연예인들은 화려해 보인다. 그러나 그 뒤에 나름 치열하고 힘든 면이 있듯이 세상의 모든 일은 밖에서 보는 것과 안에서 겪는 현실이 다르다. 마찬가지로 모의해킹을 한다고 하면 뭔가 멋있어 보인다. 그것은 그동안 내 인식 속의 모의해킹이 '침투 테스트를 하는 것'으로 막연히 정의하고 있었기 때문이다. 침투에 성공하면 얼마나 신나고 멋진 일인가? 하지만 모의해킹을 직업으로 가질 때도 항상 신나고 멋진 일만 있을까? 저자는 모의해킹의 개념적 정의보다 '직업으로서의 모의해킹'이 무엇인지를 말하고 싶었던 것 같다. 즉 이 바닥의 현실이 어떠한지를 잘 설명하고 싶었던 것 같다.
따라서 이 책은 모의해킹 업무에 관심이 많은 자에게 우선 적합하다. 특히 이 바닥에 발을 담그고자 하는 취업 준비생들이나 학생, 보안인들이 읽으면 좋을 것 같다. 모의해킹이 무엇인지 이해하는 것도 좋지만 실제로 무슨 일을 하는지 이해하고 준비하는 것이 더 중요하기 때문이다. 평소 머릿속에서 상상하고 있는 모의해킹이 아닐 수도 있고 미처 생각지 못한 많은 부수적 업무들과 변수들이 존재하기 때문이다.
가령 모의해킹을 컨설턴트의 역할로서 수행해야 하는 현실, 고객과의 협의의 중요성, 중요한만큼 쉽지 않은 고객과의 대화, 모의해킹 과정 중 고객 시스템의 가용성을 해칠 가능성, 제한된 모의해킹 범위와 한계, 내세울 만한 취약점을 찾지 못했을 때의 스트레스, 모의해킹 이후 잘못된 뒤처리로 인한 위험 부담, 모의해킹 이후 과도한 보고서 작성의 부담감, 새로운 취약점을 공부하고 찾고 연구해야 하는 끊임 없는 자기계발의 숙명, 그러나 자기계발의 시간이 주어지기 힘든 현실 등 이곳에 다 나열하기도 힘든 수많은 현실적 이슈들이 나온다.
공부하던 학생 시절에는 그저 침투하는 재미에 빠져 즐겁게 공부했을지 모른다. 그러나 사회에 진출하여 모의해킹이 '업무'가 되었을 때는 고려해야 할 것이 산더미 같다는 것을 알게 될 것이다. 그 외에 모의해킹 및 보안컨설팅과 관련된 산업 자체가 단가 후려치기로 인해 겪는 구조적 어려움. 그 안에서 쉽지 않은 연봉인상과 인력관리 등 다양한 현실적 이슈들을 풀어내고 있다.
이렇게 이 바닥의 현실을 잘 풀어낼 수 있는 것은 저자가 오랜 기간 모의해킹 업무를 했기 때문으로 보인다. 뭐든지 한 분야에서 오랜 기간 있으면 그동안 해온 업무패턴과 조직문화에 매몰되어 화석과 같이 경직되고, 모든 잘못된 일도 당연한 것으로 여길 수 있다. 그러나 저자는 끊임 없는 자기계발을 하면서 이 현실적인 문제들을 극복하고, 그 과정에서 모의해킹 업무를 더 효율적으로, 효과적으로 발전시켰던 것으로 보인다. 한편의 자기계발서라고 해도 과언이 아닐 정도로 자기계발의 대한 조언이 많고, 모의해킹 업무를 어떻게 효과적, 효율적으로 할 수 있는지도 배울 수 있다.
또한 이 바닥을 객관적으로 서술 할 수 있는 것은 아무래도 지금 저자가 모의해킹 업무를 하지 않고 있기 떄문인 것으로 보인다. 오랜 기간 모의해킹을 하다가 관리직군에서 근무하는 등 이후 다양한 경험을 했기 때문이 아닐까 싶다. 자신이 경험했던 것을 외부에서 바라볼 때, 혹은 미래에서 과거를 돌아볼 때 객관성을 갖을 수 있기 떄문이다.
이처럼 이 책은 절대로 기술서가 아니다. 저자의 인생 경험이 담긴 에세이다. 물론 그 인생 경험은 보안 직군에서 한해서 다루고 있다. 당연히 청년시절이나 가족사 같은건 없으니 걱정하지 않아도 된다. 사회에 나갔을 때 겪게 되는 어려움, 현실과 이상의 괴리감은 사실 어떤 직장인이나 다 겪는 공통적인 현상이다. 그러나 그 사회의 현실을 누구도 현실을 구체적으로 이야기해주는 사람은 없다.
이 책을 읽고 든 느낌은 마치 친한 정보보안 동아리 선배가 술자리에서 아끼는 후배를 위해서 하는 진심어린 조언과 같은 느낌이다. 기술적인 내용은 거의 없으니 비교적 편안한게 읽을 수 있었다. 개인적으로 이 책을 읽었으면 하는 또 다른 사람들이 있는데, 바로 모의해킹 및 취약점진단을 의뢰하는 고객사들의 실무자들이다. 그들도 나름 정보보안을 담당하는 사람들인데 정작 모의해킹이나 취약점진단에 대한 지식이 많지 않고, 또 이 직군의 현실을 잘 몰라 모의해킹을 하는 컨설턴트들과 의사소통이 쉽지 않을 것 같아 보였기 때문이다.
모든 보안 직군은 정보보호와 가용성 극대화라는 동일한 목표를 갖고 있다. 정보보호 서비는 다양하지만 그 어느 것 하나라도 소홀하게 다룰 수 없고 모의해킹 역시 마찬가지다. 모의해킹 및 취약점 진단은 감사의 역할을 하고, 동시에 좋은 예방통제의 수단이기도 한다. 고객사 실무자들이 모의해킹 업무를 어느정도 이해하고 있고, 그에 맞춰 협조를 잘 해워야지만 모의해킹 및 취약점진단도 효과적으로 수행될 수 있을 것으로 생각하게 되었다.