PostList

2015년 12월 24일 목요일

정보보안 취업과 업무관련 TIP



정보보안 취업과 업무관련 TIP

IT직종 중 '정보보안' 관련 분야로 취업을 희망하시는 분들에게 조금이나마 도움이 될 만한
이야기를 해보려고 합니다.
우선 현재 학교에서 정보보안 학과를 이수하거나 이수중인 분들은 그나마 선/후배 간 정보
력이 있겠지만 학원을 통해서 처음 입문 하시는 분들은 정보력이 바닥에 가깝다고 보면
되겠습니다. 적어도 제 경험상 그렇다고 생각됩니다.

학교나 학원에서 네트워크, 보안, 보안장비의 종류, 운영방법 등에 대해서 열심히 배우고
계시겠지만 정작 보안관련된 부서는 무엇이 있고, 어떠한 업무를 하게 되는지에 대해
정확히 알고있는 학생은 한명도 보지 못했습니다.
면접에 지원하는 사람들도 경력이 아닌 이상 제대로 알지 못하는 경우가 대부분 입니다.

보안이라는것은 배워야 하는 것도 많고, 배운것을 제대로 사용할 줄 알아야 하는데 광범위
하게 배우기만 하고, 무엇을 위해 배우는지 어떻게 사용해야 하는지 모른다면 배움 자체에
의미가 흐려지기 때문에 목적과 방향을 제대로 잡는 것은 매우 중요한 일 입니다.

기본적으로 정보보안 관련된 업무는 무엇이 있는지 부터 알아 보겠습니다.


정보보안 업무 종류
정보보안 으로 봤을때 관련 업무는 크게 보안관제, CERT, 컨설팅 3가지로 나뉘게 되고, 그외
T/S (Technical Support) 팀이 별도로 운영되는게 일반적인 구조 입니다.

- 보안관제
  주 업무는 관제 입니다. 보안관제를 위한 ESM 등의 시스템을 이용하여 관제대상 고객사의
  장비에서 Log나 Resource 정보를 주기적으로 수신하고, 특이사항이 발생할때 담당자에게
  통보를 해주거나 1차적인 대응을 하는 것을 주 업무로 합니다.
  그외 고객사에서 요청하는 정책을 처리하거나 부수적으로 담당 고객사에 '월간보고서' 를
  작성하고, '정기점검'을 하기도 합니다.
  24시간 근무가 기본이기 때문에 주/야 번갈아 가며 근무를 하게 됩니다.

- CERT (Computer Emergency Response Team)
  주 업무는 '침해대응' 입니다. 고객사에 크래킹 사고가 발생하게 되면 침해사고 조사를
  하게 되고, 피해내용 확인, 원인분석, 대응방안 전달, 보고서 작성 등을 하게 되며 고객이
  의뢰하는 경우 모의해킹 업무도 하게 됩니다.

- 컨설팅
  ISMS, ISO27001, 보안장비 등에 대한 컨설팅 업무를 하게 되며, 주로 문서를 많이 다루고
  장비 설치나 운영은 관련부서에서 하기 때문에 고객사 규모에 맞는 적합한 장비를 선정
  해줍니다. 경우에 따라 모의해킹을 통해 취약점을 찾아주는 업무도 하게 됩니다.

- T/S (Technical Support)
  네트워크/보안 장비의 설치와 기술지원이 주 업무 입니다. 회사에서 취급 하는 장비에
  대한 설치/관리 능력이 요구되며 설치 및 사후 관리에 대한 고객사 미팅도 많고, 회사
  내/외적으로 가장 Activity 한 부서가 아닌가 싶습니다.
  대형 고객사인 경우 T/S 에서 전담마크하여 관리하는 경우가 많고, 장비에 문제가 생기는
  경우 문제해결도 해야 하기 때문에 장비나 구성에 대한 전문적인 지식이 필요 합니다.

회사의 규모나 분야에 따라서 부서에 차이는 있겠지만 기본적인 구조 입니다.

학교나 학원에서 '보안관제' 로 시작해서 컨설팅이나 CERT 로 전향하는 것을 이야기 하는
경우도 있는데 처음부터 앞서 설명드린 분야중에 하나를 선택해서 목표로 삼고, 공부를
하는것이 좋습니다.
CERT, 컨설팅 모두 신입채용이 많지는 않습니다만 보안관제를 2년 정도 했다고 가정하고,
컨설팅으로 넘어간다고 하면 2년의 경력을 100% 인정받지 못하기 때문에 원하는 분야가
있다면 처음부터 해당 분야에서 시작 할 수 있도록 도전하는 것이 좋다는 것 입니다.
그리고 보안관제에서 CERT 나 컨설팅으로 전향 하는 경우는 해당 회사에서 별도의 부서가
있고, 수년동안 실력을 인정받아 전향하는 것이지 누구에게나 선택권이 주어지는 것은
아니며 쉬운일도 아닙니다.


정보보안 무엇을 공부해야 할까?
기본적으로 정보보안 업무를 하기 위해서는 학교나 학원에서 가르치는 것들에 대한 배움
이 필요 하기는 합니다. 네트워크, 시스템, 웹, 보안을 위해 필요한 각종 해킹 기법과 원리,
OS별 운영능력, 프로그래밍 언어 등등..
그렇지만 모든걸 다 마스터하고 취업할 수는 없고, 신입을 채용하는 회사에서 경력같은
신입을 채용하고 싶어하는 것은 사실이지만 무리한 것을 요구하지도 않습니다.

제가 생각했을때 그래도 업무를 하기 위해서 기본적으로 갖춰야 하는 것은 네트워크와
Linux, 웹 정도 입니다. 다른 것은 깊이 알지 못하더라도 3가지는 기본적으로 알고 있어야
기본적인 업무를 하는데 무리가 없습니다.
신입으로 입사를 하게 되면 어느정도의 지식을 가지고 있는지 파악하기 위해 선임이
질문을 할텐데 IP주소나 서브넷이 뭔지, ACL의 기본 원리와 구조가 무엇인지 OSI 7Layer
는 무엇이고 Well Known Port 는 무엇이 있는지 기본적인 내용들에 대해서도 대답을 잘
못하면 도대체 학교나 학원에서 무엇을 배웠는지 궁금할 정도가 됩니다.

이렇게 민망한(?) 상황이 발생하지 않으려면 앞서 설명한 정보보안의 희망 분야를 정하고
어떠한 일을 하게 될 것인지에 대한 기본적인 이해를 하고 공부를 해야 합니다.


회사를 알아볼때 주의사항
취업을 희망하는 회사에는 어떠한 부서가 있고, 무엇을 주력으로 하는 회사인지, 설립된지
몇년이 지났고, 주요 연혁은 어떤것이 있는지 알아볼 필요가 있습 니다. 하고싶은 일, 그리
고 앞으로의 목표를 뚜렷히 해서 회사의 비전과 개인의 목표가 맞는다면 가장 좋겠지만
최소한 회사에 대한 기본정보는 파악하고 입사지원을 하는 것이 바람직 합니다.
간단하게 보안업무를 경험해보고 싶은 경우라면 IDC나 OP업무도 괜찮을 수 있지만 보안
전문가로 성장하기 위해서라면 보안 업무를 주력으로 하고, 체계적인 회사에 입사하는것이
당연히 좋겠습니다.
입사전 해당 회사의 정보를 얻기 위해 지인을 통해 알아볼수도 있고, 채용공고나 회사 홈페
이지를 꼼꼼하게 살펴보는것도 도움이 되며 좀더 적극적으로 알아보려면 직접 인사 담당자
에게 전화를 해보는 것도 좋습니다.


필요한 자격증
개인적으로 자격증을 필요에 의해서 취득하는 것 보다는 배움의 연속으로 생각하고 취득
하는 것이 좋다고 생각 합니다. 자격증만을 위한 공부는 벼락치기가 될 가능성이 많고,
그렇게 공부하면 나중에 남는게 별로 없습니다.
어차피 관련분야 자격증은 두루두루 도움이 되는 내용을 공부하게 마련인데 배운다고 생각
하고 차근차근 공부해나가면 결과도 좋을 것입니다.
그리고 취업을 하고나면 공부할 시간적인 여력이 별로 없을수 있기 때문에 필요한 자격증
은 공부할때 취득하는게 좋습니다.
CCNA, CCNP 와 같은 자격증은 덤프로 본다는 인식이 강하고, 실무에서 Cisco 장비를 생각
보다 많이 다루지 않기 때문에 이력서에 자격증이 있더라도 크게 신경 쓰지는 않습니다.
Cisco 엔지니어를 생각하고 있다면 필수자격증일 수는 있겠지만 말이죠
반면에 정보보안기사/산업기사, 정보처리기사/산업기사 와 같은 자격증은 국가 자격증
이기도 하고, 기업에서 공공기관 입찰에 참여할때 실질적인 도움이 되는 자격증 이라
취득해두면 당연히 좋습니다. 그 외에는 CPPG, CISSP 등이 있고, 서버관련 자격증도 나쁘
지는 않습니다.


업무관련 TIP
모든 업계 공통으로 해당되는 것이라고 생각 됩니다만 기본적으로 회사라는 곳은 개인의
실력과 능력만큼 중요하게 생각해야 하는것이 인간관계 입니다.
그리고 시키는 일을 잘 하는것도 중요하지만 센스있게 일을 하면 좋은데 예를들어서 방화
벽에 보안 정책 하나를 추가하는 업무를 하더라도 요청하는 대로 처리하는 것이 일반적
이라면 상/하단 정책의 흐름을 고려해서 독립적인 정책으로 추가할 것인지, 기존 정책에
추가할 것인지, 담당자와 추가로 협의해야 할 내용은 없는지 고려해서 일을 하는 것이 센스
있게 처리하는 것이라고 할 수 있겠습니다.
기본적으로 어떠한 업무가 주어지더라도 일의 시작과 과정 그리고 마무리를 생각하며 일을
하는게 좋습니다.
그리고 본인이 하고 싶은 것이 있고, 회사에서 뒷받침이 될 것이라고 판단되는 것이 있다면
지속적으로 관심을 표현하여 기회가 왔을때 잡는것도 중요합니다.


전공이거나 비전공이거나 의외로 많은 분들이 정보보안 또는 IT분야로 일을 하기를 희망
하고 학교나 학원에서 많은 것들을 배우고 있는 현실이지만 또 그만큼 많은 분들이 업계
에서 발을 돌리기도 합니다.
무언가 선택해서 취업을 하고, 앞으로 수십년간 일을 해야할 업종을 찾는다면 그만큼 공을
들이고, 알아봐야 하지만 정보가 없어서 모르는 경우가 대부분이고, 사전에 이런 노력을
하지 않는 경우도 많은 것 같습니다.
100% 즐겁고 좋은일이라는 것은 세상에 없습니다. 좋은 부분이 있으면 안좋은 부분이
있게 마련이지만 좋은 부분으로 충분히 만족할 수 있다면 그것이 적성에 맞는 것이고,
천직을 구하는 기본 이라고 생각을 합니다.

본 포스팅을 통해 관련업계에 대한 생각을 좀더 깊이 해보는 계기가 되어 도움이 되었으면
하는 바람이 있습니다. 추가적으로 궁금한 내용은 댓글 보다는 우측 사이드바에 위치한
'문의' 기능을 통해 메일로 문의 주시기 바랍니다.

감사합니다.

댓글 없음:

댓글 쓰기