금융보안 파수꾼을 꿈꾸는 학생들 어떤 준비를 해야 될까?

올해 4월 현대캐피탈 해킹 사건과 농협의 전산 사고가 있었다. 그리고 연이어 이번 달 초에는 삼성카드 직원의 고객 정보 유출 사건이 발생했다. 이처럼 올해는 유난히 금융권 보안 사고가 잇따라 발생하고 있다.

앞으로 이와 같은 금융권 보안 사고를 막기위해서 금융권 보안을 위한 더 많은 파수꾼들이  필요할 것이다. 그리고 자본주의의 꽃이라고 할 수 있는 금융을 지킨다는 사명감으로 미래의 금융권 보안 업계 파수꾼들을 꿈꾸는 사람들도 있을 것이다.

이러한 멋진 꿈을 갖고 있는 미래위 금융보안전문가 양성을 목적으로  금융보안연구원에서 주최하는 「제2회 대학생 금융보안 캠프」(이하 금융보안 캠프)가 8월 17일부터 19일까지 2박 3일 동안 농협 수안보 수련원에서 진행되었다.

작년도 처음으로 시작한 금융보안 캠프 (http://blogsabo.ahnlab.com/485)에 이어서 올해는 조금 더 다양한 프로그램으로 진행이 되었다.

그 중 취업 시즌인 만큼 금융 보안 업계로 진로를 생각하고 있는 분들을 위해 도움될 만한 시간이 있어서 이야기 하려고 한다. 바로 현재 금융 보안 업계에서 종사하고 있는 분들의 패널토론 시간이었다.

금융 업계는 크게 증권사, 보험사, 카드사, 은행 4가지로 나눌수 있다. 각 금융사를 대표해서 보안 담당자 분들이 이 시간을 함께 해주었다.

증권사-미래에셋증권 백남준 차장/보험사-생명보험협회 여창환 대리/카드사-하나SK카드 이성중 차장
은행 - 금융보안연구원 이상록 본부장 ( 이익준 국민은행 선임차장을 대신하여 참여)

지금부터 현재 각각의 금융업계 보안을 담당하고 있는 4人의 이야기를 함께 들어보자.
 

하나SK카드 이성중 차장 :
작년까지는 한명으로 업무를 했었는데 올해 5월부터 새로 팀을 꾸려서 보안 인력을 갖추기 위해 사람을 채용하고 있는 상황이다. 면접을 진행하면서 느끼는 바가 있어서 말하려고 한다. 최근 한 달 사이에 2명 충원을 했다. 결론적으로 이야기 하자면 대학원을 나오고 현장 경험을 겪은 경력자를 채용했다.

반면 떨어지는 사람들의 유형을 보니까 업무 스펙트럼이 너무 좁았다. 보안을 3~4 년 동안 해온 것은 좋았는데 문제는 너무 좁은 스펙트럼을 가지고 한정된 일만 해본 것이었다. 합격자들은 더 스펙트럼이 넓으면서 2,3,4 개에 대해서 더 넓은 지식을 갖고 있는 사람들이기 때문이다.

정보보호를 할 때 여러 분야에 대한 인사이트(Insight)를 갖는다. 하지만 그 전에 한 분야에 대해서 인사이트를 가져야 한다. 예를들어 방화벽이면 방화벽에 대해 전부 뜯어 봐야한다. 방화벽을 다 뜯어본 뒤에 놓고 IDS로 가고 다 뜯어보고 나서 네트워크로 가는 것이다.
그리고 회사환경이나 업무환경에서 자신이 이해가 되고 설명할 수 있고 논리를 만들 수 있으면 방어를 할 수 있다. 그 정도의 지식을 갖고 네트워크, 서버 … 이런 식으로 가면 경력이 4~5 년 밖에 안 되어도 대리급 일을 할 수 있다.

하지만 어떤 분은 방화벽이야기만 한다. 좁을 수도 있다. 본인이 조금 더 노력을 했으면 좋겠다. 공부를 할 때에도  전문성을 가지고 설명을 할 수 있을 정도로 공부를 하면 좋겠다. 회사나 학교내에서 기회가 안되면 본인이 세미나나 여러 현장을 찾아다녔으면 좋았을텐데 하는 안타까움이 들었다. 

생명보험협회 여창환 대리 :
이 자리에 참석한 분들 대다수가 보안을 하고 싶다고 온 사람들이 있을 것이다. 하지만 하고 싶다고 할 수 있는 것은 아니다. 어느 회사든 신입 사원에게 보안을 맡기지는 않는다. 어떤 회사 보안팀에서 뽑을 수는 있겠지만 경력직으로 뽑는 경우도 있다. 대형 보험회사에서도 경력직을 많이 선호하고 있다. 

신입사원으로 길은 자신의 능력을 개발하는 것이다. 들어가서 자신이 그 분야에 대해서 넓게 공부하고 자신있는 스페셜리스트가 되면 좋다. 업무를 하면서 특이한 경력을 가진 분을 만났다. 바로 처음에는 통,번역으로 일을 시작해서 지금은 보안 업무를 담당하고 있는 분이다. 보안 관련된 번역 요청을 받게 되어서 공부를 시작하게 된 것이다. 강점이라고 할 수 있는 번역을 하다가 자신이 스스로 보안에 대해서 공부를 하고 자격증을 땄었다. 그리고 때 마침 보안을 전담하는 사람이 없어서 보안 담당자로 들어가게 된 것이다.

입사를 할 때에 일반 IT , SI 업무를 할 수도 있는데 입사를 한 다음 자신의 패스(Path)를 잡아놓고 가면 앞으로 나갈 때에 좋을 것이다. 자신의 패스를 열심히 준비하면 좋은 결과를 얻을 수 있을 것이다. 바로 칠 수 없으면 돌려쳐라. 다른 분야 보안 업체에서 실력을 기르고 경력직으로 가는 방법도 좋을 것이다.

 

금융보안연구원 이상록 본부장 :
전에 근무했던 국민은행 IT부서는 500명의 인원 중 13명이 보안인력으로 있다. 정규직13명 + 외주14~15 명으로 전체 30명 정도가 보안 업무를 하고 있다. 보안시스템을 유지 보수 하면서 24x365 체계(24시간 365일) 관제시스템 구축해서 보안인력들이 관제를 하고 있다.

국민은행은 은행권 입장에서 많다고 하진 않지만 금융권에서는 많은 편일 것이다.

금융보안캠프에 참석한 학생들 대부분이 취업을 한다면 신입으로 가게 될것이다. 다른른 권역과 다르게 은행권의 특색은 신입들을 뽑는다. 보안 인력이라고 전담해서 뽑지는 않는다. 보안인력 TO는 있을 수 있지만 금융권에서 IT 인력으로 들어올 때에는 뽑힌 내에서 부서장들이 모여 보안인력을 착출하는 형태로 돌아가고 있다. 

하지만 최근 해킹 침해사고가 일어나면서 경력직을 많이 채용했다. 그 이유는 당장의 리스크를 막기 위해 전문 계약직을 채용했기 때문이다. 전문인력이라고 해서 혜택 차이가 나는 경우는 없다. 보수도 정직원과 거의 같다. 복지 부분에서 어느 분야보다 좋기 때문에 많은 인력이 모일 줄 알았는데 생각보다 별로 모이지 않았다. 

은행권의 문화 중에서 가장 큰 특징은 변화가 쉽지 않고 잘 가르쳐주지 않는 것이다. 자기만의 영역을 쌓는 부분이 많기 때문이다. 이 말은 즉슨 기본에 충실해야 된다는 것이다. 예를 들어 국민은행에서는 매년 1,2 명씩 신입사원이 들어오면 1년간은 지점근무를 시킨다. IT 인력이라도 지점의 업무현황을 모르고는 일을 할 수 없기 때문이다.

한 번 맡으면 몇 년 씩 하는 일이므로 신입으로 가게되면 많은 일을 배워야 한다. 절대 먼저 알려주지는 않는다. 이런 부분에 관해서 자신의 의지로 끌고 나가야 할 부분이라고 생각한다.

미래에셋증권 백남준 차장 :
얼마 전 신문기사를 보니까 유망직종 10위안에 보안전문가가 있는 것을 보았다. 그 만큼 앞으로의 전망 또한 밝다. 하지만 실제 기업에서는 보안인력을 뽑지 못하는 경우가 태반이다. 그 이유는 보안전문가는 정보를 보호하는 담당자로서 갖추어야 할 것이 많기 때문이다. 

예전에는 금융기관이라고 하면 이자를 크게 돌려주면 좋은 것이었다. 하지만 요즘은 시대가 바뀌면서 고객이 맡긴 정보도 소중히 다루어야한다. 365일 24시간 내내 한 건이라도 놓치면 문제가 생길 수 있다. 단순하고 반복적인 일이 될 수 도 있지만 어떤 연락을 받았을 때에 바로바로 나올 수 있는 책임감과 성실성 그리고 높은 윤리의식이 필요하다.
 

웹 , 네트워크, AP, 악성코드 분석/대응 , 침해사고대응, 리버스 엔지니어링 등 보안관련 전문지식도 있어야한다. 그리고 기업에서 보안을 어필하기 위해서 보고서를 쓰거나 설득을 잘하기 위한 커뮤니케이션 스킬도 필요하다.
 

보안 관련 경력 (동호회, 산학연계, 해킹대회, 자격증) 도 필요할 것이다. 미래에셋의 경우 모 해킹동아리하고 연관이 되어있다. 해킹동아리에서 모의해킹을 해서 취약점을 발견하거나 하면 인센티브로 동아리 활동에 필요한 지원을 해주고있다.

모든 보안전문가들의 발표 후 질의응답시간을 가졌다. 금융 보안에 관심 많은 학생들이 모인 자리인 만큼  많은 질문이 쏟아졌다.

Q : 미래에셋증권의 경우 취약점 분석을 하고 실제로 모의해킹을 성공하면 포상을 준다고 했는데 다른 대학연구실도 지원 가능한가?

A : 미래에셋증권의 경우 현재 KAIST 보안동아리 Gon 과 관련이 있다. 시스템을 망가뜨리지 않는 범위 내에서 모의해킹을 가능하게 한다. 그리고 취약점을 분석해서 모의해킹에 성공을 하면 많게는 기존 동아리 활동비 3배 정도의 금액까지 지원을 해주었다. 다른 연구실도 물론 가능하다. 학생들은 현업에 있는 사람들과 다르다. 그래서 실제로 할 수 있는 기회를 주려고 한다.

Q : 보안을 하다가 많은 사건 사고를 겪었을 텐데 가장 힘들었던 점은?
 

A : 금보원 직원의 입장으로 말하자면 감독기관에 보고를 안하는 사고도 많다. 사고는 은행권에서 가장 많이 일어났다. 여러가지 사건 사고 중 다른 회사에 사고가 발생한 경우에 위에 있는 분들이 '우리는 어떻게 되어있냐?', '우리는 잘 되어있지?' 하는 그에 대한 대응책을 물어보는 것이다.

그리고 이에 대해 보고를 하는 것이 가장 힘들었다. 실무자들은 현 상황을 알고 있다. 하지만 윗분들의 조바심에 의해 보고를 하게 된다. 거기에서 끝나는 것이 아니라 온갖 부서에 보고하라는 것이 힘들다. 금융 사고의 경우 한 번 나면 이슈화되어서 보안에 관심갖는 사람이 많아지기 때문이다.

Q : 아웃소싱을 이야기를 했는데 외부 업체에 어느 부분에 대해서 맡기고 내부 인력들은 구체적으로 어떤 업무를 하는가?
 

A : 보안 인력 아웃소싱은 24x365 관제만 주고 있다. 그 나머지(솔루션, 시스템, 네트워크, 방화벽 이런 부분에 대한 보안)는 내부 직원이 담당을 한다. 보안 기획은 1~2명 ,개인 정보관리 2명 ,100대 이상의 서버에 대해서는 3명 정도가 관리를 하고 있다. 내부에서 전직원의 PC 보안 솔루션이 설치되어 있는데 USB를 담아가려고 시도를 하는 사람이 있을 수 있다. 이런 보안문제에 대해서도 모니터링을 해야 한다.
 

결론은 정보보호 담당자는 모든 부분에 대해 알고 있어야 한다. 전체적인 보안이 중요하기 때문이다. 아웃소싱을 맡겼다고 해서 끝이 아니라는 것이다. 아웃소싱을 맡긴 관제에 대해 모른다면 두 페이지의 로그가 올라오는 것에 뻗어버릴 것이다. 그러다 사고가 터지는 것이다.

모르는 부분이 있다면 모르는 만큼 더 파고 들어가야 된다. 예를 들어 우연히 경험할 기회가 생겨서 새로운 업무를 시작하게 된다면 파는 것이다. 깊이 있게 들어가려는 개인의 노력이 필요하다. 해보면 책과 다르다는 것을 알 수 있을 것이다. 

Q : 보안도 다양한 분야가 있다. 보안전문가 입장에서 추천해 주실 만한 보안 분야나 더 많이 공부하라고 말해주고 싶은 분야는? 
 

A : 신입직원에 대한 기대를 많이하는 편이다. 하지만 기술적인 기대는 안한다. 금융보안에서 해킹 관련 기술을 많이 알면 좋으나 은행에 입사를 하면 은행원이다. 정보보안 분야가 유망하다는 것과는 다르다.

신입직원 2명 중 1명이 나가려고 한다. 반면에 1명은 잘 견디고 있다. 잘 견디고 있는 1명의 경우 IT 인력 면접에서 팔굽혀펴기를 했다. 쌩뚱맞는 행동이었지만 자신의 의지를 보여주려고 했던 행동으로 면접관들이 보았다. 기술의 초점이 아니라 얼마나 의지를 가지고 적극적으로 하는지가 중요한 것이다. 결국 4명의 신입사원 중 한 명으로 뽑혔다. 회사에 와서도 작은 회의를 하고 있었는데 4명 중 유일하게 귀동냥하고 회의에 끼어(?)들었다. 나머지 3명은 할 일 없이 가만히 있었다. 이 친구는 잘 모르는 부분이 생기면 가서 뭐하는지 보고 듣고 했다. 그래서 인정받고 지금까지 살아남았다.

요즘 대세가 대는 IT 기술이라고 하면 모바일, 클라우드, SNS 라고 할 수 있다. 하지만 향후 10년뒤에는 어떻게 바뀔지 모른다. 우리가 중요하게 생각하는 것은 문제가 주어졌을 경우 문제를 해결하기 위한 성실성과 적극성이라고 본다. 그 이상의 기술을 습득하고자 한다면 이 단계를 밟아가는게 중요하다고 본다.

Q : 금융보안연구원에 대한 질문입니다. 신입직원은 6개월 수습을 통해서 정직원이 될 지 전환되는지 보는데 정직원 변환 비율이 어떻게 되는가?

A : 정직원 변환 비율 100 % 입니다.

보안전문가가 금융회사에 입사를 할 수 있다. 하지만 금융회사에서 일하기 위해서는 금융인이 되어야 한다. 보안 못지 않게 금융 업무 자체에 대해서도 관심 갖고 배워 나가야더 성장 할 수 있을 것이다.
그리고 보안을 협소하게 보는 것이 아니라 시야를 넓혀서 금융회사의 본질에 대해 관심을 가진다면 미래의 금융보안전문가가 될 수 있을 것이다.