본문 바로가기

현장속으로/세미나

현직 금융인 4인의 조언 '금융보안 전문가 되려면'

올해 유난히 금융권 보안 사고가 많았다. 앞으로 이와 같은 금융권 보안 사고를 막기 위해서 금융권 보안을 위한 더 많은 파수꾼들이 필요할 것이다. 그리고 자본주의의 꽃이라고 할 수 있는 금융을 지킨다는 사명감으로 미래의 금융권 보안 업계 파수꾼들을 꿈꾸는 사람들도 있을 것이다.

이러한 멋진 꿈을 갖고 있는 미래의 금융보안 전문가 양성을 목적으로  금융보안연구원에서 주최하는 「제2회 대학생 금융보안 캠프」(이하 금융보안캠프)가 지난 달 2박 3일 동안 농협 수안보 수련원에서 진행되었다.

작년에 처음 시작한 금융보안캠프(http://blogsabo.ahnlab.com/485)에 이어서 올해는 조금 더 다양한 프로그램으로 진행되었다. 그 중 취업 시즌인 만큼 금융 보안 업계로 진로를 생각하고 있는 분들을 위해 도움 될 만한 시간이 있어서 소개한다. 바로 현재 금융 보안 업계에서 종사하고 있는 분들의 패널 토론 시간이었다. 금융 업계는 크게 증권사, 보험사, 카드사, 은행 4가지로 나눌 수 있다. 각 금융사를 대표해서 보안 담당자 4인이 이 시간을 함께 해주었다. 다음은 주요 내용.

 

<하나SK카드 이성중 차장> 

작년까지는 한명으로 업무를 했었는데 올해 5월부터 새로 팀을 꾸려서 보안 인력을 갖추기 위해 사람을 채용하고 있는 상황이다. 면접을 진행하면서 느끼는 바가 있어서 말하려고 한다. 최근 한 달 사이에 2명 충원을 했다. 결론적으로 이야기 하자면 대학원을 나오고 현장 경험을 겪은 경력자를 채용했다. 

반면 떨어지는 사람들의 유형을 보니까 업무 스펙트럼이 너무 좁았다. 보안을 3~4 년 동안 해온 것은 좋았는데 문제는 너무 좁은 스펙트럼을 가지고 한정된 일만 해본 것이었다. 합격자들은 더 스펙트럼이 넓으면서 2,3,4 개에 대해서 더 넓은 지식을 갖고 있는 사람들이기 때문이다. 

정보보호를 할 때 여러 분야에 대한 인 사이트(Insight)를 갖는다. 하지만 그 전에 한 분야에 대해서 인 사이트를 가져야 한다. 예를 들어 방화벽이면 방화벽에 대해 전부 뜯어 봐야한다. 방화벽을 다 뜯어본 뒤에 놓고 IDS로 가고 다 뜯어보고 나서 네트워크로 가는 것이다.
그리고 회사환경이나 업무환경에서 자신이 이해가 되고 설명할 수 있고 논리를 만들 수 있으면 방어를 할 수 있다. 그 정도의 지식을 갖고 네트워크, 서버 … 이런 식으로 가면 경력이 4~5 년 밖에 안 되어도 대리급 일을 할 수 있다. 

하지만 어떤 분은 방화벽이야기만 한다. 좁을 수도 있다. 본인이 조금 더 노력을 했으면 좋겠다. 공부를 할 때에도  전문성을 가지고 설명을 할 수 있을 정도로 공부를 하면 좋겠다. 회사나 학교 내에서 기회가 안 되면 본인이 세미나나 여러 현장을 찾아다녔으면 좋았을텐데 하는 안타까움이 들었다. 

 

<생명보험협회 여창환 대리> 

이 자리에 참석한 분들 대다수가 보안을 하고 싶다고 온 사람들이 있을 것이다. 하지만 하고 싶다고 할 수 있는 것은 아니다. 어느 회사든 신입 사원에게 보안을 맡기지는 않는다. 어떤 회사 보안 팀에서 뽑을 수는 있겠지만 경력직으로 뽑는 경우도 있다. 대형 보험회사에서도 경력직을 많이 선호하고 있다. 
신입사원으로 길은 자신의 능력을 개발하는 것이다. 들어가서 자신이 그 분야에 대해서 넓게 공부하고 자신있는 스페셜리스트가 되면 좋다. 업무를 하면서 특이한 경력을 가진 분을 만났다. 바로 처음에는 통, 번역으로 일을 시작해서 지금은 보안 업무를 담당하고 있는 분이다. 보안 관련된 번역 요청을 받게 되어서 공부를 시작하게 된 것이다. 강점이라고 할 수 있는 번역을 하다가 자신이 스스로 보안에 대해서 공부를 하고 자격증을 땄었다. 그리고 때 마침 보안을 전담하는 사람이 없어서 보안 담당자로 들어가게 된 것이다.

입사를 할 때에 일반 IT , SI 업무를 할 수도 있는데 입사를 한 다음 자신의 패스(Path)를 잡아놓고 가면 앞으로 나갈 때에 좋을 것이다. 자신의 패스를 열심히 준비하면 좋은 결과를 얻을 수 있을 것이다. 바로 칠 수 없으면 돌려 쳐라. 다른 분야 보안 업체에서 실력을 기르고 경력직으로 가는 방법도 좋을 것이다.
 

<금융보안연구원 이상록 본부장>

전에 근무했던 국민은행 IT부서는 500명의 인원 중 13명이 보안인력으로 있다. 정규직13명 + 외주14~15 명으로 전체 30명 정도가 보안 업무를 하고 있다. 보안시스템을 유지 보수 하면서 24x365 체계(24시간 365일) 관제시스템 구축해서 보안인력들이 관제를 하고 있다. 
금융보안캠프에 참석한 학생들 대부분이 취업을 한다면 신입으로 가게 될 것이다. 다른 권역과 다르게 은행권의 특색은 신입들을 뽑는것이다. 보안 인력이라고 전담해서 뽑지는 않는다. 보안인력 TO는 있을 수 있지만 금융권에서 IT 인력으로 들어올 때에는 뽑힌 내에서 부서장들이 모여 보안인력을 차출하는 형태로 돌아가고 있다. 

하지만 최근 해킹 침해사고가 일어나면서 경력직을 많이 채용했다. 그 이유는 당장의 리스크를 막기 위해 전문 계약직을 채용했기 때문이다. 전문 인력이라고 해서 혜택 차이가 나는 경우는 없다. 보수도 정규직과 거의 같다. 복지 부분에서 어느 분야보다 좋기 때문에 많은 인력이 모일 줄 알았는데 생각보다 별로 모이지 않았다. 

은행권의 문화 중에서 가장 큰 특징은 변화가 쉽지 않고 잘 가르쳐주지 않는 것이다. 자기만의 영역을 쌓는 부분이 많기 때문이다. 이 말은 즉 기본에 충실해야 된다는 것이다. 예를 들어 국민은행에서는 매년 1,2 명씩 신입사원이 들어오면 1년간은 지점근무를 시킨다. IT 인력이라도 지점의 업무현황을 모르고는 일을 할 수 없기 때문이다.

한 번 맡으면 몇 년 씩 하는 일이므로 신입으로 가게 되면 많은 일을 배워야 한다. 절대 먼저 알려주지 않는다. 이런 부분에 관해서 자신의 의지로 끌고 나가야 할 부분이라고 생각한다.

 

<미래에셋증권 백남준 차장>

얼마 전 신문기사를 보니까 유망직종 10위안에 보안전문가가 있는 것을 보았다. 그 만큼 앞으로의 전망 또한 밝다. 하지만 실제 기업에서는 보안인력을 뽑지 못하는 경우가 태반이다. 그 이유는 보안전문가는 정보를 보호하는 담당자로서 갖추어야 할 것이 많기 때문이다. 
예전에는 금융기관이라고 하면 이자를 크게 돌려주면 좋은 것이었다. 하지만 요즘은 시대가 바뀌면서 고객이 맡긴 정보도 소중히 다루어야한다. 365일 24시간 내내 한 건이라도 놓치면 문제가 생길 수 있다. 단순하고 반복적인 일이 될 수 도 있지만 어떤 연락을 받았을 때에 바로바로 나올 수 있는 책임감과 성실성 그리고 높은 윤리의식이 필요하다.
 
웹 , 네트워크, AP, 악성코드 분석/대응 , 침해사고대응, 리버스 엔지니어링 등 보안관련 전문지식도 있어야한다. 그리고 기업에서 보안을 어필하기 위해서 보고서를 쓰거나 설득을 잘하기 위한 커뮤니케이션 스킬도 필요하다.
 
보안 관련 경력 (동호회, 산학연계, 해킹대회, 자격증) 도 필요할 것이다. 미래에셋의 경우 모 해킹동아리하고 연관이 되어있다. 해킹동아리에서 모의해킹을 해서 취약점을 발견하거나 하면 인센티브로 동아리 활동에 필요한 지원을 해주고 있다.

모든 보안전문가들의 발표 후 질의응답시간을 가졌다. 금융 보안에 관심 많은 학생들이 모인 자리인 만큼  많은 질문이 쏟아졌다.
 
Q : 미래에셋증권의 경우 취약점 분석을 하고 실제로 모의해킹을 성공하면 포상을 준다고 했는데 다른 대학연구실도 지원 가능한가?

A : 미래에셋증권의 경우 현재 KAIST 보안동아리 Gon 과 관련이 있다. 시스템을 망가뜨리지 않는 범위 내에서 모의해킹을 가능하게 한다. 그리고 취약점을 분석해서 모의해킹에 성공을 하면 많게는 기존 동아리 활동비 3배 정도의 금액까지 지원을 해주었다. 다른 연구실도 물론 가능하다. 학생들은 현업에 있는 사람들과 다르다. 그래서 실제로 할 수 있는 기회를 주려고 한다.



Q : 아웃소싱을 이야기를 했는데 외부 업체에 어느 부분에 대해서 맡기고 내부 인력들은 구체적으로 어떤 업무를 하는가?
 

A : 보안 인력 아웃소싱은 24x365 관제만 주고 있다. 그 나머지(솔루션, 시스템, 네트워크, 방화벽 이런 부분에 대한 보안)는 내부 직원이 담당을 한다. 보안 기획은 1~2명 ,개인 정보관리 2명 ,100대 이상의 서버에 대해서는 3명 정도가 관리를 하고 있다. 내부에서 전 직원의 PC 보안 솔루션이 설치되어 있는데 USB를 담아가려고 시도를 하는 사람이 있을 수 있다. 이런 보안문제에 대해서도 모니터링을 해야 한다.
 
결론은 정보보호 담당자는 모든 부분에 대해 알고 있어야 한다. 전체적인 보안이 중요하기 때문이다. 아웃소싱을 맡겼다고 해서 끝이 아니라는 것이다. 아웃소싱을 맡긴 관제에 대해 모른다면 두 페이지의 로그가 올라오는 것에 뻗어버릴 것이다. 그러다 사고가 터지는 것이다. 

모르는 부분이 있다면 모르는 만큼 더 파고들어가야 한다. 예를 들어 우연히 경험할 기회가 생겨서 새로운 업무를 시작하게 된다면 파는 것이다. 깊이 있게 들어가려는 개인의 노력이 필요하다. 해보면 책과 다르다는 것을 알 수 있을 것이다. 

Q : 보안도 다양한 분야가 있다. 보안전문가 입장에서 추천해 주실 만한 보안 분야나 더 많이 공부하라고 말해주고 싶은 분야는? 
 

A : 신입직원에 대한 기대를 많이 하는 편이다. 하지만 기술적인 기대는 안한다. 금융보안에서 해킹 관련 기술을 많이 알면 좋으나 은행에 입사를 하면 은행원이다. 정보보안 분야가 유망하다는 것과는 다르다.

신입직원 2명 중 1명이 나가려고 한다. 반면에 1명은 잘 견디고 있다. 잘 견디고 있는 1명의 경우 IT 인력 면접에서 팔굽혀펴기를 했다. 쌩뚱맞는 행동이었지만 자신의 의지를 보여주려고 했던 행동으로 면접관들이 보았다. 기술의 초점이 아니라 얼마나 의지를 가지고 적극적으로 하는지가 중요한 것이다. 결국 4명의 신입사원 중 한 명으로 뽑혔다. 회사에 와서도 작은 회의를 하고 있었는데 4명 중 유일하게 귀동냥하고 회의에 끼어(?)들었다. 나머지 3명은 할 일 없이 가만히 있었다. 이 친구는 잘 모르는 부분이 생기면 가서 뭐하는지 보고 듣고 했다. 그래서 인정받고 지금까지 살아남았다.

요즘 대세가 대는 IT 기술이라고 하면 모바일, 클라우드, SNS 라고 할 수 있다. 하지만 향후 10년 뒤에는 어떻게 바뀔지 모른다. 우리가 중요하게 생각하는 것은 문제가 주어졌을 경우 문제를 해결하기 위한 성실성과 적극성이라고 본다. 그 이상의 기술을 습득하고자 한다면 이 단계를 밟아 가는 것이 중요하다고 본다.

보안전문가가 금융회사에 입사를 할 수 있다. 하지만 금융회사에서 일하기 위해서는 금융인이 되어야 한다. 보안 못지않게 금융 업무 자체에 대해서도 관심 갖고 배워 나가야 더 성장할 수 있을 것이다. 
그리고 보안을 협소하게 보는 것이 아니라 시야를 넓혀서 금융회사의 본질에 관심을 가진다면 미래의 금융보안전문가가 될 수 있을 것이다. Ahn

사진출처 : 금융보안캠프 (http://cafe.naver.com/fsuc2010)


대학생기자 김재기 / 한양대 안산 컴퓨터공학과


해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다. 

타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요. 
새로운 것에 도전하고 항상 노력하는 대학생기자 김재기입니다.