고급 보안인력들, 보안컨설팅 창업 '러시'

지난해 6월부터 중소규모 보안컨설팅 회사들이 늘어나기 시작했다. 이들 회사 대표들은 모두 중견급 이상 회사의 보안팀이나 정보보안회사의 컨설턴트 등으로 10여년 이상을 이 분야에 근무해 온 경력자들이다.

이들이 대기업의 러브콜을 마다하고 직접 회사를 차린 이유는 컨설팅의 '깊이'에 대해 채우지 못한 연구욕심 때문이다. 보안에 대한 관심이 늘어나고 지능형지속가능위협(APT)와 같은 특정목표를 노린 공격들이 벌어지고 있는 만큼 심도있는 연구가 필요하나 일반 회사에서는 이같은 내용을 채워주지 못하고 있다는 것이다.

정보보안학원 등에서 기초적인 IT지식만 배운 이들이 입사하자마자 현업에 투입돼 최대한 빠른 시간 안에 투자비를 뽑아내려다보니 고급인력이 수급되지 않는다는 점도 이들이 회사를 직접 차린 이유 중 하나다.

30일 SSR, 타이거팀, 핵티즌 등 국내 중소보안컨설팅 회사 대표들은 기존 회사들이 체크리스트를 통해서만 보안성을 진단하는 것은 한계가 분명하다며, 보다 창의적인 일을 할 수 있는 조직을 만들고 싶었다고 입을 모았다.

■보안컨설팅 인력 대기업行 인력공동화 나타나

구대훈 핵티즌 대표는 이제 보안업계에 정말 실력있는 사람들은 얼마 남아있지 않은 것 같다고 밝혔다. 정보보안이라는 매력적인 분야에 대해 이끌어 줄 수 있는 사람들이 모두 대기업 보안책임자 등으로 빠졌기 때문이다.

그는 한때 2006년부터 A3시큐리티, NC소프트 보안팀 등에서 보안컨설팅 및 보안관리업무 등을 맡았다. A3시큐리티 시절에는 여러 번 컨설팅 관련 팀이 여러 해킹대회에 나가 입상하기도 하는 등 실력좋은 사람들과 열심히 일했다.

그러나 그 뒤 각종 보안 규제에 따라 관련 전문인력들이 대기업으로 대거 빠지면서 공동화 현상을 겪게 됐다. 이후 빈 자리를 채우기 위해 정보보안학원 등에서 공부한 인력들이 보안업계로 유입되기 시작했다고 밝혔다. 오랜 경험과 노하우를 가진 전문가들이 떠난 자리를 신입이 메우면서 보안서비스의 질이 떨어질수밖에 없었다고 구 대표는 지적했다.

■모의해킹 이해 부족도 한 몫

고객회사들의 경우에도 2~3개월을 들여야 가능한 모의해킹을 한 달만에 해달라고 하는 등 업무에 대한 이해도가 부족한 점도 보안전문가들 입장에서는 애로사항이라고 구 대표는 덧붙였다. 모의해킹은 이를 의뢰한 고객사의 허가 아래 합법적으로 취약점을 점검해 볼 수 있는 가장 확실한 방법 중 하나다. 이들이 심각한 취약점을 찾아내거나 실제 해킹이 가능한지를 제대로 점검하기 위해서는 마치 해커처럼 며칠 밤을 지새며 연구에 몰두해야만 가능하다.

그러나 현실에서는 빠른 시간안에 컨설팅을 받았다는 내용만 필요한 경우가 대부분이라는 것이다. 또한 고객사를 수없이 방문하고 보안취약점에 대해 컨설팅을 과정에서 뭔가 자기발전을 기대하기 힘들다는 것도 이들이 회사를 차린 이유 중 하나다. 일은 고되나 자신을 위해 남는 것이 없다는 것이다.

황석훈 타이거팀 대표도 이에 동의했다. 황 대표는 인젠, 인포섹, 코스콤 등에 근무했었는데 기본적인 컨설팅 수행 방식은 모두 비슷한 절차를 거친다고 밝혔다. 구 대표 말처럼 체크리스트가 기반이 된다는 것이다. 정진석 SSR 대표는 가장 낮은 수준에서부터 창의적인 접근법을 통해 시스템을 뚫을 수 있는 보안전문가를 인재상으로 삼고 있다.

황 대표는 기존 보안회사의 경우 같은 보안컨설팅 인력이라도 기술진단과 관리체계진단 전문가들에 대한 처우가 다르다는 점도 안타까웠다고 설명했다. 전체적인 보안 프로세스에 대한 관리를 전문으로 하는 담당자들은 실력을 인정받아 회사 내에 임원급으로 승진하지만 모의해킹 등 기술진단 전문가들은 찬밥 신세가 되는 경우가 허다하다는 것이다.

■정보보호컨설팅전문업체 선정 기대