정보보안 컨설턴트(메가패스존)

정보보안 컨설턴트 e세상을 지키는 사이버 경찰관 "정보보안컨설턴트" 정보보안컨설턴트 최리리씨 학교, 기업, 관공서 등 현재 운영되는 모든 기관들에는 중추적 서버가 있고, 이를 통해 모든 중요 업무가 진행되고 있다. 이러한 때 빠르게 그 필요성과 인지도를 높여가는 분야의 하나로서 본 기자, 단연 정보보안산업을 꼽는 바 이번에는 21세기 두뇌싸움의 최전선에 있는(영화를 너무 많이 봤나? -.-a) 정보보안컨설턴트 최리라 氏를 만나 이야기를 나누어보았다. '컴퓨터보안'이라고 하면 일반적으로 가장 먼저 떠오르는 건 해킹에 대한 방지라고 여겨집니다. 그러나 그 이외에도 여러 가지 업무가 많을텐데요, 이에 대한 설명을 부탁드립니다. '컴퓨터보안'이라는 단어가 해킹을 연상시키는게 일반적입니다. 특히 영화나 대중매체가 해킹에 대해서 흥미롭게 표현하고 있는 덕분이죠. 일반적으로 컴퓨터보안이라는 개념은 실제로 중요한 정보를 보호한다는 뜻입니다. 따라서 전문가들은 보안이라는 용어보다는 정보보호라는 용어를 사용하고 있지요. 정보보호의 목적과 방향에 대해서 간략히 설명하자면, 용어에서 보여지듯이, 정보자산을 보호한다는 것이죠. 다만 "무조건 접근금지!" 이렇게 막는 것이 아니라, 악의적이거나 인가받지 않는 행위로부터 보호하는 것입니다. 이때 보통 전문가들이 동의하고 있는 정보보호의 목적은 C.I.A라는 것인데, 흠… 미국중앙정보국(CIA)이 아니고, 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)이라는 뜻입니다. 즉, '정보자산의 기밀성, 무결성, 가용성을 위해 정보보호를 해야한다'는 개념입니다. 어려운 용어들이 조금 등장한 것 같지만, 특정한 상황을 가정한다면 쉽게 이해할 수 있을 거예요. 여러분이 요새 자주 사용하는 이메일을 예를 들어볼까요? 각자의 메일서비스는 개인에게는 대단히 중요한 사생활 정보자산입니다. 보호해야할 가치가 있지요. 어제 남자친구가 보낸 메일이나, 학교에서 온라인으로 받은 성적표… 이런 내용의 메일을 다른 누군가가 열어볼 수 있다면 어떨까요? 이런 식으로 여러분 자신이 아닌 누군가가 여러분의 자산에 함부로 접근하지 못하도록 하는 것, 이것이 정보자산의 '기밀성'과 관련되어 있습니다. 자, 만약 누군가가 몰래 여러분의 메일을 미리 열어보고 내용을 바꾸어 놓았습니다. 이런 상황은 정보자산의 '무결성'을 해치는 일입니다. 더군다나 메일서버에 바이러스가 돌아서 여러분의 메일을 열어볼 수 없다면 정말 가슴이 철렁 내려앉겠죠? 이 부분은 정보자산의 '가용성'이 보장되지 않는 것이죠. 사용자가 정보자산을 사용하고 싶을 때 쓸 수 있도록 보장하는 일은 가용성을 보장한다고 말할 수 있습니다. 결국, 정보보호컨설팅이라는 것은 간단히 말해서, 특정한 고객의 정보자산의 CIA를 보장하기 위한 업무라고 볼 수 있습니다. 그런데 CIA를 보장하기 위하여 고려해야하는 여러 가지 재미있는 변수들이 있습니다. 그중에 한 가지는 바로 자산의 가치입니다. 만원의 가치를 가지고 있는 재산을 보호하기 위해서 1000만원을 투자해서 보호할 수는 없겠지요. 따라서 정보보호의 수준은 보호해야 하는 정보자산의 수준에 따라서 조절이 됩니다. 중요한 자산은 보다 치밀한 방법과 체계를 가지고 보호해야하겠지요. 게다가 만약 여러분들이 이메일에 로그온 한 번 할 때 마다, 문자와 숫자를 혼합해서 20개이상되는 길이의 패스워드를 넣어야 한다면 어떨까요? 아마 그 메일서비스는 곧 문을 닫아야겠지요. 자, 이렇게 놓고보자면, 정보보호컨설팅이라는 것이 단순히 해킹을 방지하는 것을 위한 것이 아니라고 공감하시죠? 고객의 업무을 이해하고, 파일을 보호해야 할지 어떠한 데이터베이스를 보호해야 할 것인지 분석하고, 고객의 현재 상황에 따라서 어떻게 보호해야할 것인지 적절한 방안을 제시하는 과정이 정보보호컨설팅업무입니다. 이 업종에 뛰어들기 위해 요구되는 특별한 자질이 있다면 알려주세요. 저 개인적으로는 누구든지 자신의 의지와 하고 싶은 마음만 있으면 가능하다고 믿어요. 컨설팅이라는 업무가 프로젝트 기반이라서 짧으면 몇 주, 길면 수개월씩 고객사에 들어가서 업무를 하게 됩니다. 따라서 새로운 환경과 만남을 즐길 줄 알게 되면 좀더 유쾌하게 작업을 할 수 있겠지요. 또 워낙 해킹기술이나, 보안기술이 나날이 발전하고 있기 때문에 포기하지 않고 끝까지 찾아내고 파악하고 뒤지는 일에 희열을 느끼는 사람이라면 더욱 재미있게 작업할 수 있을 겁니다. 위 질문과 연결되는 질문 같기도 합니다만, 대학 진학 시에 어떤 학과를 선택하는 것이 도움이 될는지요? 아울러 최리라 씨는 어떤 학과이셨는지, 그리고 자격증 및 학과 공부 이외에 개인적으로 어떤 준비를 하셨는지도 알고 싶습니다. 저는 학부는 수학을, 대학원에서는 정보통신을 전공하고 CISA(미공인 정보시스템 감사사)자격을 가지고 있습니다만, 개인적으로 전 직업을 위해서 어떤 학과를 추천하고 싶지는 않군요. 자신이 정말 하고 싶은게 무엇인지 스스로에게 가만히 물어보세요. 그중 하나가 보안컨설턴트가 될 수도 있겠지만, 보안컨설턴트는 하나의 직업입니다. 제 개인적인 생각이지만, 대학은 직업교육을 하는 곳은 아니라고 봅니다.(웃음) 대학은 잔치마당이지요. 다양한 음식의 향과 맛을 오감을 통해서 느껴보는 곳입니다. 그리고 그 과정을 통해서 선택하는 것이지요. 때로는 예상치 못한 매콤한 맛이 나를 화악 끌어당길때도 있고… 아무도 모르는 것이죠. 자신의 솔직한 목소리를 들을 수 있다면 아마 올바른 선택을 할 수 있을 겁니다. 중고등학교 때, 벌써 직업을 결정하고 그 직업에 따라서 전공을 선택한다면 자신의 잠재력을 너무 제한하는 것이 아닐까 합니다. 다만, 자격증이나 학점등을 통해서 경쟁에서 약간 유리한 위치를 잡을 수도 있겠지요. 자격증에 대해서 궁금해하는 친구들을 위해 조언을 드리자면, 대표적인 보안자격증은 CISA(미국공인 정보시스템 감사사), CISSP(정보시스템보안전문가)가 있습니다. 정보보안쪽의 일을 하자면 전산관련된 전공을 하시면 도움이 되겠구요. 어떨 때 일에 대한 보람을 느끼시는지 알고 싶습니다. 고객이 저희들의 컨설팅 결과에 만족하고, 저 자신이 스스로에게 만족감을 느낄 때지요. 대부분은 스스로 만족감을 느끼기가 쉽지 않지요. 또 정보보호컨설팅의 특성상 고객이 100% 만족감을 느끼기가 어렵습니다. 따라서 프로젝트 초기의 고객이 원하는 것이 무엇인지 정확하게 파악하는 게 가장 중요하고 프로젝트 전 과정을 통해서 끊임없이 협의하고 조율하는 것이 바람직합니다. 그렇다면 가장 어려움을 느낄 때는 언제입니까? 세상의 모든 일이 다 어렵기는 매한가지이니 분명 정보보호컨설팅 또한 그러리라 여겨집니다만... 정보보호업무에 종사하는 사람들이 가끔 농담처럼 하는 얘기가 있습니다. "잘해야 본전이고, 못하면 책상이 없어진다." 그만큼 책임이 많이 부여되는 직업이라는 소리죠. 또 프로젝트 기반의 업무이다 보니, 제한된 시간에 업무효율을 극대화해야 합니다. 따라서 스트레스가 많은 직업에 속하지요. 또 끊임없이 공부하고 자신을 개발해야 합니다. 그것이 한편으로는 이 직종의 매력이기도 하구요. 스스로 일과 쉼의 균형을 잘 이룰 수 있도록 자기관리를 잘해야 합니다. 마지막으로 미래의 전문가가 되기 위해 오늘도 준비 중인 우리 학생들에게 한 말씀 부탁드리겠습니다. 아직 꿈을 정하지 못한 학생, 컴퓨터에 관심이 높은 학생, 그리고 컴퓨터 보안산업에 뛰어들겠다고 마음 먹은 학생들에게 선배로써 한 말씀 해주세요. 자신의 목소리에 귀를 기울이라고 말씀드리고 싶네요. 여러 소리에 가리워져 있어서 쉽게 들리지는 않을 거예요. 어떤 때는 내 목소리라고 생각한 그 소리에 혼동스러울 때도 있겠지만 시냇물처럼 흘려보내고, 스스로의 목소리를 조용히 청해 보세요. 자신의 존재가 얼마나 소중한지 알아차린 사람, 자신의 목소리를 들을 수 있는 사람은 자신이 어떠한 선택을 하던지 행복하게 됩니다. 어느 자리에 있던지, 어느 시간을 지내던지 말이죠. 여러분 모두 행복하시길 바랍니다. 2005.04.26 11:35 입력 / 2005.10.14 10:00 수정 / 조회 1,273