보안 분야에 들어오려는 사람들 대부분 첫 구직의 관문은 잘 통과한다. 그러나 진짜 문제는 그 다음부터 시작한다고 한다. 선배들은 어떻게 지금의 저 자리에 도달했을까? 지금 당장 할 수 있는 일 몇 가지를 소개한다.

릭 디컨(Rick Deacon)은 아포지(Apozy)라는 사이버 보안 전문 회사의 공동 창립자이다. 창업 전에는 수년 동안 모의 해커로서 활동해 왔다.

누가 봐도 보안 ‘베테랑’이지만, 사실 시작부터 정도를 밟아온 것은 아니었다. 처음 그에게 보안은 단지 취미였을 뿐이었다.

그렇기에 디컨은 “아무 것도 없는 데서부터 뭔가를 시작하고 결과를 내는 데에 익숙하다”고 자신한다. “저는 소위 말해 가방 끈이 긴 유형이 아닙니다.

해킹이라는 건 6학년 때부터 시작했고, 틈틈이 할 수 있는 일들을 해가며 계속해서 해킹을 공부해 왔죠. 그러다 보니 자연스럽게 여러 가지 기회들이 있었고, 그것들을 잡아오며 여기까지 왔습니다.”

그가 결국에 보안 베테랑이 된 것은, 그의 끝없는 노력의 영향도 있었겠지만 사이버 보안 분야가 생각보다 유연하기 때문이다. 즉, 아직은 보안 전문가로서 성장하는 방법이 정형화 되어 있지 않다는 것이다. 실제로 다양한 출신 배경을 가진 사람들이 사이버 보안 현장에서 활약하고 있기도 하다.

그렇다고 보안 분야에 진입하는 게 녹록한 것은 절대 아니다. SNS와 커뮤니티만 조금 뒤져도 보안 초년생들의 하소연과 토로는 쉽게 발굴이 가능하다. 이들의 어려움은 “뭘 어디서부터 시작해야 하는지 모르겠다”는 것이 대부분이다. 보안 공부도 했고, 보안 담당자가 되긴 됐는데, 이후로 어떤 방향을 잡아야할 지 감을 못 잡겠다는 것이다. 그런 사람들을 위해 다음과 같은 몇 가지 조언들을 공유한다.

1. 선배 보안 전문가들과 친해지라
지금은 코로나라는 특수한 상황 때문에 대면 만남을 가질 기회가 상당히 줄어들었지만, 그럼에도 명망 높고 유명하며 실력 좋은 선배들과 연을 트는 것은 대단히 중요하다. 정형화 되어 있지 않은 분야인 만큼 그런 사람들의 현장감 넘치는 조언이 절대적으로 필요하기 때문이다. 지금과 같은 상황에서는 각종 온라인 행사를 노려봄직하다.

보안 업체 라피드7(Rapid7)의 데럴 헤일란드(Deral Heiland)는 “가상 웨비나, 가상 컨퍼런스, 가상 보안 전시회 등에 적극 참석하는 것부터 시작하라”고 권고한다. “가서 강연을 듣는 것으로도 많은 것을 배울 수 있지만, 그 후에 강사에게 질문을 해서 후속 대화의 기회를 늘려가는 것이 중요합니다. 만약 온라인 네트워킹의 기회를 제공하는 행사라면 가상 공간에서 진행된다고 하더라도 참석하시기를 권합니다.”

소셜네트워크도 권장할 만하다는 게 헤일란드의 의견이다. “특히 링크드인의 경우 전문 분야의 사람들이 ‘직업’이라는 키워드로 만나는 곳입니다. 그 외에도 영어권 기준 다양한 포럼들이 존재하는데, Information Security Community, Advanced Persistent Threats & Cyber Security, The Web Application Security Consortium, Information System Security Association의 Discussion Consortium 등을 권합니다.”

정말 초기 단계에 있다면 WeAreHackerz, WoSec 등도 좋은 선택지라고 보안 업체 포인트스리 시큐리티(Point3 Security)의 수석 전략가 클로에 메스다기(Chloe Messdaghi)는 권한다. “어디가 됐든 보안 전문가들과 만날 수 있고 교류가 가능한 커뮤니티에서 활동하는 건 보안 전문가로서 경력을 시작할 때 필수라고 생각합니다. 코로나 사태가 진정되면 컨퍼런스가 여기 저기서 시작될 텐데, 그 기회를 놓치지 마세요.”

2. 멘토를 찾아라
1번과 비슷한데, 사이버 보안 전문가가 되고 싶거나 경력자가 되고 싶다면 현장 근무 경험이 다년 간 쌓여온 사람을 멘토로 삼을 수도 있어야 한다. 보안 업체 코발트아이오(Cobalt,io)의 존 헬무스(Jon Helmus)는 “지금은 모든 교류와 소통이 온라인으로 이뤄져서 오히려 멘토를 찾고 조언을 구하는 게 더 쉽다”고 말한다. “얼굴 대 얼굴로는 뭔가 계면쩍을 수 있는 대화가 온라인에서는 스스럼 없이 되기도 하거든요.”

SAS의 CISO인 브라이언 윌슨(Brian Wilson)도 비슷한 맥락에서 “생각은 로컬에서, 활동은 온라이에서 하라”고 권고한다. “예전에야 궁금한 게 있으면 아는 분 사무실로 커피 한 잔 들고 찾아갔으면 됐는데, 지금은 그럴 수가 없습니다. 그런데 그래서 더 말 걸고 도움을 주고 받는 게 더 편해졌어요. 여러 온라인 활동을 통해 선배 전문가들을 알아가야 합니다.”

출처:https://www.boannews.com/media/view.asp?idx=94390&page=1&kind=1