정보보안 전문가에 대해서
IT분야는 자신의 능력에 따라 많은 변수를 만들 수 있습니다.
특정분야에 대한 전망을 우월시 할 순 없지만, 앞으로의 사회 흐름을 무시할 순 없습니다.
현 시대에 IT분야 최고 유망분야는 단연 정보보안이라 할 수 있습니다.
10년 뒤에 10대 고소득 직종은 ❶컴퓨터 보안전문가,❷기업 임원, ❸항공기 정비원, ❹산업로봇 조작원, ❺컴퓨터 시스템 설계자 순으로 전기·전자·기계분야가 상위 5개 직종 가운데 4개를 차지했습니다.
국제화·개방화 그리고 고령화가 가속화되면서 ❻해외영업 담당자와 ❼생명과학자, ❽문화예술 관리자, ❾펀드매니저, ❿상담전문가도 10대 유망직업에 꼽혔습니다.
[이런 직업이 뜬다] 미래 유망직업 키워드는 'ITㆍBTㆍ인간경영'
❶정보보안 전문가 = 정보보안 전문가가 임금 수준, 고용 창출, 직업 전문성 등 3가지 항목에서 가장 높은 점수를 받아 앞으로 가장 유망할 직업으로 선정됐다. 이는 정보보안을 잘못하면 그 동안 힘들게 쌓아온 모든 것을 한순간에 잃을 수도 있다는 인식이 자리잡으면서 정보보안의 중요성이 날로 높아지고 있기 때문.
특히 바이러스, 웜, 해킹 등 잠재적인 위험 요소가 널려 있는 상황에서 기업을 방 어할 수 있는 보안전문가 필요성이 갈수록 높아질 것으로 보인다. 정보보안 전문가 는 정보기술 지식을 기본으로 갖추고 그 위에 경제와 산업에 대한 거시적 안목과 감각까지 겸비해야 한다.
❷생명공학 전문가 ❸게임기획자 ❹인사 컨설턴트 ❺헤드헌터 ❻커리어코치 ❼국제협상 전문가 ❽경영컨설턴트 ❾브랜드매니저 ❿변리사
출처 : 매일경제신문
[10대 유망직종]
❶정보보안전문가 ❷인사컨설턴트 ❸생명공학전문가 ❹국제협상전문가 ❺헤드헌터 ❻커리어코치 ❼게임기획자 ❽경영컨설턴트 ❾브랜드메니저 ❿변리사
출처 : 데이터뉴스
정보보안전문가는 컴퓨터 시스템의 보안을 담당하는 사람을 말합니다
이들은 해커의 침입과 각종 바이러스 발생에 대비, 보안 이론과 실무 보안 정책 능력을 갖춰 전산망 보안 및 유지와 컨설팅을 담당하게 됩니다.
또한, 정보시스템과 정보자산을 보호하기 위해 보안정책을 수립하고, 정보보안에 대한
방책을 세우고 시스템에 대한 접근 및 운영을 통제하며, 침입 발생시 즉각적으로 대응하여, 손상된 시스템을 복구하는 업무도 모두 이들의 몫입니다.
대사회는 산업정보사회에서 컴퓨터네트워크사회로 넘어가고 있습니다.
우리나라는 세계 최고의 IT인프라망을 구축하였고, 모든 산업분야가 네트워크기반화
어가고 있습니다.
현 대한민국 정보통신부는 "U-KOREA“를 외치며, 2030년안에 대한민국 사회를 유비쿼터
스화한다고 합니다.
이러한 업무를 담당하고 있는 정보보안전문가는 도대체 왜 필요하게 되었을까요?
대사회는 산업정보사회에서 컴퓨터네트워크사회로 넘어가고 있습니다.
우리나라는 세계 최고의 IT인프라망을 구축하였고, 모든 산업분야가 네트워크기반화
어가고 있습니다.
현 대한민국 정보통신부는 "U-KOREA“를 외치며, 2030년안에 대한민국 사회를 유비쿼터
스화한다고 합니다.
정보보안 전문가의 필요성 및 개념
⑴ 정보보호산업의 패러다임이 재래산업에서 인터넷을 기반으로 한 e-Biz산업으로 빠르게
급변하면서 이를 뒷받침할 수 있는 정보보호 인프라의 중요성이 그 어느 때 보다 강조되고
있다. ⑵ 지금까지의 정보보호산업은 방화벽, 바이러스백신프로그램 등 제품 위주의 시장이 주류
를 이루었으나 최근 들어서는 정보보호컨설팅, 보안관리서비스, 보안호스팅 등에 새로운 서
비스 시장이 형성되고 있다.
⑶ 정보보호관리 서비스 산업의 성장요인은 해킹과 바이러스 유포 및 개인정보 유출 등의
사이버 범죄가 크게 늘면서 정보보안 위협성이 커지고 있고, 또한 이에 대응할 수 있는 정
보보안전문가의 인력 확보의 어려움으로 인해 정보서비스대행업(ASP), 인터넷 데이터센터
(IDC) 등을 중심으로 정보기술(IT) 아웃소싱이 확산되고 있기 때문이다. ⑷ 인터넷의 가장 큰 특징은 개방성과 글로벌성이다. 그러나 이를 뒤집어보면 전세계 어디
서나 정보 탈취와 해킹, 사이버 테러가 가능하다고 볼 수 있다. 따라서 인터넷으로 안전한
비즈니스가 이뤄지려면 정보 보안 기술이 필요하며 이러한 스킬을 가진 사람이 정보보안전
문가이다. ⑸ 정보보안전문가는 해커의 침입과 각종 바이러스 발생에 대비해 보안 이론과 실무 보안
정책 능력을 겸비하고 있으며 전산망 보안 및 유지를 전문적으로 처리하고 컨설팅 하는 사
람으로 네트워크 보안 전문가나 인터넷 보안 전문가라고도 불리운다.
현 시점의 보안분야 정황
⑴ 사이버공간에서 고객들에게 주는 기업 신뢰에 대한 이미지가 회사가치와 직결된다는 것
을 인식한 미국 유명 사이트들은 이미 상당한 수준의 정보보안체계를 갖추고 있으며 야후나
이베이에서는 가장 우수한 인력을 정보 보안분야에 투입하고 보안 분야를 정책 결정의 최우
선 순위에 두고 있다.
⑵ 현재 정보보안 업계가 세계적으로 사상 최대의 호황을 누리고있다.
정보보안전문가가 되기위한 공부 방법론
⑴ 정보보호기술은 시스템과 네트워크 기술에 그 기초를 두고 있기 때문에 운영체제, 데이
터베이스, 시스템 관리, C 언어, 네트워크에 대한 전반적인 지식이 필요하다.⑵ 무엇보다 정보보안 전문가가 갖춰야 할 최고의 덕목은 윤리성임을 명심해야 한다.⑶ 정보보안전문가에게 필요한 실무능력들
1.C언어(쉘포함) 및 윈도우, 리눅스, 유닉스의 운영체제 2.침입탐지 시스템(Firewall)의 설계능력 배양 3.보안 정책, 시스템 운영 및 관리기술 습득 (관리적보안)4.내부 네트워크 보호 및 외부망과 안전한 정보전송 기술 습득 : TCP/IP, 네트워크 보안 수립, NAT, VPN 5.암호학 및 보안 프로토콜 : 인증, 서명, 전자상거래 보안6.해킹방식과 해킹Tool 구사능력 습득 7.인터넷 보안 Tool : 인터넷 보안 도구, 해킹탐지 및 대책
8.모의해킹이나 정보보호 컨설팅을 위한 문서작성, 편집능력
정보보안 교육
프로그래밍, 서버, 네트워크를 공부하셨다면 보안관련 공부를 하시면 됩니다.
1
(1) 리버스엔지니어링(역공학) - 소프트웨어 공학의 한 분야로 이미 만들어진 시스템을 역으로 추적하여 애초의 문서나 설계기법 등의 자료를 얻어 내는 일을 말한다.
- 역공학을 통한 소프트웨어 크랙기법
- 크랙, 인터페이스 조작, 커널 조작, 소아 사용법 등 교육
- 바이러스 및 스파이웨어의 재구성
- 어셈블리어에 대한 지식이 필요
(2) 정보보호컨설팅 - 정보보호컨설팅을 할수 있는 정보보호 전문인원을 꼭 알아야할 컨설팅 방법론, 절차 등에 대한 교육
(3) 웹해킹 - 대부분의 해커들의 문제점은 툴위주의 수업보다는 원리와 분석기법위주의 교육 - 웹2.0, 3.0 환경에서의 공격기법, 취약점분석
※ 대부분 해커들이 SQL Injection으로 공격은 가능하지만, 취약점등을 분석하는 능력은 떨어집니다.
(4) 네트워크해킹 - Dynamips로 LAN, 라우터프로토콜, 라우터해킹, 무선랜, Volp 등에 대한 공격기법
(5) 시스템해킹 - 기본해킹기법 + 프리킹 + 메신져 + 바이러스등의 교육
- 버퍼오버플로우, SQL 삽입 공격, 구글링, 피싱/파밍, 방화벽, 텔넷공격
취득가능한 정보보호, 정보보안 관련 자격증
① SIS (Specialist for Information Security, 정보보호전문가)
SIS는 체계적인 보안 전문 인력 양성을 목적으로, 시행되었으며 정보보호 전문기관인 KISA와 ICU가 공동 주관한다. 또한‘취약점분석평가를 수행하는 정보공유, 분석 센터의 기준 및 기준심사에 관한 고시’ 제7조에 의거하여 정보통신부의 인정을 받는 국내 유일의 정보보안관련 자격증이다.
② CISA (Certified Information Systems Auditor, 국제공인 정보시스템감사사)
CISA(Certified Information Systems Auditor,국제공인 정보시스템감사사)란 전산화된 정보를 감사할 수 있는 전문가를 말합니다. 가장 효과적인 정보 시스템 감사, 통제 및 보안 실무를 적용할 수 있고, 정보 기술 환경에서 특수한 요구들을 인식하고 있는 공인된 전문가를 말한다. 미국과 유럽의 경우 CISA를 공인회계사와 동일한 수준에서 정보시스템 감사를 하는 전문가로 인정하고 있습니다.
③ CISSP (Certified Information System Security, 국제공인 정보시스템 보안전문가)
'Certified Information System Security Professional'의 약자로 국제공인 정보시스템 보안전문가를 뜻한다. 국가와 사회의 중요한 정보시스템과 정보자산 보호를 위한 전문가로 중요정보 거래에 대한 품질보증, 사이버범죄 억제와 IT 및 정보보호에 대한 공인의 역할을 한다.
정보보안으로 취업은 어디로 갈까요?
⑴ 정보보호컨설팅 : 국가에서 지정해준 정보보호 전문업체에서 대기업, 공공기관, 인터넷상기업 등에서 정보보호 필증업무를 하게 됩니다.
⑵ 모의해킹 : 금결원, 금융보안위원회등의 공공기관과 은행, 대기업,인터넷기업의 보안팀
⑶ 악성코드 및 바이러스관련 : 백신관련 회사 및 게임회사, 개발자업무
⑷ 보안관제 : 중앙, 파견관제업무. 침해대응능력이나 악성코드분석의 능력이 필요함
정보보안 미래전망
⑴ 최근 민수시장,금융 시장, EC 쇼핑몰, 공공시장등 정보보안전문가를 필요로 하는 기업들
이 늘어나고 있는데 비해 국내의 정보보안전문가는 턱없이 부족하여 각국의 해커들로부터
의 무분별한 공격은 정보보안분야의 불안한 부분이며, 세계적으로도 정보보호전문가는 그
수요를 따라가지 못하고 있는 실정이다. 이러한 인력 공급의 부족으로 정보보안전문가는 역
량에 비해서 높은 연봉을 받고 있으며, 많은 수요가 예상됩니다.⑵ 정보보호산업의 국내 시장규모는 세계시장의 0.3% 수준에 불과하지만 정보보호 관련 규
제가 강화되고 각종 제도가 정비될 것으로 크게 확대될 것으로 보인다.⑶ 정부는 인터넷 기반의 IT 인프라를 구축하여 정보화 사회 건설을 국가적인 지상 과제로
삼고 있다. 그런 점에서 정보보호산업은 인터넷 서비스에 대한 안전과 신뢰성 제고를 통해
국내의 산업경쟁력을 높이는 밑거름이 될 뿐 아니라 국가안보와도 직결되기 때문에 정보 보
안 전문가의 위상은 크게 향상될 것으로 예측된다
전문가의 조언
정보보안전문가는 이론으로 배우는과정과 실제 실무에서 사용되는 부분에서 많은 차이점이있습니다.
장비 자체도 고가이며, 실제적으로 실무를 연습해볼만 곳도, 노하우도 없습니다. 정보보호학과 대학들도 암호학같은 이론적인 수업에는 강하지만, 실무는 당연히 부족할 수밖에 없습니다. 예를들어 서버, 라우터, 스위치, ASTARO 장비등이 부족할 수밖에 없습니다.
Dynamips로 Hypervisor Application, virtual pc, vmware 등을 해보는것으로는 개개인의 스펙이나 커리어를 키우는것도 힘이 듭니다.
장비를 직접 다루지도 않으면서 가상화로 연습을 한다는 것은 아무런 의미가 없습니다.
회사에서 직원을 채용할 때 신입은 더 보편적이지만, 단지 라이센스만 가지고 있는 사람보다는 유지/보수 및 운용할 수 있는 사람을 선호합니다.
그렇기 때문에 실무 경력자 우선적으로 채용이 현재 이루어지고 있습니다.
물론 초봉으로 금결원이나 금융보안위원회처럼 연봉 4천이 넘는 회사들도 있지만, 대부분 대기업이나 인터넷기업들은 3년정도의 경력자를 선호합니다.
지금 당장 취업하고 삶에 안주하는 사람보다는 항상 몇 년 후를 위하여 자기개발을 하고 노력하는 사람에게 추천하고 싶은 직업입니다.
보안쪽으로 공부하기 위해서는 먼저 프로그래밍부터 운영체제, 네트워크관련 공부를 하셔야합니다.
요점은
첫번째 프로그래밍입니다.
아무리 해킹툴을 보안에서 사용한다고 하더라도, C언어 및 자바, 쉘이나 자료구조등의 프로그래밍 지식은 있어야 합니다.
두번째는 운영체제입니다.
회사에 들어가면 윈도우, 리눅스, 유닉스 서버중에서 어떤것을 사용하고 있는지 알수가 없습니다. 그렇기 때문에 it취업생은 각각의 OS에 대한 지식을 갖춰야합니다.
보안을 배제하고 중소기업을 기준으로 하는 실무에서는 리눅스서버가 가장 효용성이 많습니다.
리눅스를 직접 셋팅해보면서 아파치, 삼바, FTP서버 구축, 관리, 복구등의 실무연습이 필요합니다.
유닉스의 경우는 우리나라 대세가 솔라리스이기 때문에 썬장비를 가지고 실무스킬을 키워야하는데, 고가의 장비를 가지고 실무능력을 키울수 있는곳은 얼마 되지 않습니다.
운영체제에서 중요한 점은 단지 명령어를 아는 기준이 아니라 서버를 세팅, 관리할수 있는 능력이 꼭 키워야합니다.
세번째는 네트워크입니다.
과거 10년전이 문화컨텐츠산업이 IT의 주류였다면 지금부터 미래는 보안 및 네트워크분야의 통합솔류션이 주류가 됩니다. 앞으로 IPV6나 웹2.0, 3.0환경에서의 인력고용이 더욱더 활발할것으로 예상됩니다.
IT전문가가 되려면 멀티플레이어처럼 여러방면의 지식과 실무스킬을 갖추면 유리합니다.
보안전공자가 되기 위해서는 CCNA 수준의 실무 네트워크 지식을 갖추시면 무리가 없습니다.
하지만, 대부분 취업준비생들이 라이센스에만 집착하기 때문에 CCNA 수업을 마쳐도 그만한 실무능력을 갖추기가 어렵습니다. 점점 발전해지고, 다양해지는 네트워크 CCNP공부를 하시고 덤프가 아니라 CCNA에 준하는 실무스킬은 꼭 갖추어야합니다..
항상 장비를 가지고 연습에 연습을 해보시고, Dynamips를 사용해서 장비가 없는 집에서라도 실무를 반복연습해보세요.
CCNP는 NA에서 배우는 램실습이나 라우터프로토콜, 스위치등을 포함하면서 네트워크보안이나 최적화쪽으로 수업이 진행됩니다.
열심히 공부만 하신다면 취득할수 있는 국제자격증이 많습니다.
윈도우서버 시스템엔지니어 자격증
MCTS (Microsoft Certified Technology Specialist )
MCITP (Microsoft Certified IT Professional)
리눅스 자격증
LPIC (Linux Professional Institute Certification)
유닉스 솔라리스 자격증
SCSA ((Certified Solaris Administrator)
SCNA (Sun Certified Network Administrator for Solaris Operating System)
시스코 네트워크 자격증
CCNA (Cisco Certified Network Associate)
CCNP (Cisco Certified Network Professional)
“IT진로를 생각하신다면 정보보안분야로 계획을 잡으시기 바랍니다.
그 미래는 반드시 보장될 것입니다.”
하지만, 누구나 준비를 한다고 해서 모두 정보보안전문가가 될 수는 없을것입니다.
많은 사람들이 정보보안분야를 취업의 길로 잡고 문을 두드리고 있지만, 사회는 누구에게나 기회를 주진 않습니다.
기회는 있으나 준비되지 않은 능력으론 그 기회를 잡으실 수 없으실겁니다.
즉, 정보보안 전문가가 되려면 정보기술(IT)인 컴퓨터의 운영체제, 시스템 관리, C 언어,
네트워크 프로그
래밍 등에 대한 지식은 기본이며 경제와 산업에 대한 거시적 안목과 감각
까지 겸비해야 합니다. 특히 전문적인 침입자에 대응하고 시스템을 복구하기 위해서는 컴
퓨터시스템 전반에 걸친 넓고 깊은 지식이 필요할 것입니다.
각 분야별 안내와 정보보안과의 상관관계를 통해 무엇을 준비해야 할지 안내를 드리겠습니다.
첫째, 프로그래밍언어의 기술원리를 알아야 합니다.
프로그래밍은 보안해킹을 막론하고서라도 IT분야의 필수지식입니다. 서버관리든, 네트웍관리든 DB관리든 프로그래밍에 대한 이해가 없으시다면 제대로 된 관리가 이루어지지 않으실겁니다.
프로그램 업데이트 문제점해결 등등해서 필요한 최소한c언어정도는 꾸준히 준비하시기 바라며, 추후 어셈블리나 파이썬등의 저급언어를 알아가시면 됩니다.
처음으로 프로그래밍에 입문하시는 초보자라면 C언어부터 시작을 하시길...
둘째, 시스템운영체제(OS)에 대한 이해가 필요합니다.
OS와 네트워크이해는 보안분야로 가기위한 필수지식입니다. 해킹이나 보안방어는 서버의 루트권한(최권권위자)획득에 따른 정보파괴및 유출이 이루어집니다. 서버운영에 있어 보안시스템관리 능력이 없다면 시스템관리자는 향후 진로에 낭패를 보실것입니다.
이러한 운영체제는 크게 세가지가 있습니다.
리눅스, 유닉스, 윈도우서버가 있으며, 어느것이 더 중요하다 하지않다는 없습니다.
Windows, Linux, Unix순으로 하시면 되실것입니다.
단순히 이해하고 넘어가는 게 아니라 잘 하셔야 겠죠. 각기 장단점은 공부하시다가 보면 이해 하실거라 생각되구요. 운영체제를 마무리 하셔야 네트워크원리를 파악하실때 도움이 되실것입니다.
가령, 리눅스서버네트워크를 공부하실때, 리눅스를 모르는데 리눅스네트워크를 공부해봐야 시간낭비가 될테니까요.
셋째, 네트워크분야의 지식을 쌓으시기 바랍니다.
네트워크분야에서는 네트워크의 개념과, 프로토콜, 용어, 장비기능 및 운용능력등등 모든 것이 파악이 되셔야 보안개념을 접하시는데 무리가 없으실 것입니다.
Network들을 전세계적으로 연결하기 위해서 라우터나 스위치와 같은 네트워크 장비들이 필요한데 네트워크 장비들을 잘 구성하고, 운영하는 전문가를 우리는 네트워크엔지니어라고 부릅니다.
네트워크는 점차 커지고 발전할수록 각 분야들은 세분화되고 전문화됩니다. 그러나 엄밀한 의미에서 전문화는 해당 분야만을 잘 알고 있다는 것을 의미하지 않습니다.
해당 분야에 대하여 누구보다 많이 알고, 경험도 많아야 하겠지만 프로그램, 서버를 기반으로한 Network에 대한 전반적인 이해가 없다면 전문가라고 하기도 어렵고, 스스로의 발전도 한계에 맞닥뜨리게 될 것입니다.
즉, 프로그램, 서버, 네트워크분야는 정보보안분야로 나가기 위한 중요한 원천기술입니다.
넷째, DB에 대한 이해를 하시기 바랍니다.
기업의 경제활동에는 반드시 그 데이터가 남게 되며, 이러한 데이터는 기업의 평가와 분석, 전망을 위해 필요한 요소가 되어가고 있습니다. 따라서 데이터베이스분야는 갈수록 그 중요성을 더해가고 있으며, 이를 잘 이해하고 다룰 수 있는 데이터베이스전문가의 중요성도 날로 더해 가고 있는것이 현실입니다.
현업에서 서버관리경력도 없는 사람에게 oracle같은 데이터 베이스 관리업무를 회사에서 맡기진 않습니다. 때문에 우선 공부하고 실력 쌓으시기 바랍니다.
마지막으로,
해킹공격기법, 침해대응, 보안취약점분석에 대한 이해를 하셔야 합니다.
최선의 방어는 최선의 공격에 있다는 말을 들어보셨을 겁니다.
보안전문가도 마찬가지입니다. 어차피 네트웍상에서 보이지 않는 전쟁을 하고 있는 상황에서 최고의 공격기술을 가진 자가 최선의 방어도 할수 있을 것입니다.
각종 해킹공격기법들, 최신동향, 컴퓨터 시스템및 네트워크상의 보안 취약점분석, Firewall, IDS등에 적절한 제안등을 할수 있어야 하며모니터링을 통한 해킹침입시 침해사고 대응절차 및 침해시스템 분석 기법을 습득하여, 보안사고시 효과적으로 대응 하실수 있다면 이미 여러분은 많은 것을 정보보안전문가라는 직명에 자부심을 느끼고 계실것입니다.