작년에 뭘 했나? 일단 강의가 부업처럼 느껴진 첫해가 아닌가 싶다. 상반기엔 지인들 들볶아서 열심히 프로젝트 알바를 뜀. 대부분 문서 작업이었지만 오랫만에 방화벽도 만져보고, 네트워크 작업 구경하다가 새벽 퇴근도 해보고 나름 바쁘게 지낸 듯.
하반기엔 짬이 좀 나서 엘라스틱 시리즈 마지막인 윈도우 이벤트 로그편을 출간했다. 처음 계획 세운 시점으로부터 2년 걸렸네(..) 스플렁크 시리즈는 손도 못 댄 게 아쉽지만, 그래도 하나는 끝을 봐서 다행.
올해 목표는 당연히 스플렁크 시리즈 완성이지만 엘라스틱처럼 잘 안 되겠지? 사실 같은 주제로 분석툴만 바꾸는 거라 마음 먹으면 그리 어려운 작업은 아닌데, 항상 시작이 어렵다. 한 권이라도 완성을 목표로 가볍게 시작해봐야지.
내상과염은 많이 좋아졌다. 의사 권유대로 틈틈히 손목 운동을 한 결과, 이제 철봉에 매달려도 아프진 않음. 그런데 내상과염을 골프 엘보우라고도 부르더라. 골프채 잡아본적도 없는데 억울하네.
교육 업체들 컨택하면서 바뀐 강의 제안 작업은 계속 하고 있다. 아직은 단발성이지만 자리 잡히는 날이 오겠지. 그런데 담당자들과 얘기하다 보면 비슷비슷한 얘기를 자주 듣게 된다.
외적으로는 코로나 이후 온라인 강의 등 환경 변화 적응이 힘들다는 것. 사실 온라인 진행이 기술적으로 그리 어려운 일도 아니고, 기업 고객 요구사항 중 하나이기도 한데 정작 최종 수혜자여야 할 수강생의 만족도가 떨어져서 고민이라는 얘기.
대면 강의 때 수강생들에게 온라인 수강 경험을 물어보곤 하는데 긍정적 반응을 찾기 힘들다. 실습 환경 미비나 커뮤니케이션 제약 등의 문제로 진도를 따라가기 힘들어 수동적으로 참여하게 되더라는 응답이 대부분.
내적으로는 보안 교육 시장의 한계, 즉 시장이 작다는 나도 자주 하는 근본적인 고민.
보안 교육 시장은 왜 작을까? 배보다 배꼽이 클 수 없듯, 정보보안 시장은 IT 시장의 크기에 비례한다. 그리고 IT 시장의 주류는 차세대 시스템 구축 등의 SI 사업. 눈에 보이는 구축 대상이 필요한 장비 위주 시장이라는 얘기.
인력 교육 비중이 낮을 수밖에 없다. 장비 운영 교육 필요하지 않냐고? 마케팅탓이지만 장비만 사면 알아서 다 되는 걸로 아는, 또는 운영이라는 게 장비 죽었나 살았나 정도만 체크하면 되는 걸로 아는 분들 은근 많음.
그럼 신입 가르쳐서 보내
예전 IDS 기술지원하던 시절, 정오탐 분석을 원하는 A 고객사 방문 일정이 잡혀 있는데 영업부장이 갑자기 B 고객사 프리세일즈 동행을 요청함. 여차저차해서 A 고객사 가봐야한다 했더니 저런 반응을 보이더라. 한 두 시간 뚝딱 가르쳐서 될 거였으면 나도 좋겠다
쉬운 일이라는 인식 때문에 장비 보상 대비 운영 인력에 대한 보상은 약하다. 교육 기획 시 취업 연계가 힘들다는 어느 담당자는 보안이 중요하면 보안 인력에 대한 보상도 많아야 하는 거 아니냐며 열변을 토하더라.
시스템 보안은 시스템 운영 교육보다 난이도가 높을 수밖에 없다. 그런데 대우는 비슷하다? 골치 덜 아픈 시스템 운영을 선호하는 게 정상이다. 왜 이런 상황이 벌어질까? 결국 보안이 중요하지 않아서라는 게 개인적인 결론(..)
많은 미디어들이 보안이 중요하다 강조하는 것 같지만 자세히 들여다보면 업계 관련 종사자 아니면 듣기 좋은 말잔치가 대부분.
역대급, 대재앙 등의 무시무시한 꼬리표까지 달리며 업계를 달궜던 2014년의 하트블리드나 작년 Log4j 같은 보안 취약점이 등장해도 대차게 털린 사례가 없어서? 보안 교육 수요 증가로 이어지지 않는다는 푸념을 듣다보면 세상은 보안의 중요성에 대해 별로 공감해주지 않는 것 같다.
 |
| 2000년 초부터 유망하다고 했는데 한 번만 더 믿어봐? |
인공지능, 블록체인, 클라우드
시장을 키우려 선택한 업계의 키워드들. 인공지능이야 만능키니 필수고, 블록체인은 암호학이 배경이니 관련이 없어 보이진 않다. 클라우드도 핫한 편이고. 그런데 이런 키워드를 활용한 보안 교육 커리큘럼 구성은 아직 힘들어 보인다.
일단 클라우드는 IT 인프라 임대 서비스. 임차인 입장에서 할 수 있는 건 ID/PW 관리 정도뿐이다. 임대인도 인프라와 데이터 보호라는, 기존 IT 환경에서 추구하는 목적을 위해 기존 IT 환경에서 사용하는 보안 기술을 사용한다. 가상화라는 배경 기술의 차이가 있을 뿐, 최종 실행 기술의 차별화는 힘들다는 얘기.
블록체인은 아예 기존 정보보안과의 접점을 찾기 힘들고 (암호화폐를 지키는 보안으로 가야할 듯?), 인공지능은 입문자 대상으로 이미지 학습 등의 예제를 가지고 진행하다 보니 이게 보안 교육? 이런 벽에 부딪치는 모양.
인공지능 보안 교육을 보충해달라는 요청을 받은 적이 있는데, 가보니 수강생 중에 지인이 있더라. 교육 어떠냐고 냉큼 물어봄. 보안과 관계 없는 단순 예제 위주 진행이라 목적 없이 툴만 배우는, 이걸 어디에 어떻게 써먹어야 할지 막연한 느낌이 들었다는 평.
내가 인공지능 배워서 기존 데이터 분석 사례를 인공지능으로 구현하는 커리큘럼을 짜면 좋겠다는 생각이 잠깐 들었다. 하지만 수학 공부부터 다시 해야할 판이라 바로 포기. 협업 가능한 능력자분 연락 주세요. 6:4까지 가능합니다. 당연히 제가 6 아니고 4.
새해를 희망차게 시작해야 하는데(..) 다 필요 없고 올해 스플렁크 시리즈만 완성할 수 있으면 참 좋겠다. 한 해 동안 방문해주신 분들 모두 감사드리고, 새해 복 많이 받으시길 기원한다.
댓글 없음:
댓글 쓰기