현재 북미 시장에서 IT 보안 컨설턴트가 인기다. 대형 컨설팅기업부터 IT대기업, 보안 전문업체까지 IT 보안 컨설턴트 확보에 나섰다. IT전문
보안 전문가가 되고 싶나? 그렇다면, IT 보안 컨설턴트에 먼저 도전해 볼 것을 권한다. 탁월한 선택이 될 것이다. 기업에서 보안 분야를 담당하는 것과 달리 컨설턴트는 다양한 비즈니스 솔루션과 산업에 접할 기회가 많다. 컨설팅 분야에서 성공한 사람을 보면, 대개 업계 최고의 기술과 새로운 기술에 대한 최신 지식을 보유하고 있는 경우다.
컨설팅을 시작하기에 앞서 현재 업계의 기회와 문제점에 대해 알아보도록 하자. BH 컨설팅(BH Consulting)의 설립자 브라이언 호난은 “클라우드, 포렌식, 보안 위험 평가를 수행하는 분야에서 보안 서비스 수요가 많다”고 말했다. 아일랜드에 있는 이 IT 보안 컨설팅 기업에는 현재 10명의 컨설턴트가 있으며, 이들이 아일랜드, 유럽, 영국, 미국의 기업에게 서비스를 제공하고 있다.
포부가 큰 컨설턴트는 보안 산업과 관련한 여러 기업을 파악해야 한다. 각 보안 기업의 유형은 전문 분야, 지리적인 위치, 성장 측면에 따라 달라진다. 개인의 경력은 자신의 위치와 시장에 제공하는 기술에 영향을 받게 된다. <완벽한 컨설팅(Flawless Consulting)>의 저자로 유명한 피터 블록은 “컨설팅에서 프로젝트를 만드는 쪽과 업무를 수행하는 쪽, 이 두 그룹을 경제적인 관념에서 이해하는 것이 중요하다”고 설명했다.
보안으로 눈 돌리는 대형 컨설팅사
액센츄어, 딜로이트, KPMG, PwC, EY 등 대형 컨설팅 기업은 모두 내부에 기술 및 보안 그룹이 있다. 이들 종합 컨설팅 서비스 기업에서 일하는 컨설턴트는 회사로부터 강력한 지원을 받는다. (딜로이트는 딜로이트대학교(Deloitte University)를 운영하면서 직업 개발을 지원하고 있다). 이런 기업의 단점은 IT 보안에만 주력하지 않을 수 있다는 점이다.
딜로이트 캐나다의 기업 위험 서비스 활동 파트너 마크 맥키넌에 따르면, 이 회사의 사이버 보안 활동과 관련한 영역이 빠르게 성장하고 있다. 그는 “포부가 큰 보안 컨설턴트라면 일에 대한 열정을 보여줘야 한다”며 “나는 면접에서 지원자들에게 데이터 누출 및 보안 사건과 관련된 충격적인 뉴스 이야기에 대해 그들이 어떻게 생각하는지를 질문한다”고 말했다. 맥키넌은 면접자들의 답변으로 그들의 관심도가 어느 정도인지를 파악할 수 있다고 설명했다.
“사이버보안 그룹의 신입 컨설턴트는 특별한 가능성이 있다. 많은 컨설팅 조직에서 신입 직원은 다른 사람들의 방향성을 실행에 옮기기만 한다. 하지만 이 그룹의 신입 컨설턴트는 우리의 방법론과 접근방식에 직접 기여하게 된다. 이는 개인이 크게 성장하고 학습할 기회가 된다.”
보안 컨설턴트의 장래는 밝다. 맥키넌에 따르면, 딜로이트캐나다는 올해와 내년에 캐나다에서 많은 보안 인력을 채용할 계획이다. 딜로이트는 현재 다양한 사이버보안 컨설팅을 수행할 사람들을 찾고 있다. 2016년 3월 현재, 이 회사는 미국 전역에서 인턴, 애널리스트, 컨설턴트를 두루 채용하고 있다. 여기에는 IT 보안 솔루션 개발자, 사이버 위험 평가 컨설턴트, 사이버 위험 기술 설계자 등이 포함된다.
틈새시장 노리는 보안 업체들
사이버보안 사고 소식이 꾸준히 전해지고 있다는 점은 보안에 주력하는 컨설팅 기업에 대한 수요를 의미한다. 대표적인 기업으로 Root9b, RSA, 포티넷, 팔로알토 네트웍스 등이 있다. 이들은 일반적으로 틈새시장을 노린다. 팔로알토 네트웍스는 위협 감지와 예방에 집중하는 반면에 포스포인트(Forcepoint)는 IoT 보안에 주력하고 있다.
그레이캐슬 시큐리티(GreyCastle Security)의 CEO 레그 하니쉬는 “이 분야에서 성공하려면 컨설팅과 IT 보안 역량이라는 2가지 기술력이 필요하다”고 강조했다. 2011년에 설립된 그레이캐슬은 보안 컨설턴트가 20명이 넘으며 2016년 3월 현재 6명의 신규 직원을 채용하려 하고 있다. 하니쉬는 “자격을 갖춘 컨설턴트를 찾는 것이 어려우므로 우리는 여러 접근방식을 취하고 있다. 우리는 박람회, 컨퍼런스, 지역 대학 등을 통해 인재를 채용한다”고 설명했다.
하니쉬는 “인재 부족 문제를 해결하기 위해 우리는 허드슨밸리전문대학(Hudson Valley Community College)과 함께 10주짜리 사이버보안 101 프로그램을 제공하고 있다”고 전했다. 이어서 그는 “이미 전도유망한 2명의 학생을 직원으로 채용하기로 잠정 결정했다”고 덧붙여 말했다. 이 프로그램에서 그레이캐슬 시큐리티의 직원들은 과목을 가르치며 해당 전문대학은 운영을 맡게 됐다.
하니쉬가 “우리 컨설턴트는 활동 영역과 관련해 1차와 2차 중점 영역을 개발할 것”이라고 말했다. 그레이캐슬의 6개 활동 영역은 보안 평가, 인식, 취약성 평가, 침투 테스트, 서비스형 ISO(Information Security Office), 사고 대응이다. 이 회사의 고객으로는 미국 내의 다양한 의료 및 고등 교육 기관뿐 아니라 일반 기업도 있다.
IT대기업도 보안 컨설팅 인력 보강
대형 IT기업들도 고객들에게 사이버보안 컨설팅 서비스를 제공하고 있다. IBM MSS(IBM Managed Security Services)의 수석 위협 연구원 존 컨은 “매일 아침 새로운 문제를 찾아 해결해야 한다. 이런 지속적인 다양성과 변화 때문에 이 일이 흥미로운 것이다”고 말했다. 컨은 “IBM이 다양한 영역에서 다양한 보안 전문가들을 고용했으며 대학들과 협력하여 차세대 보안 인력을 개발하고 있다”고 설명했다.
컨은 보안 컨설팅을 시작하기 위해서는 번거로운 일을 직접 처리하는 것이 제일 나은 방법이라고 조언했다. 그는 “악성코드 애널리스트가 되고 싶다면 관련 애플리케이션을 분석하고 해체한 후 그 과정에 관한 논문을 쓸 수 있다. 이 과정을 진행한다는 사실 자체가 의미있을 것이다”고 예를 들어 설명했다.
IBM은 보안 영역에서 주요 기업으로 자리 잡았다. IBM 시큐리티(IBM Security)는 7,500명 이상의 연구원을 보유하고 있으며 주제별로 전문가들이 보안에 집중하고 있다. 2015년 이 회사는 보안 사업 부문에 1,000명 이상의 신규 직원을 채용했다. IBM에서는 보안 연구, 보안 제품 개발, 컨설팅 등의 업무 기회를 얻을 수 있다.
독립적인 보안 컨설턴트의 길
‘보안’ 전문가를 꿈꾸는 사람들이라면 독립적인 보안 컨설턴트가 되는 것을 고려해 볼 만 한다. 독립적으로 움직이려면 기술 지식 외에 여러 가지 역량이 필요하다. 대부분의 초보 컨설턴트에게 영업과 마케팅 능력은 쉽지 않은 부분이다. 다행히도 이 접근방식을 극복할 수 있는 여러 방법이 있다.
블록은 “독립 컨설턴트로 일하기 시작할 경우 초기에는 개인적인 인맥을 통해 고객을 확보하는 경향이 있다”고 설명했다. “이때 고객 기대치를 관리하는 방법을 배우는 것이 중요하다. 어떤 고객들은 마법 같은 턴키 솔루션을 원하는데 이 부분은 충분한 논의가 필요하다”고 그는 덧붙였다.
호난은 “내가 2004년 BH 컨설팅을 설립했을 때 다행히도 내 인맥 중에 내가 가진 기술을 필요로 하는 사람들이 많았다. 그 이후로 우리의 고객층이 성장했다. 기존 고객의 추천이 성장의 원천이었다”고 말했다.
*Bruce Harpham은 캐나다에 거주하는 자유기고가다. dl-ciokorea@foundryco.com
