[펌글] [News Blog] 보안 엔지니어의 고충 10가지
멀알려줄까 / 2008. 8. 21. 09:04
http://www.zdnet.co.kr/news/network/security/0,39031117,39166017,00.htm
IT 분야에서 보안에 몸 담으려는 사람들에게 꼭 해주고 싶은 말,
10번 다시 생각하세요~~!
해년마다 앞으로 전망있는 직업 5위안에 들고 있지만, 실상은 이렇다는 것이다.
외국에서는 보안분야가 모든 IT 분야를 아우르지만, 한국이라는 나라에서는 항상 SI가 보안분야를 꼬봉으로 데리고 다닌다.
보안분야에서 엔지니어로 살고 싶다면, 정말 다시 생각해보기 바란다.
----------------------------------------------------------------------------------
1. 회사가 부르면 언제든 출동
이는 보통 ‘긴급 대응팀’에 해당한다. 근무 외 개인적 시간에도 회사가 부르면 달려가야 하는데, 대처가 늦어지면 고객사가 떨어져 나가곤 한다. 쉽게 말해 종합병원 응급실이라고 생각하면 된다. 때문에 입사하면 회사 근처로 아예 이사오는 것이 편하다.
한 엔지니어는 “선 보는 자리에서 호출을 받고 회사로 뛰어간 적도 있다”며 “개인 시간이 부족하다 보니 동료들 중 노총각이 많은 것이 사실”이라고 밝혔다.
2. 언제쯤 명절을 가족과 함께?
지난 설 연휴에도 많은 보안 엔지니어들이 회사를 지켰다. 이유는 간단하다. 사이버 범죄자가 명절이라고 쉬겠는가? 한 백신업체 대응팀의 경우 24시간 모니터링을 3교대로 한다. 휴일이라고 이 틀이 크게 바뀌지는 않는다.
3. 나는 어느 회사 사람일까?
다른 IT 분야도 그렇지만 프로젝트를 수주하면 고객사에 파견 나가 제품을 설치해야 한다. 이는 몇 달씩 상주하는 경우도 흔하다. 지원팀의 경우 유지보수 파견을 지속 나가는데 커스터마이징 요구가 갈수록 늘어나면서 전보다 일하기가 힘들다.(하지만 가격경쟁으로 회사에 들어오는 돈은 적다.)
특히 공공기관은 그 까다로움이 극에 달해 ‘공포의 대상’이지만 최대 고객이라 비위를 잘 맞춰야 한다.
4. 고객사의 횡포
3번의 경우 그래도 ‘내가 할 일이니까...’라고 생각하며 감내할 수 있다. 문제는 이렇게 도저히 생각할 수 없는 일도 해야 한다는 것.
예를 들면 고객사가 서버나 네트워크를 뜯어 고칠 때 호출을 한다. 이유는 네트워크 단에서 보안이 최상단에 위치하기 때문. ‘무조건 들어와서 대기 하세요’는 고객사 담당자가 보안 엔지니어를 부를 때 가장 많이 쓰는 말이다.
하지만 막상 가보면 수 시간 대기만 하고, 할 일이 없어서 돌아오는 경우가 허다하다. 혹은 ‘보안 엔지니어면 네트워크도 잘 알 것이니 우리 작업도 하라’고 당당히 ‘명령’하는 고객사도 있다. 물론 고객 서비스란 명목으로 무상이다. 종종 돌아오는 비인간적인 언행과 무시는 서비스. 벙어리 냉가슴이 따로 없다.
5. 자기 회사 돌아가는 사정에 어둡다
이렇게 파견업무를 끝내고 돌아오면 회사가 낯설다. 인력상황도 변해있고 전체적으로 회사 사정에 어두워진다. 또 긴급 대응팀의 경우 2번과 같은 이유로 전사 워크샵에도 빠지는 것이 어색하지가 않다. 제대 후 막 복학했던 시절 생각이 난다.
6. 해킹기술을 따라잡기가 힘들다
집에서 편히 새 기술을 연구하는 크래커를 보안 엔지니어는 온종일 업무에 시달리는 가운데 잡아내야 한다. 물론 이들이 하는 업무가 해킹에 관한 것이지만 실력이 쑥쑥 늘기 위해서는 책 펴놓고 공부를 해야 한다.
하지만 누차 강조하듯이 시간이 부족하다. 국내외 유명 해킹기술 세미나에도 가보고 싶지만 언감생심이다.
7. 크래커와의 피곤한 심리전
보안이란 일 자체가 크래커와의 총성 없는 전쟁을 뜻한다. 게다가 항상 방어의 입장이다. 크래커는 해킹으로 돈, 심리적 충족 등을 얻지만 보안 엔지니어는 스트레스만 받는다. 게다가 악성코드에는 크래커들이 보안 엔지니어의 평정심을 잃게 하고 우롱하려는 심리 전략들도 담겨있다.
특히 악성코드 소스를 분석했을 때 욕설을 담은 메시지가 나오면 직접 뛰어나가 잡고 싶다고...
8. 대체 하는 일이 뭔가?
주로 일반 기업내 보안팀이 듣는 소리다. 보안은 잘 한다고 눈에 보이는 수익이 발생하지 않는다. 그러나 사고가 터졌을 경우 발생할 비용을 차단한다는 점에서 중요한 일이다.
문제는 이걸 회사에서 잘 모른다는 것이다. PC 앞에 종일 앉아있는 보안팀의 고마움을 다른 팀들은 간과하기 일쑤. 그러다 한번 실수로 사고가 나면 모든 비난이 돌아오며, 무능하다고 찍힌다.
9. 가장 중요한 문제 「돈」
가장 꺼내기 애매하면서도 중요한 것이 돈 문제이다. 국내 보안기업 중 자본금 10억을 넘는 기업은 손가락으로 꼽을 정도다. 때문에 일선 직원들에게 돌아가는 급여도 많지 않다.
보통 보안 벤처업계에서는 대기업의 70% 정도를 받으면 잘 받고 있다는 것이 통설이다. 그러면서도 업무량만큼은 절대 뒤지지 않는다. 물론, 이는 보안뿐 아니라 국내 IT 벤처 대부분이 안고 있는 문제다.
10. 나도 후배가 보고 싶다
만약 보안업계 인력 수급이 원활하다면 위의 문제들을 상당수 해결할 수 있을 것이다. 보안 엔지니어들은 후배들이 들어오길 애태우며 기다리고 있다.
하지만 바로 위의 문제들 때문에 지원자가 적다. 닭과 달걀 중 어떤 것이 먼저 난지는 모르겠지만 악순환의 고리가 돌고 있는 사실은 분명하다. 또 지원자가 들어온다 해도 한달을 못 넘기는 경우가 허다하다.
IT 분야에서 보안에 몸 담으려는 사람들에게 꼭 해주고 싶은 말,
10번 다시 생각하세요~~!
해년마다 앞으로 전망있는 직업 5위안에 들고 있지만, 실상은 이렇다는 것이다.
외국에서는 보안분야가 모든 IT 분야를 아우르지만, 한국이라는 나라에서는 항상 SI가 보안분야를 꼬봉으로 데리고 다닌다.
보안분야에서 엔지니어로 살고 싶다면, 정말 다시 생각해보기 바란다.
----------------------------------------------------------------------------------
1. 회사가 부르면 언제든 출동
이는 보통 ‘긴급 대응팀’에 해당한다. 근무 외 개인적 시간에도 회사가 부르면 달려가야 하는데, 대처가 늦어지면 고객사가 떨어져 나가곤 한다. 쉽게 말해 종합병원 응급실이라고 생각하면 된다. 때문에 입사하면 회사 근처로 아예 이사오는 것이 편하다.
한 엔지니어는 “선 보는 자리에서 호출을 받고 회사로 뛰어간 적도 있다”며 “개인 시간이 부족하다 보니 동료들 중 노총각이 많은 것이 사실”이라고 밝혔다.
2. 언제쯤 명절을 가족과 함께?
지난 설 연휴에도 많은 보안 엔지니어들이 회사를 지켰다. 이유는 간단하다. 사이버 범죄자가 명절이라고 쉬겠는가? 한 백신업체 대응팀의 경우 24시간 모니터링을 3교대로 한다. 휴일이라고 이 틀이 크게 바뀌지는 않는다.
3. 나는 어느 회사 사람일까?
다른 IT 분야도 그렇지만 프로젝트를 수주하면 고객사에 파견 나가 제품을 설치해야 한다. 이는 몇 달씩 상주하는 경우도 흔하다. 지원팀의 경우 유지보수 파견을 지속 나가는데 커스터마이징 요구가 갈수록 늘어나면서 전보다 일하기가 힘들다.(하지만 가격경쟁으로 회사에 들어오는 돈은 적다.)
특히 공공기관은 그 까다로움이 극에 달해 ‘공포의 대상’이지만 최대 고객이라 비위를 잘 맞춰야 한다.
4. 고객사의 횡포
3번의 경우 그래도 ‘내가 할 일이니까...’라고 생각하며 감내할 수 있다. 문제는 이렇게 도저히 생각할 수 없는 일도 해야 한다는 것.
예를 들면 고객사가 서버나 네트워크를 뜯어 고칠 때 호출을 한다. 이유는 네트워크 단에서 보안이 최상단에 위치하기 때문. ‘무조건 들어와서 대기 하세요’는 고객사 담당자가 보안 엔지니어를 부를 때 가장 많이 쓰는 말이다.
하지만 막상 가보면 수 시간 대기만 하고, 할 일이 없어서 돌아오는 경우가 허다하다. 혹은 ‘보안 엔지니어면 네트워크도 잘 알 것이니 우리 작업도 하라’고 당당히 ‘명령’하는 고객사도 있다. 물론 고객 서비스란 명목으로 무상이다. 종종 돌아오는 비인간적인 언행과 무시는 서비스. 벙어리 냉가슴이 따로 없다.
5. 자기 회사 돌아가는 사정에 어둡다
이렇게 파견업무를 끝내고 돌아오면 회사가 낯설다. 인력상황도 변해있고 전체적으로 회사 사정에 어두워진다. 또 긴급 대응팀의 경우 2번과 같은 이유로 전사 워크샵에도 빠지는 것이 어색하지가 않다. 제대 후 막 복학했던 시절 생각이 난다.
6. 해킹기술을 따라잡기가 힘들다
집에서 편히 새 기술을 연구하는 크래커를 보안 엔지니어는 온종일 업무에 시달리는 가운데 잡아내야 한다. 물론 이들이 하는 업무가 해킹에 관한 것이지만 실력이 쑥쑥 늘기 위해서는 책 펴놓고 공부를 해야 한다.
하지만 누차 강조하듯이 시간이 부족하다. 국내외 유명 해킹기술 세미나에도 가보고 싶지만 언감생심이다.
7. 크래커와의 피곤한 심리전
보안이란 일 자체가 크래커와의 총성 없는 전쟁을 뜻한다. 게다가 항상 방어의 입장이다. 크래커는 해킹으로 돈, 심리적 충족 등을 얻지만 보안 엔지니어는 스트레스만 받는다. 게다가 악성코드에는 크래커들이 보안 엔지니어의 평정심을 잃게 하고 우롱하려는 심리 전략들도 담겨있다.
특히 악성코드 소스를 분석했을 때 욕설을 담은 메시지가 나오면 직접 뛰어나가 잡고 싶다고...
8. 대체 하는 일이 뭔가?
주로 일반 기업내 보안팀이 듣는 소리다. 보안은 잘 한다고 눈에 보이는 수익이 발생하지 않는다. 그러나 사고가 터졌을 경우 발생할 비용을 차단한다는 점에서 중요한 일이다.
문제는 이걸 회사에서 잘 모른다는 것이다. PC 앞에 종일 앉아있는 보안팀의 고마움을 다른 팀들은 간과하기 일쑤. 그러다 한번 실수로 사고가 나면 모든 비난이 돌아오며, 무능하다고 찍힌다.
9. 가장 중요한 문제 「돈」
가장 꺼내기 애매하면서도 중요한 것이 돈 문제이다. 국내 보안기업 중 자본금 10억을 넘는 기업은 손가락으로 꼽을 정도다. 때문에 일선 직원들에게 돌아가는 급여도 많지 않다.
보통 보안 벤처업계에서는 대기업의 70% 정도를 받으면 잘 받고 있다는 것이 통설이다. 그러면서도 업무량만큼은 절대 뒤지지 않는다. 물론, 이는 보안뿐 아니라 국내 IT 벤처 대부분이 안고 있는 문제다.
10. 나도 후배가 보고 싶다
만약 보안업계 인력 수급이 원활하다면 위의 문제들을 상당수 해결할 수 있을 것이다. 보안 엔지니어들은 후배들이 들어오길 애태우며 기다리고 있다.
하지만 바로 위의 문제들 때문에 지원자가 적다. 닭과 달걀 중 어떤 것이 먼저 난지는 모르겠지만 악순환의 고리가 돌고 있는 사실은 분명하다. 또 지원자가 들어온다 해도 한달을 못 넘기는 경우가 허다하다.