정보보안학과 졸업생인 김태형(SK C&C 인포섹)파트장이 '정보보호 컨설팅'에 관해 한국IT전문학교 특강을 가졌다. 국내 최고 정보보안기업 중 한 곳인 SK C&C 인포섹에서 근무하는 졸업생이라는 점에서 학생들의 관심은 폭발적이었다. 현직에서 그동안 경험한 생생한 현장 이야기와 후배들을 위한 조언이 이어지는 동안 강의실은 뜨거운 열기로 가득했다.

[사진설명] 정보보안전문가를 꿈꾸는 학생들이 열심히 선배님의 강의듣고 있다.

정보보안컨설팅이란?
컴퓨터가 대중화된 이후 정보보안에 대한 우려는 지속되어져 왔다. 특히 중국과 북한 등 외부 해커들의 무차별적인 공격이 계속되고 정보유출에 의한 사건들이 표면화되면서 정보보안에 대한 필요성이 대두되고 있다.
또한 정보통신 기반 보호법과 IT경영 실태 평가 등을 통해 정기적으로 취약점을 분석, 평가하여 기업 및 조직 평가에 반영함으로써 정보보호에 대한 중요성을 강조하고 있다.
이러한 필요성에 의해 제안되기 시작한 정보보안컨설팅이란 각 조직의 성격에 맞게 해당 조직에 존재하는 위협을 제거하고 관리적, 기술적 보안상의 안정성을 확립하기 위해 제공되는 서비스로, 보안점검, 보안진단, 위험분석 및 평가, 보안정책수립, 보안 모델 설계, 보안 솔루션제안, 보안 교육 등 기업의 보안을 강화하기 위한 전무적인 진단과 대책을 수립하는 총체적인 행위를 말한다.

정보보호 컨설팅에는 어떤 유형이 있는가?
◎ 취약성 진단 컨설팅 : 시스템/네트워크에 대한 취약성 테스트를 통해 대안을 제시
◎ 기본 보안 컨설팅 : 보안체크리스트를 이용해 기본적인 정보보호 수준을 점검하고 보안절차 및 대책을 권고
◎ 주요정보통신기반시설 정보보호 컨설팅 : 금융감독위원회/정보통신부 정보보호조치 이행 및 안전진단에 대한 Gap분석, 대책수립 및 심사를 통한 필증 획득 업무 수행
◎ 종합 보안 컨설팅 : 상세한 분석을 통해 종합적 보안계획을 수립, 조직의 사업 특성에 적합한 보안위험분석 실시, 보안위험분석 결과에 따른 위험관리 대책 선정, 보안체계설계에 의한 체계적인 보안 로드맵 작성
◎ 개인정보 보호 컨설팅 : 주요 고객에 대한 고객정보 보호 현황 분석 및 정보보호 방안 및 대책 제시
◎ 시스템개발단계 보안컨설팅 : 신 시스템의 개발단계에서 발생 가능한 보안 취약성에 대한 사전 제거 대책 및 방안 제시
◎ 인증체계 유지 시스템 : ISO27001/ISMS인증에 대한 유지관리 솔루션
◎ 보안 감사 : 보안체계가 효과적, 효율적으로 구현/운영 여부 점검

정보보호 컨설턴트가 하는 일은?
정보보호 컨설턴트는 프로젝트 대상에 대한 업무 분석과 정보보호 관리기준을 기반으로 한 체크리스트를 통해 현황 분석을 실시하고, 정보자산, 서버, 네트워크, PC 등을 대상으로 중요도를 분석하며 네트워크와 어플리케이션 등에 대한 취약성을 분석하는 위험 분석(자산 분석, 취약성 분석)을 실시하며, 보안성 강화, 정보보호 대책 수립, 컨설팅 결과 교육, 모의해킹 등 정보보호와 관련된 업무를 총괄적으로 진행 관리하는 업무를 맡는다. 이중에서도 모의 해킹은 기업의 중요정보를 획득하고 비 인가 네트워크 침투, 사용자정보 획득, 특수 콘텐츠 사용 등 고급기술을 요구하는 것으로 모의 해킹 테스트를 통해 발생할 수 있는 해킹 위험을 찾아내는 업무이다. 이 모의 해킹을 통해 기업들은 위험을 사전에 파악하고 그에 대한 보안 대책을 수립할 수 있다.

정보보호 컨설턴트가 되려면?
IT 컨설팅을 하기 위해 반드시 필요한 학과는 없다. 어느 학과를 나오든 필요한 지식을 가지고 있다면 가능하다. 하지만 대부분의 컨설팅 쪽은 경력사원을 요구하는 경우가 많고, 좋은 대학졸업, 석사이상의 학위를 요구하는 경우가 많기 때문에 유명 컨설팅 회사에 입사를 원한다면 좋은 성적과 학위, 영어실력, 언변 등이 필요하므로 이에 대한 개인적인 노력이 필요하다. 위의 조건을 모두 채울 수 없는 경우는 일단 다른 업무로 입사한 후 경험을 쌓아 컨설팅으로 옮기는 방법도 한 가지 방법이다.

<미니인터뷰>

Q. 졸업생이라고 들었는데?
A. 정보보안학부 2006년 졸업생입니다.

Q. SK C&C 인포섹에서 주로 하는 업무는?
A. 정보보호를 위한 모의해킹을 하는 일입니다. 기업이나 관공서 등의 정보보안을 테스트 하는 일로 모의해킹을 통해 보안을 강화하는 업무입니다.

Q. 어떻게 그 일을 하게 됐나요?
A. 처음부터 정보보안쪽 일에 관심이 많았습니다. 그래서 졸업 후 관련 학원에서 좀 더 심화된 내용을 공부하고 해커스쿨이라는 단체에게 2년 동안 활동하며 실무감각을 익혔습니다.

Q. 오늘 후배들 앞에 나서서 특강을 하게 된 동기는?
A. 꼭 명문대를 나와야만 성공의 길을 갈 수 있는 것은 아닙니다. 저도 그렇고, 제 동기 중에도 좋은 곳에 취업해 남부럽지 않게 사회생활을 하고 있는 친구들이 있습니다. 저는 이 학교를 졸업한 선배로서 후배들에게 자신의 가치를 재판단할 수 있는 기회를 제공하고 그들에게 희망을 전달하는 역할을 해주고 싶었습니다.

Q. 오늘 강의 분위기는 어땠나요?
A. 아주 열의에 차 있었고 긍정적이었다고 생각합니다. 이쪽 분야에 관심이 있는 친구들도 있었을 거고, 아닌 친구들도 있겠지만 모두들 강의 내내 집중도가 매우 높았습니다.

Q. 후배들에게 선배로서 해주고 싶은 조언이 있다면?
A. 학교 수업에만 안주해서는 안 된다고 전해주고 싶어요. 우리 학교 수업이 강도가 높긴 하지만 그렇다고 해서 학교 수업만으로 모든 것이 해결되는 것은 아닙니다. 학교 수업은 말 그대로 탄탄한 기초를 잡아주는 정도라고 생각해야 합니다. 본인이 어떠한 분야로 나가게 될지는 모르겠지만 성공하고 싶다면 학교 수업 이외에도 꾸준히 자기 개발을 하는 노력을 기울어야 합니다. 사회생활을 시작하면 내 마음대로 할 수 있는 게 많지 않아요. 또 일을 했으면 반드시 성과를 내야 합니다. 그런 냉혹한 사회 속에서 자리 잡고 성공을 거두고 싶다면 노력을 게을리 해서는 절대 안 됩니다. 끝