정보 보호 직군의 현실과 정보보호 전문업체의 연봉에 대해서(컨설팅, 보안 관제)

들어가며

해당 글을 작성하는 이유는 많은 사람들에게 현실을 알려주고 싶기 때문이다. 꿈과 희망을 찾아 떠나는 젊은이들에게 누군가에게는 희망을, 누군가에게는 실망을 심어줄 수 있는 글이다. 필자가 아는 것이 전부이진 않을 터이니, 이 역시 참고용으로만 듣고, 종합적인 판단은 본인이 해야 한다.

 

정말 정보보호 직군이 유망할까?

요즘 TV나 뉴스에 정보보호 직군이 미래에 유망한 직종이라며 자주 나오곤 한다. 하지만 이런 내용만 보고 정보보호를 직업으로 삼기에는 생각과는 다른 현실에 절망할 수 있다. 먼저 금융보안원을 제외한 정보보호 전문업체는 타 IT 기업에 비해 연봉이 상대적으로 많이 낮기 때문이다.

 

다들 정보보호 직군에 대한 로망은 자신이 엄청난 해커가 되는 생각을 많이 할 것이다. 뉴스에 보면 어나니머스가 기업을 공격하고, 북한 해커들이 우리나라에 사이버 공격을 수행하고, 이런 엄청난 규모의 공격과 정교한 공격들을 생각할 수 있다. 결론부터 말하면, 정말 뛰어난 극소수의 인원들을 제외하고는 그다지 진취적인 업무를 수행하지 않는다.

 

대부분 정보보호 직군으로 자신의 진로를 설정했다면, 주로 두 가지의 직무에서 가장 많은 활동을 할 것으로 생각한다.

 

1. 정보보호 컨설팅

그 이유는 회사가 원하는 서비스의 수요에 있다. 기업들은 법에 근거하여 회사의 종류나 규모에 따라 ISMS 인증, 주요통신기반시설 취약점 진단 혹은 전자금융기반시설 취약점 분석 등을 받아야 하기 때문에 비교적 컨설팅이나 취약점 진단, 분석 같은 쪽 인력이 많이 필요한 상황이기 때문이다.

 

전자금융감독규정 제37조의2(전자금융기반시설의 취약점 분석ㆍ평가 주기, 내용 등) ① 전자금융기반시설의 취약점 분석·평가는 총자산이 2조원 이상이고, 상시 종업원 수(「소득세법」에 따른 원천징수의무자가 근로소득세를 원천징수한 자를 기준으로 한다. 이하 같다) 300명 이상인 금융회사 또는 전자금융업자이거나 「수산업협동조합법」, 「산림조합법」, 「신용협동조합법」, 「상호저축은행법」 및 「새마을금고법」에 따른 중앙회의 경우 연 1회 이상(홈페이지에 대해서는 6개월에 1회 이상) 실시하여야 한다.
② 금융회사 및 전자금융업자는 취약점 분석·평가를 위하여 정보보호최고책임자(정보보호최고책임자가 없는 경우 최고경영자가 지정한다)를 포함하여 5인 이상으로 자체전담반을 구성하여야 하며, 구성원 중 100분의 30 이상은 「정보보호산업의 진흥에 관한 법률 시행규칙」 제8조의 정보보호 전문서비스 기업 지정기준에서 정한 고급 기술인력 이상의 자격을 갖춘 자이어야 한다. 다만, 제37조의3제1항에 따른 평가전문기관에 위탁하는 경우에는 자체전담반을 구성하지 아니할 수 있다.  <개정 2016. 6. 30.>
③ 제1항에 따른 금융회사 및 전자금융업자 이외의 자의 경우 연 1회 이상(홈페이지에 대해서는 6개월에 1회 이상) 실시하되 자체전담반을 구성하지 아니할 수 있다. 이 경우 취약점 분석·평가의 내용은 금융감독원장이 정한다.
④ 금융회사 및 전자금융업자는 해당 주기 내에 평가 대상 시설과 평가기간을 나누어 평가할 수 있다.
⑤ 금융회사 또는 전자금융업자는 취약점 분석·평가에 따라 이행계획을 수립·시행하여야 하며 다음 각 호의 사항을 준수하여야 한다.
1. 취약점 분석·평가 결과에 따른 취약점의 제거 또는 이에 상응하는 조치의 시행
2. 취약점의 제거 또는 이에 상응하는 조치가 불가한 경우에는 최고경영자 승인을 득할 것
3. 이행계획의 시행 결과는 최고경영자에게 보고할 것
⑥ 금융회사 또는 전자금융업자는 제1항 또는 제3항에 따른 의무의 이행을 위하여 전자금융보조업자에게 협조를 요청할 수 있다.  <신설 2018. 12. 21.>

 

대부분 금융회사들은 자체전담반을 구성하지 않고 있다. 해당 평가를 위해 잠깐 필요한 인력들을 채용하기보다, 외부 전문기관에 의뢰하여 프로젝트를 수행하는 것이 비용적인 측면으로 훨씬 경제적이기 때문이다. 그렇기 때문에 항상 많은 수요가 발생하여 정보보호 전문업체들이 활발하게 프로젝트가 가능하다.

 

2. 보안 관제

정확한 수요를 파악한 것은 아니지만, 보안관제 인력이 정보보호 분야에서 많은 비중을 차지한다고 생각한다. 기본적으로 정보보호 컨설팅은 주간에, 혹은 협의된 시간에만 하는 것이 보통이지만, 보안 전문 업체는 보안 관제 서비스를 24시간 제공하여야 한다.

 

대부분의 금융권 계열 회사들과 공공기업들은 법적인 근거에 의해 보안 관제 서비스를 이용하고 있다.

 

국가사이버안전관리규정 제10조의2(보안관제센터의 설치ㆍ운영) ① 중앙행정기관의 장, 지방자치단체의 장 및 공공기관의 장은 사이버공격 정보를 탐지·분석하여 즉시 대응 조치를 할 수 있는 기구(이하 "보안관제센터"라 한다)를 설치·운영하여야 한다. 다만, 보안관제센터를 설치·운영하지 못하는 경우에는 다른 중앙행정기관(국가정보원을 포함한다)의 장, 지방자치단체의 장 및 관계 공공기관의 장이 설치·운영하는 보안관제센터에 그 업무를 위탁할 수 있다.

② 보안관제센터를 설치·운영하는 기관의 장은 수집·탐지한 사이버공격 정보를 국가정보원장 및 관계 기관의 장에게 제공하여야 한다.
③ 보안관제센터를 설치·운영하는 기관의 장은 보안관제센터의 운영에 필요한 전담직원을 상시 배치하여야 한다.
④ 보안관제센터를 운영하는 기관의 장은 필요한 경우에는 미래창조과학부장관이 지정하는 보안관제전문업체의 인원을 파견받아 보안관제업무를 수행하도록 할 수 있다. 이 경우 보안관제전문업체의 지정·관리 등에 필요한 사항은 미래창조과학부장관이 국가정보원장과 협의하여 정한다.  <개정 2013. 5. 24.>
⑤ 제1항의 보안관제센터의 설치·운영 및 제2항의 사이버공격 정보의 제공 범위, 절차 및 방법 등 세부사항은 국가정보원장이 관계 중앙행정기관의 장과 협의하여 정한다.
[본조신설 2010. 4. 16.]

 

ISMS-P 인증심사 항목
2. 보호대책 요구사항
2.11. 사고 예방 및 대응
2.11.1 사고 예방 및 대응체계 구축  침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내·외부 침해시도의 탐지·대응·분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다.
- 침해사고 및 개인정보 유출사고를 예방하고 사고 발생시 신속하고 효과적으로 대응하기 위한 체계와 절차를 마련하고 있는가?
- 보안관제서비스 등 외부 기관을 통해 침해사고 대응체계를 구축‧운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가?
- 침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과의 협조체계를 수립하고 있는가?

※ ISMS 인증 항목의 해석이 조금 애매한데, KISA에서 ISMS 인증 담당하는 친구의 말에 따르면 비상연락망 구축하는 정도만 해도 상관없는 항목이라 한다. 하지만 대부분 금융권들이 관행상...? 24시간 보안관제 서비스를 하는 것 같다.

 

아직까지 금융권에 대한 의무적 법적 근거는 찾지 못하였다. 혹여나 찾으신 분이 계시다면 제발 댓글로 남겨달라. 열심히 찾았는데 나오지 않았다 ㅠㅠ

 

그리고 대부분 금융기관은 많은 보안솔루션이 존재한다. 해당 장비들을 모두 분석을 하기 어려우니 전문서비스 업체에 맡겨 그런 편의성을 추구하는 것도 있어 보안 관제 서비스를 이용하는 것 같다. 개인적인 생각이니, 이견이 있는 분은 꼭 댓글로 남겨줬으면 좋겠다. 블로그 제목이 내 인생에 훈수하세욘데 아직 아무도 훈수를 하지 않고 있다 ㅠㅠ

 

그래서 뭐?

왜 이런 이야기들을 서두에 넣었냐면, 현실은 이런 일들이 대부분이라는 것을 말해주고 싶었다. 만약에 자신이 정말 진취적이고 기술적으로 원한다면, 회사 일은 회사 일 대로 하여야 되고, 집에서 해외 사이트의 많은 최신 공격 동향 등을 살피는 것을 추천한다. 그리고 버그바운티도 꼭 참가해보는 것을 추천한다. 국내에는 네이버가 그래도 해외보다는 보상이 낮지만, 그래도 잘 되어있기 때문에 참여해서 이름을 올려보는 것을 적극 추천한다.

 

정보보호 전문업체 연봉은?

2021.09.03 - [취업 훈수] - 나의 금융 IT 취업 도전기 - 중소기업부터 금융 공기업 A매치에 이르기 까지(2/4)

나의 금융 IT 취업 도전기 - 중소기업부터 금융 공기업 A매치에 이르기 까지(2/4)

 

위의 글에서 나의 첫 정보보호 컨설팅 직장의 연봉을 적어놨다. 보고 오면 알겠지만, 터무니없이 모자라다. 그 돈도 누군가에게는 큰 돈일 수 있겠지만, 나의 욕심은 그렇지 않았다. 대체로 정보보호 전문업체 직군의 연봉은 낮다.

 

이름이 알려지지 않은 중소기업 정보보호 컨설팅 업체의 경우, 검색 결과 초봉이 대략 2,900만원 ~ 3,100만원 사이에 형성이 되어있는 것 같다.(대졸 신입 공채 기준) 근래 정보보호 컨설팅 인력 수요와 더불어 IT 기업들이 대부분 연봉을 올렸기 때문에 초봉이 생각보다 높아진 것 같다. 

 

※ 여기의 연봉은 영끌이 아닌 계약 연봉을 위주로 작성하였다.

 

그리고 대부분 가장 궁금해하는 SK인포섹. 정보보호사관학교라는 별명이 붙은 곳이다. 2020년 10월 기준, 초봉 3000 SK임직원 카드 발급, 복지 포인트 신입 기준 수도권 40, 지방 80, 성과급 팀바팀이고 중간등급 기준 200~400정도라고 한다.  인상률은 연 100만원이라고 한다. 위로 갈수록 평균 2~3%. 라고 한다. 올해 안랩이 연봉 인상을 대폭 하였으나, 인포섹도 그런지는 잘 모르겠다.

 

안랩은 나의 뇌피셜. 현 시간 기준 초봉 4000초반 이라고 생각한다. 아는 지인이 올해 대략 1000 정도 뛰었다고 한다. 안랩 초봉이 원래 3300이었는데, 작년에도 블라인드 글을 찾아본 결과 같은 3300이었던 것을 고려해보면... 아마 초봉은 4000초반이지 않을까 싶다. 올해 대폭 인상됐다는 소식을 접했다.

 

시큐아이는 2019년 기준 신입 초봉은 3800이었다. 당시 영끌로 4200이라고 하는데, 이때는 정보보호 업체 중 연봉이 높기로 유명했다. 하지만 현재 블라인드 리뷰를 보았을 때, 올해 연봉에 불만을 가지는 것을 보았을 때 다른 큰 폭의 상승은 없었던 것 같다. 업무강도가 높다고 한다.

 

윈스는 2020년 기준 신입 초봉이 3500정도였다. 직군마다 다르다고는 들었으나, (관제 쪽 직군은 더 낮을 것이다.) 영끌하게 된다면 3800정도이지 않을까 싶다. 워라밸은 안랩과 마찬가지로 칼퇴 보장에 좋은 편이라고 들었으며, 약간 타 회사들에 비해 성격은 조금 다를 수 있지만 그래도 좋은 편인 것 같다.(정보보호 컨설팅 사업을 접었다는 이야기를 들은 것 같은데, 확실한 정보는 아니다.)

 

종합적으로 봤을 때, 정보보호 직군에서 가장 추천하는 곳은 안랩인 것 같다. 현재 연봉도 많이 올랐고, 워라밸도 좋고 업무를 하며 배우는 점도 있을 테니 정보보호 전문업체의 취업을 준비하고 있다면 안랩을 추천한다. 그리고 대부분의 회사의 연봉 인상률은 저조한 편이라고 한다. 그러니 기술력을 쌓고 이직하는 것을 적극 추천한다.

 

나의 생각은....

개인적인 생각으로는, 이런 정보보호 전문업체 회사를 다니면서 대기업으로의 신입 공채를 노리는 것을 매우 추천한다. 왜냐하면 요즘에는 금융권에서도 가끔 정보보호 직무를 신입 공채로 뽑기도 하고 있다. 어제는 KB국민카드에서 정보보호 직무가 신입 공채로 올라왔는데, 국민카드도 매우 훌륭한 회사로 소문이 자자하다. 그러니 자신이 뜻만 있다면 무조건 도전해보는 것을 추천한다.

 

그리고 이게 이득인 이유가 무엇이냐면, 대부분 금융권 회사의 초봉은 영끌 6천은 넘긴다. 하지만 생각해봐라. 정보보호 전문업체에서는 영끌 6천을 넘기기 위해서는 대부분 5년 정도는 근무를 해야 될 것이다. 그럴 바에 차라리 3년 된 사람이라도 금융권 좋은 회사에 신입으로 지원하는 것이 훨씬 이득이다. 대부분 금융권은 10년 차에 1억을 찍는 것이 보통이니, 이런 부분도 꼭 생각해보며 이직 전략을 짤 필요가 있다.

 

여러분의 현명한 선택을 바란다.