상세 컨텐츠

본문 제목

[News Blog] 보안 엔지니어의 고충 10가지

외부스크랩

by techbard 2008. 2. 19. 13:52

본문

반응형
http://www.zdnet.co.kr/news/network/security/0,39031117,39166017,00.htm

[News Blog] 보안 엔지니어의 고충 10가지

김태정 기자 ( ZDNet Korea )   2008/02/19
정보보안은 ‘전망 좋은 분야’로 항상 주목받음에도 불구하고 고질적 인력난에 시달리고 있다. 그만큼 일하기가 힘들기 때문이다.

물론 대한민국에서 편히 일하는 IT 엔지니어가 얼마나 되겠나 싶지만, 보안에는 좀 더 특별한 고충들이 있다. ZDNet 코리아는 몇몇 국내 보안업체 관계자들에게 실전에서 겪는 애로사항들을 들어봤다.

*주의 : 보안 엔지니어 지망생이라면 기사를 보고 지레 겁먹지 말 것. 어디까지나 ‘극심한 상황’만을 설명했으며, 보안 분야에서도 팀마다 다른 특성이 있다. 또 사이버 범죄가 늘어남에 따라 보안에 대한 인식이 높아지고 있다는 것도 원론적이지만 맞는 소리임을 유념해야 한다.

1. 회사가 부르면 언제든 출동
이는 보통 ‘긴급 대응팀’에 해당한다. 근무 외 개인적 시간에도 회사가 부르면 달려가야 하는데, 대처가 늦어지면 고객사가 떨어져 나가곤 한다. 쉽게 말해 종합병원 응급실이라고 생각하면 된다. 때문에 입사하면 회사 근처로 아예 이사오는 것이 편하다.

한 엔지니어는 “선 보는 자리에서 호출을 받고 회사로 뛰어간 적도 있다”며 “개인 시간이 부족하다 보니 동료들 중 노총각이 많은 것이 사실”이라고 밝혔다.

2. 언제쯤 명절을 가족과 함께?
지난 설 연휴에도 많은 보안 엔지니어들이 회사를 지켰다. 이유는 간단하다. 사이버 범죄자가 명절이라고 쉬겠는가? 한 백신업체 대응팀의 경우 24시간 모니터링을 3교대로 한다. 휴일이라고 이 틀이 크게 바뀌지는 않는다.

3. 나는 어느 회사 사람일까?
다른 IT 분야도 그렇지만 프로젝트를 수주하면 고객사에 파견 나가 제품을 설치해야 한다. 이는 몇 달씩 상주하는 경우도 흔하다. 지원팀의 경우 유지보수 파견을 지속 나가는데 커스터마이징 요구가 갈수록 늘어나면서 전보다 일하기가 힘들다.(하지만 가격경쟁으로 회사에 들어오는 돈은 적다.)

특히 공공기관은 그 까다로움이 극에 달해 ‘공포의 대상’이지만 최대 고객이라 비위를 잘 맞춰야 한다.

4. 고객사의 횡포
3번의 경우 그래도 ‘내가 할 일이니까...’라고 생각하며 감내할 수 있다. 문제는 이렇게 도저히 생각할 수 없는 일도 해야 한다는 것.

예를 들면 고객사가 서버나 네트워크를 뜯어 고칠 때 호출을 한다. 이유는 네트워크 단에서 보안이 최상단에 위치하기 때문. ‘무조건 들어와서 대기 하세요’는 고객사 담당자가 보안 엔지니어를 부를 때 가장 많이 쓰는 말이다.

하지만 막상 가보면 수 시간 대기만 하고, 할 일이 없어서 돌아오는 경우가 허다하다. 혹은 ‘보안 엔지니어면 네트워크도 잘 알 것이니 우리 작업도 하라’고 당당히 ‘명령’하는 고객사도 있다. 물론 고객 서비스란 명목으로 무상이다. 종종 돌아오는 비인간적인 언행과 무시는 서비스. 벙어리 냉가슴이 따로 없다.

5. 자기 회사 돌아가는 사정에 어둡다
이렇게 파견업무를 끝내고 돌아오면 회사가 낯설다. 인력상황도 변해있고 전체적으로 회사 사정에 어두워진다. 또 긴급 대응팀의 경우 2번과 같은 이유로 전사 워크샵에도 빠지는 것이 어색하지가 않다. 제대 후 막 복학했던 시절 생각이 난다.

6. 해킹기술을 따라잡기가 힘들다
집에서 편히 새 기술을 연구하는 크래커를 보안 엔지니어는 온종일 업무에 시달리는 가운데 잡아내야 한다. 물론 이들이 하는 업무가 해킹에 관한 것이지만 실력이 쑥쑥 늘기 위해서는 책 펴놓고 공부를 해야 한다.

하지만 누차 강조하듯이 시간이 부족하다. 국내외 유명 해킹기술 세미나에도 가보고 싶지만 언감생심이다.

7. 크래커와의 피곤한 심리전
보안이란 일 자체가 크래커와의 총성 없는 전쟁을 뜻한다. 게다가 항상 방어의 입장이다. 크래커는 해킹으로 돈, 심리적 충족 등을 얻지만 보안 엔지니어는 스트레스만 받는다. 게다가 악성코드에는 크래커들이 보안 엔지니어의 평정심을 잃게 하고 우롱하려는 심리 전략들도 담겨있다.

특히 악성코드 소스를 분석했을 때 욕설을 담은 메시지가 나오면 직접 뛰어나가 잡고 싶다고...

8. 대체 하는 일이 뭔가?
주로 일반 기업내 보안팀이 듣는 소리다. 보안은 잘 한다고 눈에 보이는 수익이 발생하지 않는다. 그러나 사고가 터졌을 경우 발생할 비용을 차단한다는 점에서 중요한 일이다.

문제는 이걸 회사에서 잘 모른다는 것이다. PC 앞에 종일 앉아있는 보안팀의 고마움을 다른 팀들은 간과하기 일쑤. 그러다 한번 실수로 사고가 나면 모든 비난이 돌아오며, 무능하다고 찍힌다.

9. 가장 중요한 문제 「돈」
가장 꺼내기 애매하면서도 중요한 것이 돈 문제이다. 국내 보안기업 중 자본금 10억을 넘는 기업은 손가락으로 꼽을 정도다. 때문에 일선 직원들에게 돌아가는 급여도 많지 않다.

보통 보안 벤처업계에서는 대기업의 70% 정도를 받으면 잘 받고 있다는 것이 통설이다. 그러면서도 업무량만큼은 절대 뒤지지 않는다. 물론, 이는 보안뿐 아니라 국내 IT 벤처 대부분이 안고 있는 문제다.

10. 나도 후배가 보고 싶다
만약 보안업계 인력 수급이 원활하다면 위의 문제들을 상당수 해결할 수 있을 것이다. 보안 엔지니어들은 후배들이 들어오길 애태우며 기다리고 있다.

하지만 바로 위의 문제들 때문에 지원자가 적다. 닭과 달걀 중 어떤 것이 먼저 난지는 모르겠지만 악순환의 고리가 돌고 있는 사실은 분명하다. 또 지원자가 들어온다 해도 한달을 못 넘기는 경우가 허다하다.

한 관계자는 “보안시장이 처음 활성화 움직임을 보였을 때 너도 나도 출혈 경쟁을 벌여 현재의 결과가 나왔다”며 “이제라도 보안의 가치를 제대로 인식하는 분위기가 조성돼 일할 수 있는 동기를 부여해야 한다”고 강조했다. @

반응형

관련글 더보기

댓글 영역