공받지 못했으며, 그 또한 훈련을 하기 위해 노력하지 않았다는 점이다.     이런 상황은 포천 500대 기업에서 특별한 일이 아니다. 많은 기업들이 채용을 동결했으며, 정리해고를 단행했다. 이는 인력이 부족한 보안부서는 어떤 누구라도 데리고 와야한다는 것을 의미한다.   심지어 채용 동결이 되지 않았음에도 많은 기업은 직원들의 전문성 개발을 목적으로 내부적으로 순환 근무를 하게끔 되어 있다. 이로 인해 보안 책임자는 다른 선택의 여지가 없는 사람들을 받아들인다. &...

CISO 보안 전문가 보안 훈련 채용 동결

2012.08.22

최근 아이클라우드 보안 사건에서 파생된 여러 과제가 생겼다. 그 가운데서도 중요하다 싶은 것은 어떻게 하면 많은 보안 전문가들이 자기의 임무조차도 전화로 물을 만큼 모르는 지 입증하는 것이다.   아이클라우드 해킹 소식이 떠돌기 시작할 때, 보안 전문가 사이에서는 많은 토론이 있었다. 이 가운데 많은 이들은 기본적인 개념을 상당히 잘 알고 있었다. 그러나 몇몇의 경우는 보안의 기본 개념조차 이해하지 못한 이도 있었다는 것이다.   다들 아다시피, 현재 해커는 와이어드 기자의 아마존닷컴과 아이클라우드 계정에 침투할 수 있었다. 이 계정은 각 업체의 비밀번호 재설정 프로세스에서의 운영적인 보안 결점으로 인해 상당히 쉬운 사회 공학적 형태의 공격으로 침투당한 것이다.     이번 공격은 계정 비밀번호와는 전혀 상관없다는 데 강점이 있다. 공격자는 간단히 비밀번호 재설정만 하면 되기 때문이다. 그런데 보안 전문가로 추측되는 누군가가 비밀번호가 강력했다면 그 공격이 성공하지 못했다고 주장했다.   필자는 이 댓글을 읽으면서 자칭 보안 전문가라는 이에 대한 자격 요건이 궁금했다. 필자는 곧 그가 다른 부서로부터 정보 보안 부서에 새로 발령받았다는 것을 알아챘다.   발령 전에 어떤 공식적인 보안 훈련을 받지 않았다는 것은 문제가 되지 않는다. 문제는 이 사람이 재발령을 받은 이후에 어떠한 보안 훈련도 제공받지 못했으며, 그 또한 훈련을 하기 위해 노력하지 않았다는 점이다.     이런 상황은 포천 500대 기업에서 특별한 일이 아니다. 많은 기업들이 채용을 동결했으며, 정리해고를 단행했다. 이는 인력이 부족한 보안부서는 어떤 누구라도 데리고 와야한다는 것을 의미한다.   심지어 채용 동결이 되지 않았음에도 많은 기업은 직원들의 전문성 개발을 목적으로 내부적으로 순환 근무를 하게끔 되어 있다. 이로 인해 보안 책임자는 다른 선택의 여지가 없는 사람들을 받아들인다. &...

2012.08.22

조사 | 전세계 보안 전문가 96%가 ‘고용 상태’

현재 어느 분야에서 보안 전문가들을 찾고 있으며 앞으로 어디서 기회가 계속 증가할 것인지를 나타내는 정보 보안에 대한 구직•채용 관련 조사 결과가 나왔다. 세계 최대의 비영리 정보보안전문가 단체이자 CISSP의 관리자인 (ISC)2가 전세계 정보 보안 전문가 2,256명을 대상으로 한 조사에 따르면, 96%의 정보 보안 전문가가 현재 고용 상태인 것으로 집계됐다. 이는 이 2,256명 가운데 80명만이 실업 상태라는 의미다. 이 80명 가운데 절반은 본인의 의지가 아닌 회사의 권유로 실직 상태가 된 것이지만 나머지는 이직이나 교육 등 다른 이유로 현재 취업을 하지 않은 상태인 것으로 조사됐다. 또한 2011년에 실직을 경험했다고 답한 응답자는 7%에 불과한 것으로 나타났다. (ISC)2의 2012 직업 영향 조사(Career Impact Survey)에 따르면, 정보 보안 분야의 정리 해고가 증가할 것으로 예상하는 응답자가 27%인데도 불구하고 실제 이들의 실업률은 낮았다. 2010년에 회사에서 보안 전문가들을 내보낼 것으로 예상한 응답자들이 20%로 조사됐는데 최근 조사는 이보다 높지만, 이는 일자리가 줄었고 근로자들이 이직을 하고 있다는 데서 오는 차이라고 글로벌 정보 보안 전문가 회원들은 말했다. 2009년의 조사에서는 응답자 40%가 자사에서 정보 보안 전문가들을 줄이고 있다고 말했다. 구직 기회 역시 늘어날 것으로 관측된다. 응답자 62%는 올해 회사가 정규직 또는 계약직 정보 보안 직원을 추가로 채용할 것이라고 말했다. 참고로 지난해 이같이 말한 응답자는 53.3%로 올해 다소 늘어났다. 보안 전문가들의 급여 역시 늘어날 것으로 예상된다. 약 70%의 응답자가 2011년에 인상된 임금을 받았다고 말했으며 지난해 이같이 답한 응답자가 52.8%였던 것에 비하면 크게 증가한 것으로 조사됐다. 조사에 응한 보안 전문가 절반 이상인 55%는 올해도 임금이 인상될 것으로 기대한다고 답했다. 지난해 (ISC)2 글...

보안 채용 고용 임금 보안 전문가 (ISC)2

2012.02.16

현재 어느 분야에서 보안 전문가들을 찾고 있으며 앞으로 어디서 기회가 계속 증가할 것인지를 나타내는 정보 보안에 대한 구직•채용 관련 조사 결과가 나왔다. 세계 최대의 비영리 정보보안전문가 단체이자 CISSP의 관리자인 (ISC)2가 전세계 정보 보안 전문가 2,256명을 대상으로 한 조사에 따르면, 96%의 정보 보안 전문가가 현재 고용 상태인 것으로 집계됐다. 이는 이 2,256명 가운데 80명만이 실업 상태라는 의미다. 이 80명 가운데 절반은 본인의 의지가 아닌 회사의 권유로 실직 상태가 된 것이지만 나머지는 이직이나 교육 등 다른 이유로 현재 취업을 하지 않은 상태인 것으로 조사됐다. 또한 2011년에 실직을 경험했다고 답한 응답자는 7%에 불과한 것으로 나타났다. (ISC)2의 2012 직업 영향 조사(Career Impact Survey)에 따르면, 정보 보안 분야의 정리 해고가 증가할 것으로 예상하는 응답자가 27%인데도 불구하고 실제 이들의 실업률은 낮았다. 2010년에 회사에서 보안 전문가들을 내보낼 것으로 예상한 응답자들이 20%로 조사됐는데 최근 조사는 이보다 높지만, 이는 일자리가 줄었고 근로자들이 이직을 하고 있다는 데서 오는 차이라고 글로벌 정보 보안 전문가 회원들은 말했다. 2009년의 조사에서는 응답자 40%가 자사에서 정보 보안 전문가들을 줄이고 있다고 말했다. 구직 기회 역시 늘어날 것으로 관측된다. 응답자 62%는 올해 회사가 정규직 또는 계약직 정보 보안 직원을 추가로 채용할 것이라고 말했다. 참고로 지난해 이같이 말한 응답자는 53.3%로 올해 다소 늘어났다. 보안 전문가들의 급여 역시 늘어날 것으로 예상된다. 약 70%의 응답자가 2011년에 인상된 임금을 받았다고 말했으며 지난해 이같이 답한 응답자가 52.8%였던 것에 비하면 크게 증가한 것으로 조사됐다. 조사에 응한 보안 전문가 절반 이상인 55%는 올해도 임금이 인상될 것으로 기대한다고 답했다. 지난해 (ISC)2 글...

2012.02.16

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5