지난해 연이어 발생한 보안사고로 인해 보안업계의 위상이 높아졌습다. 공공기관이나 기업들의 보안프로젝트도 쏟아져 나오고 인력채용 붐이 일기 시작했죠.

특히 지식경제부의 보안관제전문업체 지정으로, 이에 해당되는 보안업체들은 인력확보에 총력을 다하고 있습니다.

학계에서도 이러한 분위기에 적극 동참해 나가고 있습니다. 일부 대학에서는 전통적인 커리큘럼에서 벗어나 네트워크 보안이나 해킹 등에 대한 과목도 새롭게 개설하는 등 시대의 흐름에 적극적으로 움직이고 있는 상황입니다.

그럼에도 불구하고 보안업계에서는 인력부족에 몸살을 앓고 있다고 합니다. 이유는 크게 두가지로 축약할 수 있습니다. 첫 번째는 보안산업에 대한 지식의 부족이며, 두 번째는 대부분의 학생들이 보안업체가 아닌 대기업 취직을 목표로 하고 있기 때문입니다.

보안업계 실무자들은 학생들이 보안업계에 대한 지식이 부족하다고 입을 모읍니다. 통상 컴퓨터공학과를 졸업한 학생들은 자료구조, 시스템프로그래밍, 운영체제 등 프로그래밍을 중점으로 배우게 되며 보안에 대한 부분은 그리 많지 않습니다. 반대로 정보보호학과를 졸업한 학생들은 보안, 해킹, 암호화 등의 과목을 이수하고 프로그래밍에 대한 과목은 비중이 적은 편이죠.

실제 네트워크 보안을 하려면 네트워크에 대한 지식을 완벽히 습득하고 있어야 합니다. 악성코드와 같이 취약점을 이용한 해킹을 탐지하기 위해서는 프로그래밍에 대한 이해도가 높아야하고요. 이런 이유로 현재 국내대학의 학부체계로는 바로 실무에 투입하긴 힘들다는 것이 공통적으로 나오는 이야기입니다.

이 같은 악재를 극복하고자 보안업계에서 선택한 카드는 산학협력입니다. 산학협력은 오래전부터 기업이 우수한 인재를 확보하기 위한 수단으로 많이 사용됐습니다.

1980년대에는 IT기업들이 전산과 학생을 유치하기 위해 학부 학생들이 3학년이 되자마자 러브콜을 보냈다고 합니다. 지금은 글로벌기업이 된 삼성전자, LG전자도 여기에 해당됩니다.

현재 안랩, 윈스테크넷, 싸이버원, SK인포섹, 펜타시큐리티 등 보안업체들은 대학교나 특성화고등학교, 전문교육기관과 손을 잡고 인력을 양성하고 있습니다. 지식정보보안산업협회(KISIA)에서도 보안업계 실무자들이 학생들을 대상으로 한 특강을 진행하고 있습니다.

산학협력의 특징은 교과서에서 배울 수 없었던 실무를 학생들에게 알려줄 수 있다는 것과 최신 트렌드를 습득할 수 있다는 점입니다. 개인정보보호법 같은건 학교에서 안배우잖아요?

어떤 식으로 보안관제가 이뤄지는지, 디도스 공격이 들어왔을 때 어떻게 대처해야하는지 등에 대한 것들을 가르치게 된다면 보안업계라는 산업군에 대한 이해도도 크게 증가하리라 생각됩니다.

이 과정을 거친 학생들은 졸업 후 바로 실무에 투입해도 업무를 수행할 수 있게 될 것입니다. 신입사원 연수과정이 짧으므로 기업의 입장에서도 부담이 적고, 학생의 입장에서는 취업에 대한 부담을 덜 수 있으니 꿩먹고 알먹고가 아닐까요?

앞으로 이러한 산학협력이 계속해서 확대된다면 인력난이 조금은 해소되지 않을까 기대해 봅니다.


2012/06/01 08:12 2012/06/01 08:12


“보안인력이 아무리 부족하다고 해도 학점만 볼 수는 없죠. 보안에 대한 열정이 얼마나 뜨거운지가 더 중요합니다.”

최근 기자는 보안업체를 비롯해 포털업체들 보안담당자를 만나 신입사원을 뽑을 때, 어떤 기준이 있는지 물어봤다.

보안담당자들은 모두 공통으로 학점이나 어학성적보다는 ‘과외활동(동아리, 학회 등)’을 얼마나 많이 했는지가 중요하다고 한다.

안철수연구소 시큐리티대응센터의 이호웅 센터장은 “정보보호 업무를 하기 위해서는 기본적으로 컴퓨터 시스템에 대한 지식이 있어야하고 그 위에 보안에 대한 지식이 추가돼야 한다”며 “이말은 컴퓨터공학과나 정보보호학과를 나온다고 해서 정보보호 업무를 수행하기 최적의 상태는 아니라는 의미”라고 말했다.

일반적으로 컴퓨터공학과를 졸업한 학생들은 정보보호나 해킹에 대한 ‘감’을 잡기가 힘들다는 것이었다. 반대로 정보보호학과를 졸업한 학생들은 정보보호 업무의 기본인 프로그래밍에 약하다는 것이 그의 주장.

 

이 센터장은 “이러한 이유 때문에 학점이 높거나, 낮아도 업무를 수행하는 것에는 큰 차이가 없다는 것이 일반적인 보안실무자들과 인사담당자들의 생각”이라며 “차라리 그렇다면 정보보호 학회나 해킹 동아리와 같은 과외활동이 많은 학생들이 오히려 우리 과업에는 도움이 된다”고 덧붙였다.


그의 말을 가혹하게 해석하자면 ‘어셈블리어(Assembly語)’를 다뤄보지도 않은 사람은 보안업무를 할 기본도 안돼 있다고 할 수 있다. (참고로, 어셈블리어는 국내 대학에선 가르치지 않는다. 이는 보안에 열정이 있다면 어셈블리어를 한 번쯤은 다뤄볼 것이라는 추론에 근거한 생각이다.)

어셈블리어는 기계어와 1대1로 대응하는 언어로 사람이 이해하기 쉽게 약간 변형시킨 언어다. 기계어와 가장 가깝기 때문에 그 기계의 특성을 가장 잘 살릴 수 있다는 것이 장점이다.

어셈블리어를 배우는 목적은 컴퓨터의 작동원리 자체를 이해하기 위해서 이며, 특히 해킹이라는 프로세스를 이해하기 위해서는 필수적인 요소다.

이 센터장은 “학점이 낮더라도 해킹 동아리 등을 통해 어셈블리어를 직접 다뤄보고, 파일을 크래킹해보거나 해킹대회 등에 참석해 본 인재. 즉, 보안에 대한 흥미와 열정이 있는 인재를 보안업체들은 요구한다”고 설명했다.

 

안철수연구소에서는 지난해 50여명의 신입사원 공채공고를 냈으나 30여명이 최종합격했다. 올해 20명을 추가로 채용 할 예정이다.


한편 SK인포섹 역시 학점과 같은 숫자보다는 ‘대학생활을 어떻게 보냈는지’를 중점으로 본다고 한다.

 

SK인포섹은 지난해 11월 신입사원 공채로 20명을 선발했고 올해에도 수시채용을 통해 신입

사원을 모집할 계획이다.


SK인포섹 보안기술연구소 양만석 소장은 “신입사원을 뽑을 때 가장 먼저 보는 것은 성적이지만, 성적이 좋고 나쁨에 대한 것을 보는 것은 아니다”고 운을 뗐다.

이어 “성적이 나쁘다면 분명 이유가 있을 것이고 생각한다. 성실한 사람이 결과가 나쁘게 나쁘게 나왔다면 거기에 대한 이유가 있기 때문”이라며 “그 이유가 타당하고 열정과 성의를 보여줄 수 있다면 그걸로 성적이 나쁜 것에 대한 것은 모두 사라진다”고 설명했다.

실제로 SK인포섹은 컴퓨터공학과나 정보보호학과 출신이 아닌 기계과 출신 학생을 선발한 적이 있다. 그 학생 학점은 일반적인 학생들에 비해 많이 낮았다고 한다.

양 소장은 “그 학생은 전공 대신 자신이 좋아하는 C언어만 열심히 공부했고, 거기에 대한 성과도 있었다. 이런 학생이 우리에게 필요한 인재”라고 강조했다.

보안업체뿐 아니라 인터넷서비스업체들 역시 보안인력을 뽑는 것에 대해서는 매우 엄격했다.

 

NHN 이준호 최고정보보호책임자(CISO)는 “보안업무를 담당할 신입사원을 모집하고 있는 중이지만 지원자도 적고, 인재가 없는 것 같다”고 말했다.

그는 “보안인력이라고 하면 단순히 프로그래밍을 할 줄 아는 능력을 갖춘다고 해결되는 것은 아니다”며 “기술적인 요소와 사회공학적인 요소를 겸비하고 있어야 한다. 그렇다보니 여기에 부합되는 인재는 적을 수 밖에 없다”고 설명했다.

이 CISO는 “학생 시절 학과 수업뿐 아니라 다양한 활동을 통한 포트폴리오를 만들어 두는 것이 자신의 꿈을 이룰 수 있는 기초가 될 것”이라고 덧붙였다.

2012/01/16 09:38 2012/01/16 09:38