본문 바로가기

기록

2022년 03월의 근황과 요새 하는 고민들

이직을 했다.

개발자로만 한 마흔까진 벌어먹고 살아야지 했었는데, 뜬금없이 정보보안쪽으로 이직하게 되었다.

성장이 없고 정체되어있다는 느낌이 든 순간부터 나 스스로를 궁지에 몰아서 성장할 수 있는 환경으로 만들고 싶었다.

그러다가 우연히 기회가 왔고, 준비는 별로 되어있지 않았다고 생각했지만 운이 좋게도 난 그 기회를 잡을 수 있었다.

 

다만 이직한 회사가 엄청 큰 회사는 또 아니다. 거기에다가 한국 회사도 아니다. 외국계 회사가 한국에 진출한 초기 상태이기 때문에, 멤버도 많이 없다. 비록 정보보안 전문가라는 직함은 가지고 있지만, Penetration testing 만 하지는 않는다. 영업 전략도 모색해야 하고, 새로운 직원들의 채용도 신경써야 한다. 큰 회사의 멤버와는 또 다르다. 더군다나 한국인은 오로지 나 뿐이다. 부족한 영어 실력으로 어떻게든 살아남기 위해서 영어에 조금이라도 더 노출되는 행동들도 해보는 중이기는 하지만, 생각보다 빨리 늘지는 않는다.

 

그래도 개발자로 일할때보다 훨씬 내 시간은 많다고 볼 수 있다. 주말에 일 하지 않아도 되고..데드라인 스트레스도 상대적으로 적다.

하지만 급격하게 바뀐 업무의 내용과 나의 역할 때문에 여유를 온전히 누릴수는 없다. 여전히 배워야할 것들은 많고, 보안이라는 것이 결국 개발자가 놓치는 부분을 잡는 역할 이기에 백엔드나 프론트엔드 개발을 완전히 손놓지 못한다. 틈틈히 개발 트렌드나 새로 나온 프레임워크, 기술 동향을 파악해나가야 하고, 더 나아가서 토이프로젝트를 하면서 개발 감각을 놓지 않아야 한다. 거기에다 추가로 Hackthebox나 dreamhack와 같은 "놀이터"에서 해킹감각도 늘여야하고... 

 

각설하고, 오늘 내 일기장이 아닌 블로그에 이렇게 주저리주저리 하는것은 결국 나의 한탄을 공유할 겸 어쩌다 이 글을 보는 분들에게 조언을 듣기 위해서이다. 

 

앞서 말했지만 나는 인원이 작은 회사에 있다 보니 외국계 태생인 회사의 현지화부터, 한국 시장에서의 영업 확대를 위해서 노력해야만 하는 상황이다. 나는 남고-공대 테크를 탄 인문학적인 센스는 다소 결여된 상태의 엔지니어이다보니, 도무지 영업을 어떻게 해야하는지 막막하고 머릿속은 백지상태와 가깝다.

그러던 중에 한국에서 해킹 당한 웹사이트 (또는 회사)들을 찾아내서 알려주는 형태의 사이버상에서 발로 뛰는 영업방법은 어떨까?라는 아이디어가 떠올랐다. 한국에서는 정보통신망 이용촉진 및 정보보호등에 관한 법률 제 48조 1항에 따라 허가 없이 먼저 취약점을 찾아 상대에게 알려주는것은 불법이다. 게다가 내가 아직 실력도 갓 입문한 보안 새내기 정도이기도 하고, 쌩뚱맞은 회사들에 영업 목적 이랍시고 대뜸 취약점을 찾아주는 것도 쉽지는 않았기 때문에.. 해킹당한 사례를 찾아 알려주고 "원한다면 우리랑 계약해서 보안점검 받아"가 제일 적당해보였다.

무엇보다 해킹을 당했지만 아직 모르고 있는 회사나 서비스들을 파악하는것은 생각보다 쉬웠다. 상세 내용은 나만의 영업 비밀이지만 어쩌다 찾은 사례가 알고보니 다 얽히고 섥혀서 하나를 캐면 줄줄이 소시지처럼 나왔다는..뭐 대충 이정도로만 공유한다.

 

그래서 (잠재적인) 영업을 위해서, 그리고 해킹 피해자들이 더 나오는 것을 막기 위해 KISA에 보고를 한 뒤, 피해 고객사 들에 전화를 돌려 개인정보보호책임자나 CISO(최고정보보호책임자)를 바꿔달라고 해서 피해 사실을 알리려 했으나..

대부분 자리에 없다고 하거나 연락을 다시 주겠다고 한 뒤에 연락이 오지 않았다. 지금까지 전화를 해킹 피해가 발생한 회사측에다 직접 했는데, 하나같이 모두 다 전화를 받는 사람들의 온도가 굉장히 미지근했고 별로 중요하지 않게 생각 하는것 처럼 응대를 해서 깜짝 놀랐다. 그렇다고 조치를 했는가 하면 또 아니다. 적극적으로 고치려고도 하지 않았다.

 

내가 느끼기엔 규모를 떠나 한국의 대부분의 회사들이 "외양간 그거 지금 뭐하러 고쳐? 소 잃어버릴지 안 잃어버릴지도 모르는데, 그냥 소 잃어버리면 고치지 뭐" 라는 생각을 하고 있는것 같아 보인다. (물론 아닌 경우도 있다는것은 안다)

내 입장에서는.. 아니, 너네 서버 지금 해커들이 장악해서 갖고 놀고있는 중인데 상관 없다고? 장악한건 너네 고객들 개인정보 다 털렸다는것일수도 있는데? 진짜 신경도 안쓴다고? 하루빨리 어떤게 털렸는지 점검받는게 정상적인게 아닐까? 나만 속이 타들어 간다.

 

나는 한국이 좋은 스타트업도 많고, 고객의 입장에서 생각하는 좋은 서비스들도 많다고 생각한다. 실력이 훌륭한 개발자들도 많고, 결과물에 대한 퀄리티도 좋다고 생각한다. 다만, 정보 보안쪽으로는 전혀 신경쓰지 않는게 현실인것 같고 대부분의 개발자들은 프레임워크와 자신의 "시큐어코딩" 실력을 과신하는 편으로 보인다. 언제까지 "OO그룹 랜섬웨어 감염으로 영업 중지..." 라던가 "ㅇㅇ서비스 000만명 회원 정보 유출" 와 같은 뉴스를 접하면서 살아야 할까? 또 기업들은 언제까지 개인정보 유출에 대한 4과문을 써야할까? 이쯤되면 그냥 내 개인정보는 공공재라고 생각하는게 상식인걸까 싶기도.

 

나의 숙명은 이러한 인식 속에서 정보보안의 중요성을 지속적으로 알리면서도, 훌륭한 실력을 갖춘 보안 엔지니어로 거듭나는것으로 생각한다. 하지만 혼자만의 노력으로는 실력은 어찌 해볼 수 있겠으나.. 인식을 바꾸는건 내 노력으로 가능할 지 모르겠다. 어떻게 하면 좋을까? 도무지 좋은 방법이 떠오르지 않는다.

'기록' 카테고리의 다른 글

2022년 03월의 근황과 요새 하는 고민들  (1) 2022.03.11
TWIP 굿즈 - 210111  (2) 2021.01.22
190213 TIL - GraphQL Mutation  (0) 2019.02.14
190211 TIL - GraphQL  (0) 2019.02.12
2018.11.29  (0) 2018.12.01
181112 TIL  (0) 2018.11.13