2. 왜 보안분야에 종사하는 사람의 삶은 고된가?
• 정상적인 여가를 즐기기 어려움
– 인생의 질이 낮음
– 유사직군: 경찰, 소방관
– 민간기업의 보안담당자이건, 보안업체의 직원이건 비상상황은
언제라도 발생가능
– 특정 직책 이상일 경우 ‘책임을 져야 하는’ 상황도 존재
• 삶의 행복의 기준의 변화
– 돈? 명예? è 가정의 행복, 가족과 오붓한 시간, 건강/well-being
– 이 관점에서 보면 이 직업은 결코 좋은 직업이 아님
3. 왜 보안분야에 종사하는 사람의 삶은 고된가?
• 의도한 바처럼 삶이 흘러가지 않음
– 보안을 익히기 위해 든 노력 > 타직업군 삶의 영위에 필요한 노력
– 보안직군에 있으면서 얻는 기대수익 < 타직업군일 경우
– 끊임없는 지식계발 투자/노력이 고수익을 보장해 주지는 않는 것에
대한 상실감
• 아래 생각들은 당신의 pain 을 해결하는데 도움이 되지 않음
– 이 업종만 그런 것일까? 세상에 쉬운 일이 어디 있나
– 할 줄 아는 게 보안밖에 없는데
– 나에겐 보안이 천직이고 적성에도 잘 맞는 것 같다
• 그저 What if 일지라도…
– 진짜로 타 직군의 삶과 기회비용을 다 따져보고 하는 이야기인가?
– 당신의 인생은 한번뿐이니 좀더 진지하게 생각해 보는게 어떨까?
4. 우리의 인생은 한번뿐
• 직업선택의 중요성 = 한번뿐인 인생의 삶의 질을 결정
– 직업선택 = 자동차 구매와 비슷
• 구매를 위해 초기투자가 필요
• 구매 전 세심한 비교, 선정이 필요
• 구매 후 지속적인 유지관리가 필요
• 남들보다 좋은 것을 가지면 사회에서 존중을 받고 부러움을 살수 있
음 (페라리 = 신의직장)
• 한번 선택하면 최소 몇년간은 변경하기 어려움
• 다 때에 맞고 부러움을 사는 선택이 있음
– (결혼전) Coupe 를 살걸 à (결혼 후 자녀가 2인이상) 아… coupe 를 사
지말고 큰 SUV 나 family car 를 살걸 à (사회적으로 지위가 높아질 경
우) 아… 고급 sedan 을 살걸
– (결혼전) 힘들어도 많이 배울수 있는 직장이 낫겠지? 보안의 꽃을 피우
려면 역시 보안업체에서 근무해야… à (결혼후 자녀가 2인이상) 아…
그때 그 기술 가지고 기관/기업내 보안담당자가 될 걸 à 아… 진작 외국
어 열심히 공부해서 해외 나갈걸
5. 직업이 갖는 의미
• 직업은 행복한 삶을 영위해주기 위한 Infra 여야 함
– 사람들은 식사, 물과 같은 필수적인 Infra 가 해결된 후에야 발전
적인 역량을 발휘할 수 있음
– 잉여시간의 중요성
• 현재 당신의 직업은
– 식사/물과 같은 Infra 인가?
– 근본적인 식사가 아닌 피로회복제/비타민제의 역할인가?
• 이 경우 식사/물을 얻기 위해 두번 고생해야 함
• 식사/물에서 필수영양소와 비타민을 얻는 것이 정상적인 삶임
– 아니면 알코올/마약인가?
• 생활을 정상적으로 영위하긴 힘들지만 빠져나오기 힘든 마력이 있는
가?
• 평생 솔로로 살것이 아니라면 부인과 자녀를 위해서라도 식사/물을
찾아야 함
6. 직업선택 - Expert power
• Expert Power: power is the ability of one person influencing
the behavior and/or attitudes of others. Expert power is based
on a person’s expertise, competence, and information in a
certain area.
– 명예/성공/전문가가 되고 싶은 성향의 사람들에게는 돈보다 Expert
Power 를 갖게 되는 것이 인생의 행복지수에 영향을 줌
• 이 시대는 전문가를 요함.
• 보안직군은 특히 세분화된 전문성을 요구
– 본인이 선택한 직무에 대해서만 직접경험, 나머지는 아무리 많이 알
아도 간접경험에 불과
– 간접경험분야 - 본인의 현재 소속 분야 (예: 모의해킹, 인증, digital
forensics…) 외의 분야에서는 전문가/권위자로 인정받기 불가능
– 사회적으로 expert power 를 행사할 수 있을 때까지 걸리는 시간이
무척 길다는 단점
• 그렇기 때문에 직업선택은 더욱 중요
7. 직업선택 - 왜 하필 보안을 선택하셨나요?
• 해커리즘에 취해서? 이 세상을 바꿔보려고?
• 딱히 할 수 있는 게 없어서?
– 나보다 프로그래밍 잘하는 사람도 많아서 도피?
– 다른 사람과 interaction 많이 할 필요 없이 혼자서 깊게 파면 인
정받을 수 있을 거라 믿어서?
– 대기업에 갈 spec 은 안되고, 다른 IT회사는 왠지 그 나물에 그 밥
같고?
• 한번의 대단한 착각이 인생의 피로도를 결정
8. 보안담당자로써 올라갈 수 있는 한계
• 일반적으로 생각하는 보안담당자의 승진한계
– 보안실무자 -> 팀장 -> 상급 매니져 à CSO or CPO
• 보안조직인원은 IT 전체 조직 중에서는 소수 (minority)
• CSO 자리 자체가 없음
• 비전이 보이지 않음
9. 보안담당자로써 올라갈 수 있는 한계 - 없다
• 정말로 보안을 하기 위해서 System, Network, DB, application 에 대
한 지식을 다양하게 쌓았다면
– 이보다 CIO, CTO 에 적임자가 있는가?
– CSO/CPO 보다는 CIO/CTO 의 room 이 더 넓다
– 보안출신 CIO, CTO 가 되는 비전을 가져라
• 교훈: 여러분들이 보안위반사항으로 늘 지적하는 시스템운영부서,
네트워크 운영부서는 먼 앞날 당신이 포용해야 할 부서가 될 수 있다.
• Unique 한 사람, irreplaceable (대체불가능)한 사람이 되라
– 법무 (legal department) 는 영역을 꾸준히 확대해온 대표적 부서
• 소송, 일반법무, 특허, 자문
• 보안에 대해서도 풍부한 지식을 가지고 있으며 동시에 법 지식을 보유한 사
람이 된다면?
– 감사, 준거부서 Compliance 역시 보안과 결합 가능한 분야
• ISO/Compliance/Audit 을 겸할 수 있는 보안전문가가 된다면?
10.
11. I. 왜 보안을 공부하는 사람은 힘든가?
• 학업부담
– 보안에 계속 매진하고 싶으나… Spec 을 쌓아야 함
• 학점평점, TOEIC…
• 진학을 하건 취업을 하건 항상 필요
– 동아리 활동도 예전처럼 쉽지 않음
• 난 보안을 어차피 할 것인데 관련 없는 학과 공부보다, 해킹/보안만
열심히 4년간 공부해 볼 수는 없을까?
• Mentor 의 부족
– Ladder climbing problem
– 이미 사다리에 올라간 사람은 아래 사람을 위해 손을 내밀어 주
지 못하는 구조
12. I. 정말일까? (유경험자들의 시선)
• 학업부담?
– 요즘 학교에서 얼마나 평점 후하게 주는데..
– 본인 의지에 달린 것임. 예전에는 더 열악한 환경에서도 더 높은 성
과를 냈었음
– 요즘 학교에서는 도대체 뭘 가르쳤기에 채용하려고 보니 학생들이
아는 게 하나도 없지?
• Mentor 의 부족?
– Mentor 없이도 혼자서 깊이 연구할 수 있는 의지가 있어야…
– 인터넷에 얼마나 많은 community 가 있는데 입에 떠먹여 주길 바라
나…
• 결론:
– 사람은 자신의 마음에 여유가 있을 때 남을 도울 수 있다.
– 보안분야가 척박해서 사다리에 올라간 순간 남을 도울 수 있을 만큼
여유롭지 않다.
– 사다리에 올라간 순간 과거를 돌아보지 못한다.
13. II. 왜 보안업체 종사자의 삶은 힘든가?
• 갑을 관계
– 인간적인 모멸감
– “우리는 지식과 상품을 팔러 왔지 굴욕감을 받으러 온 노예가 아
니다.”
– 정당한 대가를 주고 사라
– 제품을 사면 산 거지 왜 접대와 향응을 요구하나? 그것도 엄청 혹
독하게 깎은 가격으로 사면서
– 내가 너보다 많이 안다. 넌 운이 좋아 갑이 되었을 뿐이다.
14. II. 정말일까? (유경험자들의 시선)
• 갑을 관계
– 실제로 제품이 좋지 않다. 이 사실은 인정해야 한다. 부실함을 메
우다 보니 영업관행이 생긴 점도 있다.
– 적은 인원으로 많은 제품과 많은 site 를 해결해야 하는 현실을 이
해해 달라고 하지만, 그것은 제조사의 사정. 품질 좋은 제품을 우
리 spec 에 맞춰서 사고 싶은 ‘갑’ 의 욕구 역시 당연한 것
• 결론
– ‘갑’질에 맛들이는 순간 인간은 부패한다?
– 을쪽 사람들이 많이 이탈했기 때문에, 요즘에는 갑쪽에 더 실력
좋은 사람이 많은 것도 사실.
– 점차 ‘갑’ 은 더 똑똑해져 갈 것이고 좋은 인력들은 점점 ‘갑’ 쪽에
분포될 것임
– 냉정히 보면 보안시장은 성장이 정체된 shrinking market
15. III. 왜 보안담당자로써의 삶은 힘든가?
• 조직 내에 존재하는 갑을 관계
– 난 주인공이 아님
– 타 유사 직군과 대우상의 차별이 존재할 경우 상실감이 큼
– 쉴새없는 보고서 작업, 모니터링 작업
– 처신을 잘해야 함
• 사고는 언제라도 발생가능
• 법적인 요구사항도 커짐
• 무얼해도 내부에 적이 생기기 쉬운 직군
– 스트레스가 큰 직군이다 보니 부서내 갈등도 만만치 않음
• 비상상황 지속 시 건들기만 하면 터질 것 같은 상태
• 매니져의 리더쉽이 강력히 요구됨
– 매니져가 되는 순간 삶이 너무 피곤해짐
– 공격기술 발전은 너무나 빠름
• 저예산 투자, 고성과 요구 - 대검으로 총과 싸워야 하는 상황
16. III. 정말일까? (유경험자들의 시선)
• 그럼에도 불구하고 성공한 사례들의 특징은?
– 경영진 설득에 최선을 다함
– 의사결정자들 및 회사 내 influencer 들과 가까운 거리를 유지하
려 애를 씀
– 조직 내 적을 만들지 않음
– 우선순위를 확실히 결정. 성과지향적
17. IV. I~III myth - 이것만 해결되면 좋겠다
• 기업 내 보안담당자들의 glass ceiling effect 제거
– CISO, CPO 등 임원이 될 수 있는 기회
• 넉넉한 예산과 인원투자
– 굳이 갑을관계를 들먹이며 을을 핍박할 필요가 없게
– work load를 분산할 수 있는 동료가 필요
• 보안에 대한 사회적 인식 개선, 보안마인드 확산
– 축구 국가대표팀이 왜 힘든가? 평소에는 축구에 관심이 없다가
승패를 주목하기 때문
– 국제해킹방어대회에서 우승하면 언론이 잠시 주목, 보안대응에
실패 시 비난하는 풍토
• 전문성에 걸맞는 처우
– 연봉의 적정성
18. IV. I~III myth - 역으로 생각해볼 것
• 아직 기업내 보안임원이 없다 è 당연
– 90년대 후반 대학가에서 활동했던 보안전문가들은 아직 연령분포상
대기업 기준 차장~부장 분포가 많음
– 현재의 CISO, CPO 들은 보안으로 출발하지 않은 사람들도 많음
– 보안전문지식을 확고히 갖춘 임원이 되어 주목받아 볼 것! 기회가 도
리어 많은 상태
• 보안에 대한 사회적 인식/보안마인드
– 아직 사회적 인식이 성숙하지 않았다는 것은, 이 시장이 크고 있는
상황이라는 것
– Web 2.0 이 왜 확산되었겠는가? 기존의 web 1.0 이 채워주지 못한
2%를 찾아냈기 때문
– 아직 신선한 아이디어와 자본이 만나 성공할 수 있는 niche market
이 존재한다는 의미
– 보안전문가가 사회 도처에 분포해 있다면 너의 가치는 지금보다 높
지 않을 것이다.
• Niche 외의 시장은 정체단계이므로 저수익, 저임금을 요구함
– 정말로 정체된 시장인가? 나에게 기회는 이제 없는가?
19.
20. 인생의 승자가 되는 법은 의외로 가까운 곳에
• 결심만 하면 됨, 결국 중요한 것은 개인의 행복지수를 높이는
것임
– IT 분야 종사자, 특히 보안분야 종사자들은 관성에 메여 있는 경우가
많음
• 관성을 깬 사람들을 찾아볼 것
– 해외 보안 업체 진출 case
– 보안 à 타 분야로 전환해서 성공한 case
• 1. 보안업체 종사자의 처우가 정말로 좋지 않다면, 민간기업/
공공기관의 보안담당자로 갈 것
– 그리고 그러기 위한 spec 을 쌓을 것
• 2. 국내 보안업계 처우가 정말로 좋지 않다면, 해외 보안업계
로 진출할 것
– 그리고 그러기 위한 spec 을 쌓을 것
• 1과 2를 결심하는 사람들이 많아질 때, 국내 보안업계 종사자
의 처우는 자연스레 개선됨
– Red ocean 이 blue ocean 으로 바뀔 수 있게 됨
– 게임의 법칙
21. Winner takes all
• Winner 들이 요구하는 것이 무언지, winner 들의 society 에 들
어가려면 어떻게 해야겠는가?
– 이는 보안분야 뿐 아니라 모든 인생/사회 분야에서 가장 기초적인 생
각/전략임
• 아래와 같은 생각을 할 필요 없음
– 내가 아는 건 많은데
– 내가 학력만 조금 더 좋았어도
– 왜 이렇게 급여가 낮은건가
è 본인의 의지만 있다면 자신을 개선할 수 있음
è 그 보다는 먼저 본인이 이 사회에서 선호 받는 사람인가를 냉정히 분
석해 볼 것
• 성공에 영향을 미치는 요인은? Winner 들의 선호하는 점은?
– 평판 > 보유지식, 성격/사회성/interface > 보유지식
– 외모/복장, 행동거지, 자신감, 외국어 능력, 보고 능력 등 의사전달능
력 , 대인관계
22. 결심 – 본인이 무엇을 얻고 싶은가? 를 정해야
• 보안전문가/실력가로써의 명성
– 국내 또는 해외보안업체에 종사하는 것이 유리
– 기업내 보안담당자는 대외활동에 제약이 큼
• 돈을 얻고 싶을 경우
– 보안업계를 고집할 이유는 없음
– 같은 보안지식을 가지고도 대우가 좋은 곳을 찾을 것
• 외국계 Consulting firm – 전산감사, e-discovery, IT consulting, risk
management
• 외국계 보안회사 또는 보안사업을 하는 탄탄한 기업
– CISCO, Microsoft, Symantec
• Law firm 의 forensics 분야
• 탄탄한 민간기업/공공기관의 보안담당자
– 알아둘 점: 자신이 주인공은 되지 못함. 회계법인의 주인공은 회계사
이고, law firm 의 주인공은 변호사임
• 안정된 환경에서의 연구를 원할 경우
– 보안관련 연구소, 대학
23. 결심 - 이를 얻기 위해 필요한 것은?
• 학력
– 대학원 진학은 필요한가?
• 학문적인 성과를 얻고 싶다면 박사과정까지 고려해 볼 것
• 단순히 학부졸업장 Spec 을 업그레이드 하고 싶다면 석사과정까지
가 적절
– 학업에 투자한 비용 회수 기간 고려
• 학사졸업자 or 석사 졸업자 연봉 > 박사 졸업자
– 학력에 너무 집착하지 말 것
• 그들보다 네가 낫다는 것을 입증하라.
• 성공한 project, 성공한 product 에 참여했는가? 보안 community 에
서 인정받고 있는 사람인가?
• 실제로 민간기업에서는 학력보다 더 소중히 여기는 가치가 많음
24. 결심 - 잠깐… 같은 비용과 노력이라면?
• 가장 큰 비용은 “시간투자”
– 학위취득에 필요한 시간투자
• 정말 자신의 인생을 변화시키기 위해 독한 노력을 할 결
심이라면
– 로스쿨, 한의전문대학원, 치의전문대학원 등 다양한 path 가 존
재함.
– second-shift 를 시도해 볼 것. Why not?
• 24 의 잭 바우어의 인생은 힘들었음.
– 잭 바우어의 재능을 가지고 있다면
다른 선택의 길도 많음.
– 잭은 힘들게 살았지만 잭이 불행했다고
볼수는 없음. 본인은 행복했을 수도…
25. 어느 경우에든 필요한 것 – 실력 && 겸손
• 나는 혹시 모래위에 성을 쌓은 사람은 아닌가?
– 시스템/네트워크/DB/application 에 대한 지식없이 해킹기술만 급
조하여 쌓은 사람은 아닌가?
• 우리의 지식경쟁자는 누구인가?
– OS에 대한 깊은 연구를 한사람
– 개발에 깊은 조예가 있는 사람
– 시스템/네트워크/DB 등 각 분야의 전문가
– 이런 기반기술과 지식을 보유한 사람이 보안을 공부하기 시작하
면 더 큰 성과를 보이는 사람이 많이 출현할 것
• 근본 지식 없이 짧은 기간동안 보안지식만 협소하게 쌓은
사람
– 타분야를 배척하거나, 충분히 자격을 갖춘 타분야 전문가가 보안
에 대해 언급할 때 공격적인 반응을 보이기 쉬움
– 간접경험 vs 직접경험 issue 로 돌아감
26. 정말로 하고 싶은 말
• 어설픈 보안의 가면을 쓰고 싶은 사람들 숫자가 줄어들어야 정
말로 보안분야에서 종사하고픈 사람들만 남고, 전문가 대우를
보다 받게 됨
• 안좋은 회사를 떠나서 좋은 회사로 갈 것. 좋은 회사에 인재가
모여야 보안기술이 발전하고, 좋은 회사만 살아남아 제대로 된
대우를 받을 수 있음
– 좋은 인력들이 너무 도처에 분산되어 있음. 모여야 성과가 나고 개인
의 삶의 피로도가 줄어듦
– 좋은 회사건 나쁜 회사건 당신을 냉정히 평가함
– 당신도 냉정히 당신이 몸담을 회사를 평가하여 결정할 것. 이미 결정
했다면 진심으로 소속된 조직에 충성할 것
• 보안분야는 정말로 고된 분야임, 아직 직업선택 전, 전공선택
전이라면 충분히 고민해 볼 것
• 현실에 불평만 하지 말고 결심하고 움직일 것
– 껍질을 깬 사람은 언제 어디서나 자신의 길을 만들어 감, 대세가 어
떻게 되는지 관망하기만 하며 관성에 젖어있는 사람이 되지 말길
– 취미를 위한 보안이건, 생계를 위한 보안이건…