23년 3월 27일 PMP 시험에 합격했다. 아직도 합격에 대한 짜릿함과 감동이 생생하다. 이번이 두번째 시험이고 압박감이 상당히 심했기에 합격의 감동은 이루 말할 수 없었다. 최종적으론 5~6개월 정도 공부를 했고 평일에 퇴근 후 1~2시간, 주말엔 6시간 정도 공부했다. 
 

1. 응시 자격 요건

먼저 PMP 시험을 보려면 응시 자격부터 통과 되어야 했다. 다른 후기들을 보면 응시 자격 통과가 시험보다 더 어려웠었다는 이야기도 들었다. 그만큼 응시 자격 검사가 굉장히 까다롭다. 그래서 응시 자격 서류들을 잘쓰고 최대한 정성들여야했다. 참고로 응시 자격은 실무 경력 3년인데 여기서 경력 3년은 프로젝트를 한 경력이 3년이다. 이 조건이 통과가 되어야 비로소 PMP 시험을 볼 수 있는 자격이 주어진다. 다른 자격증에 비해 경력 인정 조건이 까다로우니 참고하면 좋다. 다행히 필자는 한번도 리턴 당하지 않고 한번에 응시 자격에 통과했다. 아마 그동안에 대부분 프로젝트 위주로 경력이 쌓였기 때문에 PMI 측에서도 인정해주지 않았나라는 조심스러운 예측을 해본다. 그리고 35시간 PM 교육도 따로 듣고 수료증을 PMI쪽에 보내야 응시 자격 조건이 완성되었다.
 

2. 공부 방법

PMP는 다른 국내 자격증하고 비교하면 많이 생소하고 주관적이다. 문제에 대한 답도 명확하지 않고 사람마다 판단하는게 모두 달라 답도 정말 모두 다르다. itfreedump 문제들만 봐도 전문가들이 제시하는 것과 itfreedump 측에서 제시하는 답들이 다 달라 공부할 때 엄청나게 헷갈렸다. 그래서 itfreedump 문제는 50문제 정도 보다가 안봤다.
 
필자는 처음엔 PMP 홀릭이라는 곳에서 자격증 강의를 들었었다. 프로젝트 관리 이론만 봐도 용어 자체도 무슨말인지도 모르는데 무작정 독학으로 하는건 무리수가 상당히 많았다. 방향성을 제시해주는 선생님이 있어야 시간도 줄이고 올바른 방향으로 공부를 할 것 같아 PMP 자격증 교육을 들었다. 어떻게 보면 이게 신의 한수였다. 방향성 제시와 동시에 필자에게 많은 용기를 불어 넣어 주셨고 하나씩 하나씩 알아가기 시작했다. 기출 문제들을 풀어보면서 모르는게 있으면 강사님한테 질문하고 왜 그게 답이 되는지, 어떤 논리로 그게 답이 되는지 계속 공부해나갔다. 아무리 이론을 안다고 해도 문제 푸는 방법을 모르면 이 시험에 절대로 합격이 불가능한 시험이다. 설사 덤프를 본다고 해도 덤프에도 오답이 상당히 많기 때문에 시험에 붙는다고 장담 못한다. 그래서 왜 답이 되는지에 대해 기출 문제를 통해 명확히 알고 넘어 가야 한다. 첫번째 시험 때 정말 1cm 차이로 떨어져보니 왜 떨어졌는지 다시 분석해보고 공부 방법을 바꿨다. 특히 PMP 시험은 애자일 관련된 문제가 많이 나오기 때문에 애자일 이론은 많은 공부를 하는 것이 좋다. PMP 홀릭 카페 주소는 다음과 같다.

이렇게 약 두 달정도 다시 더 공부를 했고 이 공부를 하다보니 논리성이라는 것도 더 생기게 되었다. 프로젝트 관리 이론에 대해서도 많이 배웠지만 문제를 푸는 논리, PM으로써의 자질과 역할에 대해서도 많이 배워 상당히 만족스러웠다. 이렇게 PMP에 대한 개념+문제 풀이가 끝나고 드디어 시험을 보러 가게 되었다.

3. 시험장

일단 시험장은 서울 기준으로는 무교동에 위치해있다. 시청역에 있으며 역에서 도보로 5분정도 거리에 있었다. 시험장에 다다르자마자 긴장부터 되었다. 한번 탈락의 고배를 마셔본 경험까지 더해져서 이번엔 붙고 싶다라는 압박이 너무 강하게 들었던 것 같다. 그래서 건물에 들어가기 전 마음속으로 "평정심을 찾자, 공부한대로 하면 합격한다"라는 말을 되뇌이며 시험장에 들어갔다. 필자는 오전 10시에 시험을 봤는데 오전 8시도 있고 오후 시간대도 있으니 접수할 때 참고해서 원하는 시간대에 하면 된다. 시험장은 보안이 굉장히 철저하다. 안에 들어가면 서약서도 보고 신분 확인하고 해야되는 절차들이 조금 있다. 그리고 시험 보러 들어갈 땐 사물함 키, 신분증 외엔 그 어떤 것도 안에 가지고 들어가는건 허용 되지 않는다. 심지어는 안경까지 전부 검사하니 참고하길 바란다. 
 
모든 검사가 끝나고 시험이 시작되었을 때 심박수가 너무 빨리 뛰어 계속 눈감고 심호흡을 하고 있었다. 드디어 컴퓨터 화면에 1번 문제가 내 눈앞에 있었고 차분하게 공부한대로 문제를 풀기 시작했다. 그런데 1번부터 잘 모르는 문제가 나와서 엄청 당황했다. 그렇게 평정심을 찾고 싶었는데 1번부터 고민되고 막혔다. 안그래도 긴장해서 심박수도 빨리 뛰고 있는데 1번부터 어렵다니.... 이번에도 또 떨어지는거 아닌가 싶었다. 그래서 Flag를 꽃고 넘어갔다. 그리고 2번문제부터는 필자가 아는 문제들이 계속 나오기 시작했다. 그동안에 아이패드로 엄청나게 열심히 풀었던 기출문제들이 나와 점점 평정심을 되찾을 수 있었다.
 
참고로 기출문제들의 문제랑 답만 외우면 시험 가서 100% 다 틀린다. 문제가 변형되서 나오는 것들도 꽤 있었고 문제는 똑같아도 보기가 전부 바뀌어 결국엔 다시 풀어야 했다. 평소에 왜 그게 틀리는지 맞는지에 대해 연습하면 괜찮게 풀 수 있을 정도의 난이도로 출제가 된다. 복수 정답 문제들도 심심치 않게 많이 나왔는데 이건 한개라도 잘못고르면 다 틀리기 때문에 신중하게 골라야했다. 너무 긴장해서 그런지 목이 말라 1교시가 끝나고 잠시 10분 쉬는 타임을 가졌다. 10분 쉬는 타임을 가지니 그래도 좀 괜찮아졌다. 그렇게 다시 2교시가 시작되었고 2교시는 전반적으로 기분 좋게 시험을 봤다. 아는 문제들도 많이 나왔고 이 상황에서 내가 PM이라면 어떻게 판단해야 되는지에 대한 보기 문제들이 명확하게 보였다. 문제를 풀다가 이 문제 참 괜찮다라는 문제들도 꽤 많이 보였다. 
 
그렇게 해서 3교시까지 무사히 시험을 마쳤다. 총 180문제고 한교시당 60문제다. 3교시가 끝나고 모든 검토를 마치고 제출 버튼을 누를 때 다시 엄청나게 긴장이 되었다. 제출 버튼 누르자마자 지난번 시험에는 보지 못했던 Congratulation!이라는 단어가 컴퓨터에 보였을 때 해냈다라는 말이 먼저 떠올랐다. 시험이 종료되고 감독관의 안내에 따라 시험장을 나갔고 다시 한 번 신분증 검사를 한 후 다른 감독관이 내 성적표를 들고 왔다. 성적표를 받아보니 AT/T/AT라는 고득점으로 합격해서 기분이 더 좋았었다. 제발 합격만 하길 바랬는데 합격 컷 이상의 점수를 받아 이게 진짜 내 점수가 맞나 싶을 정도로 어안이 벙벙했다.

이 성적표를 받고 집에 오는 길이 엄청 가벼웠다. 지금도 내가 합격한게 맞나 싶다. 그만큼 이 자격증을 꼭 취득하고 싶다는 절실함이 있었다. 추가로 PMP 시험은 180문제 중에 140문제 이상 맞아야 안정적으로 합격을 하게 된다. 필자 경험상 그 이하로 점수를 받게 되면 합격과는 거리가 멀어진다.
 
PMI 측에서 한번 더 메일이 왔는데 평균 T이상을 받으면 합격인데 AT 선에 있었다!

 
그리고 대망의 자격증.....

이걸 받고 마음이 정말 푹 놓였다. 뭔가 하나 더 쟁취한 거 같았고 대학원 졸업 이후 가장 감동을 크게 준 자격증이었다. 처음에는 프로젝트 관리 용어들부터 시작해서 모두 다 처음 들어보는거고 시험을 봐보니 난이도도 결코 쉬운 난이도가 아니어서 하다가 포기할까도 고민했었다. 응시 가격도 비싼편이라 더 고민을 했던 것 같다. 하지만 필자를 지도해주신 강사님이 절대 포기하지 말고 다시 해보자는 말씀에 멘탈 다시 잡고 포기하지 않고 끝까지 전력으로 공부를 한 끝에 합격이라는 결실을 맺게 되어 너무 좋았다. 이 자격증을 받아 드는 순간 스터디 카페에서, 회사에서, 출퇴근길 지하철에서 계속 PMP 공부만 했었던게 주마등처럼 스쳐지나갔다. 개인적인 의견이지만 필자가 했었던 자격증 중에선 체감상 난이도가 많이 높았던 자격증이었고 정보처리기사보다도 난이도가 훨씬 더 있었다. 답이 명확 하지 않은 문제도 많았기 때문에 더 어렵게 느꼈던 것 같다. 열심히 해서 취득한 만큼 앞으로도 실무적인 부분에서 PM으로 성장해서 프로젝트를 잘 이끌 수 있는 전문가가 되겠다고 다짐했다.

4. PMP 자격 혜택

PMP 자격 취득 시 회사마다 다르지만 승진을 할 때 가점이 적용될 확률이 높고 승진 속도가 빠르다는 점이다. 또한 경력직으로 이직을 할 시에도 서류 및 면접에서 가점이 있을 확률이 높기 때문에 취득해서 나쁠 것은 없다. 그 외에도 큰 단위의 프로젝트에 투입 시 연차가 조금 낮더라도 PMP가 있으면 PL로 갈 수 있기 때문에 낮은 연차에 좀 더 다양한 경험들과 경력들을 쌓을 수 있는 기회가 많아진다. 만약 PL을 맡을 연차인데 해당 자격 취득 시 PM으로 승격 되어 PM 업무를 맡게 되고 경험해 볼 수 있는 기회들이 주어지기 때문에 단기간에 미리 경험해서 본인 커리어 관리에도 괜찮을 것이라고 생각한다. 이러한 이점들을 적용 받고 싶다면 PMP 공부를 추천한다.

지난번에 썼었던 중소기업에서 대기업으로 간다는 것에 대한 글이 반응이 좋아 추가로 조금 더 써본다.

몇년 사이 IT 열풍이 많이 불어 사설 IT 학원들이 북새통을 이룰정도로 수강생이 많았다. 기업마다 IT 개발자들은 연봉도 많이 올려주고 인력까지 계속 뽑는다는 것도 심심치 않게 들을 수 있었다. 필자도 학원에 다녔었지만 그 때는 지금만큼 엄청나게 열풍이 불진 않았다.

보통 IT와 관련된 실무는 학원에서 많이 배운다. 필자도 대학교를 다니면서 IT 보안쪽에 관심을 많이 가지게 되었고 여기저기 알아보다가 학원에 가서 공부를 했던 케이스다. 그 때도 사실 확신은 할 수가 없었다. 과연 3~4개월을 다니고 원하는 회사, 직무로 갈 수는 있을지... 매번 고민의 연속이었던 것 같다. 스펙만 놓고 봐도 딱히 IT 실무 경험도 없었고 그렇다고 자격증이 많은 것도 아니었다.

그 때 들었던 생각은 그래도 한번 해보자, 3~4개월만에 사활을 걸어보자라는 생각으로 밤낮을 안가리고 IT 보안 공부에만 매진했다. 학원에서 쏟아지는 과제를 매번 고민해보면서 해결하는 능력을 많이 키웠던 것 같다. 그렇게 모든 과정을 수료를 했고 때마침 국가에서 보안 교육을 해주는 기관이 생겨 여기서도 공부를 더 하고 싶어 시험을 봐서 합격을 했고 3개월 이상을 더 공부를 했다. 아마 7~8개월은 계속 보안 공부만 했던거 같다.

이렇게 해서 중견급 규모의 보안 업체에 합격을 했고 여러 사정으로 인해 20명쯤 규모 되는 중소기업으로 한번 이직을 했다. 처음에는 고민이 좀 많았지만 하고 싶었던 일을 시켜준다는 거에 대해 긍정적으로 받아 들여 이직을 결심했고 생각보다 워라벨이 좋아 다니게 되었다. 지금 생각해보면 그 당시 이 회사를 들어갔던게 신의 한수였다. 여기서 시작했던 업무를 지금까지 하면서 전문성도 같이 쌓았기 때문이었다.

처음엔 중소, 중견기업이 아닌 대기업 서류를 넣어봤지만 서류부터 탈락한 곳도 많았다. 7~8개월 공부로는 경쟁력이 생기지 않았던 것이다. 밤낮을 안가리고 했는데도 대기업은 서류부터 탈락이라니... 역시 비전공에 학원 출신은 안되는건가 그 생각도 들기도 했다.

그만큼 갑자기 전공을 바꿔서 단기간에 대기업으로 가기는 힘들다는 것을 말해주고 싶다. 물론 가는 사람들도 있긴 하겠지만 그 비중은 매우 드물다. 적성에 엄청 잘 맞거나 그러지 않는 이상 1년도 IT 공부를 안하고 신입으로 원하는 대기업에 들어가는건 하늘의 별따기만큼 쉽지 않다. 전공자라면 이야기가 조금 달라질 순 있는데 전공자들도 요즘은 쉽지 않다. 대학교 다니면서 컴퓨터 기초를 공부하고 각 기업 채용 전형을 기반으로 충실히 잘 준비를 한 사람이 그래도 가능성이 높다고 생각한다.

필자도 전 글에서도 써놨듯이 관련 경력을 쌓고 더 많은 공부를 통해 대기업으로 이직을 한 케이스다. 만약 그 기간이 어느정도냐고 물어보면 이렇게 대답한다. "본인이 하기 나름이고 하면 할 수록 그 기간은 더 짧아집니다."

어떤 것을 해도 모두 본인이 하기 나름이지만 학원 몇개월 다니고 대기업으로 가는건 정말로 쉽지 않다. 단순 코딩만 공부하고 취약점 진단하는 스킬만 공부하는 것이 아닌 컴퓨터 공학의 기초, OS, 네트워크 등 전반적인 컴퓨터 기초 과목에 대한 공부와 지식을 축적하는 것도 필요하기 때문이다. 이런 기초 지식도 없이 면접을 통과한다고 해도 실무 가서 버티기 쉽지 않을 것이라고 본다.

필자가 경험 했던 것을 위주로 해서 글을 써봤는데 참고가 되었으면 좋겠다.

IPA 파일을 추출함에 있어서 조금 더 간단하고 쉬운 방법이 있다.

1. IPA 추출 방법

[그림 1-1] IPA Installer 설치

Cydia에서 IPA Installer을 검색해서 패키지를 설치한다.

[그림 1-2] ipa installer 실행

SSH에 연결해서 ipainstaller -b [패키지명] 명령어를 입력해 IPA 파일 추출을 시도하면 파일이 생성된 경로와 함께 추출된다는 걸 볼 수 있다.

[그림 1-3] ipa 파일 추출

IPA 파일이 생성된 경로인 /private/var/mobile/Documents로 들어가서 확인하면 IPA 파일이 생성 됨을 확인할 수 있다.

[그림 1-4] 3utools

3utools에서도 확인이 가능하며 IPA 파일을 Export 해서 로컬 컴퓨터에서도 사용이 가능하다.

실무에서 IOS 진단을 할 땐 IPA 파일을 추출해서 분석하는게 필수적인데 ios 버전 8.3 이후론 Clutch가 전부 막혀서 추출하기가 어려워졌다. 그래서 다음과 같은 방법으로 추출하는 방법이 있다.

1. IPA 파일 추출 방법

[그림 1-1] 업데이트

sudo apt update 명령어로 칼리리눅스 업데이트를 시도한다.

[그림 1-2] python3-pip 설치

sudo apt-get install python3-pip 명령어를 통헤 pip3를 설치한다.

[그림 1-3] requirements.txt 업그레이드

sudo pip3 install -r requirements.txt --upgrade 명령어를 통해 패키지 업그레이드를 한다.

[그림 1-4] libusbmuxd-tools 설치

sudo apt install libusbmuxd-tools 명령어를 통해 iproxy를 설치한다. 만약 sudo apt install iproxy로 하게 되면 현재 칼리리눅스에 패키지가 없기 때문에 설치가 되지 않는다.

[그림 1-5] iproxy 실행

iproxy 2222 22 명령어를 통해 iproxy를 실행한다.

[그림 1-6] 가상 머신 연결

iproxy 연결 후 탈옥된 아이폰을 뺐다가 다시 연결하면 다음과 같은 창이 출력되는데 Connect to a virtual machine과 칼리리눅스를 선택한 후 OK 버튼을 클릭한다.

[그림 1-7] iPhone 아이콘

아이폰과 칼리리눅스가 연결되면 다음과 같은 아이콘이 표시된다.

[그림 1-8] dump.py 실행

python3 dump.py -l을 입력한 후 확인하면 탈옥된 아이폰의 프로세스 목록들을 확인할 수 있다.

[그림 1-9] IPA 파일 추출

python3 dump.py com.apple.Maps 명령어를 입력해 IPA 파일 추출을 시도한다. IPA 추출 시도 시 iproxy 로그에 연결 상태 로그가 계속 출력된다.

[그림 1-10] ipa 파일 추출 성공

IPA 파일이 에러 없이 추출되면 frida-dump-master 폴더에서 추출된 IPA 파일을 확인할 수 있다. 로컬 PC와 연결되어 있다면 로컬로 복사해 IPA 파일을 사용할 수 있다.

중소기업에서 대기업으로 이직이 가능할까? 이건 예전부터 많이 나왔던 말이다. 중소기업에서 시작하면 대기업 이직 절대 불가능하다, 첫 시작이 중요하다, 대기업 신입으로 들어가는것보다 중소에서 대기업 경력 이직이 훨씬 더 힘들다 등 수많은 말들이 나오는 것을 심심치 않게 볼 수 있다.

필자 생각은 이건 직무의 특성에 따라 달라진다고 본다. 어떤 직무는 중소기업에서 대기업 가는게 정말 어려울 수 있고 또 어떤 직무는 나름 수월하게 갈수도 있고... 너무 다 다르다. 그래서 이것도 정답은 없다고 본다. 본인의 상황, 직무, 분위기 등에 따라 달라질 수 있기 때문이다.

일단 모의해킹 기준으로 이야기하면 중소기업에서 대기업으로 이직하는건 충분히 가능하다. 중소기업과 대기업 모두 다녀본 입장에서 못할 건 없다. 오히려 이 분야는 경력 관리만 잘된다면 대기업에서도 오퍼를 받는 경우가 꽤 있었다. 요즘은 어플리케이션 보안 관련해서 채용을 하는 회사들이 많이 늘어나고 있는 추세라 더 그랬다. 그래서 필자도 대기업으로 이직을 할 때 조금 놀란건 있었다. 모의해킹쪽 경력도 그리 많은 것도 아니었고 중소기업 경력만 있고 스펙도 엄청 높거나 그러지 않았는데 서류 합격률이 100%였다.

지원했던 직무까지 일치하니 인성 검사 통과 후 면접 때도 편안한 분위기에서 볼 수 있었다. 단, 여기서 조건이 하나 더 달리면 "모의해킹" 경력이 주 경력이어야 했다. 지원한 회사와 본인이 전 회사에서 했던 직무 및 기술이 일치하지 않고 전문성이 없는 상태로 이것저것 건드리기만 했다고 판단되면 탈락할 확률이 아주 높다. 사실 이건 다른 분야도 마찬가지고 몇마디 물어보면 바로 알게 되는게 조금만 버벅여도 면접관들은 바로 눈치챈다.

신입 때는 "직무"가 중요하다. 여기서 그 다음 이직을 할 때 잘 될 수 있는지 없는지도 결정되게 된다. 모의해킹 경력을 최대한 쌓을 수 있는 회사로 가서 퇴근 후에도 본인이 모의해킹 기술 공부도 하면서 역량을 계속 올리면 이직이 가능하다. 필자도 그렇게 해서 대기업으로 이직을 했고 나름 만족하면서 다니고 있다.

이렇듯 직무마다 천지차이기 때문에 너무 휘둘린건 없다고 본다. 모의해킹 기준으론 경력+본인 자기 계발 역량에 따라서 얼마든지 대기업으로 갈 수 있는 기회는 많다. 필자가 경험을 해보니 그랬다. 모두 본인 하기 나름이니 현재 위치에서 노력하는 것이 중요하다고 본다.

경력직들의 이직 횟수는 어느정도가 적당한건지 전에 필자도 참 많이 생각해봤다. 본인이 역량이 있고 적응 능력이 좋다면 이직해서 연봉도 올리고 일을 하는 거니까. 어떻게 보면 이직이 연봉 상승이랑 직급 높이기엔 유리할 수 있다. 본인이 어떻게 회사랑 협상을 하는지에 따라서도 많이 바뀌니까. 그래서 이직이 이런 점에선 참 매력이 있을 수도 있다.

일단 결론부터 이야기하면 이직 횟수는 많을 수록 불리하게 작용하는 점이 많다. 꼭 다 그런건 아니지만 대체적으로 보면 그렇다. 어떤 회사는 8년간 이직 횟수가 3회 이상이면 서류부터 바로 탈락시키는 곳도 봤었다. 그만큼 잦은 이직을 좋게 보지 않았던 것이다. 이유는 몇가지가 있지만 대표적으론 조직의 대한 충성도, 현 회사에서도 오래 일하지 않을 것이라고 보는게 있다. 물론 예외의 경우는 있다. 딱 봐도 직무도 비슷하고 회사 규모도 비슷하면서 연봉만 올리는 옆그레이드가 아닌 업그레이드 이직인 것 같고 본인 발전을 위한 이직이라면 긍정적으로 검토하고 면접을 진행하는 곳도 있다.

이직 횟수가 많아진다면 왜 이직을 한 것인지에 대해 명확하게 이력서에도 설명할 수 있다면 괜찮겠지만 그렇지 않고는 확실히 마이너스다. 필자도 이직을 했었지만 현 회사에서 면접을 볼 때 왜 이직을 하는지에 대해 논리있고 자신있게 면접관들에게 설명했었다. 그만큼 사유와 명분이 확실해야 된다는 의미다. 그래서 사람마다 각기 다 다르긴 하겠지만 통상적으로 10년을 기준으로 잡고 본다면 2~3회 정도가 적당하지 않을까 싶다.

그리고 이직을 한다는 것은 완전히 새로운 환경으로 가게 되는 것이다. 새로운 환경에 가면 업무 프로세스 등 적응 해야 될 게 정말 많다. 특히나 업무가 바뀌면 더 고생을 하게 될 수 있는데 잘 적응하는 사람이 있는 반면 적응을 못해 다시 전 회사로 가는 경우도 심심치 않게 봤다. 그리고 돈을 많이 받으면 받을수록 책임질 게 많아진다. 돈 많이 받으면서 널럴하고 천국인 곳은 많이 없다. 만약 그런 곳이 있다면 경쟁률은 상상을 뛰어넘을것이다.

필자도 현 회사에 3년째 다니고 있지만 한 회사에서 좀 있다 보니 나름 혜택 보는 것도 많았다. 예를 들면 연차도 법으로 15일이 기본으로 정해져 있지만 근속년수가 되다 보니 16일을 받고 있고 임금 상승률도 점점 좋아졌고 인사 고과 평가 같은 것도 만족스럽게 받을 수 있었다. 이 외에도 여러 가지 혜택이 있었다. 회사에 따라 다르긴 하지만 이직을 하게 된다면 근무를 시작하고 1~2년간은 당장 본인이 희망 하는 좋은 복지 혜택을 못 받는 곳도 있다. 그래서 이직을 할 땐 잘 생각해봐야 하는 것이다.

이직을 한다는 것은 장단점이 분명하다. 현 회사보다 더 좋은 점도 생길 수 있고 그렇지 못할 수도 있다. 그래서 모두 종합적으로 상황을 고려해보고 이직을 하는 것이 가장 현명할 것이다.

모의해킹 경력이 쌓이면 어떻게 될까? 사실 이건 정답이 없었다. 개인이 추구하는바도 다르고 상황이나 경우도 다르고 너무 다양하다. 정답이 딱 정해져 있다면 어떤 분야던지 별로 하고 싶지 않을거다. 장점이 있는만큼 단점도 너무 명확하니까.

굳이 장점부터 몇가지 말하면 첫번째는 굶어 죽을(?) 일은 없다. isms-p, 모의해킹 등 보안쪽은 법으로 정해져 있는게 있어 기업들도 이걸 안 지킬 수가 없다. 그래서 매년 사업들이 쏟아져 나오는 편이다. 요즘 들어서는 보안을 중요하게 생각하는 기업들도 많아 전보다 사업이 훨씬 많아진 상태다. 이렇게 사업이 많아지면 인력은 당연히 부족하다. 보통은 중급 인력(경력 3년 이상)을 많이 찾는데 현재 컨설팅 시장엔 모의해킹 중급 이상 인력이 많이 없다. 이런 이유로 중급 이상이 되고 본인 실력만 된다면 원하는 만큼의 돈도 자연스럽게 따라온다.

두번째는 기술 보안 담당자, 관리 보안 담당자 등으로 이직이 가능하다. 컨설턴트와 담당자는 업무도 확연히 다르고 포지션 자체가 다르다. 요즘은 SI 대기업, 유통,제조,금융권 등등 보안 담당자도 꽤 많이 뽑고 있어서 연차 쌓이고 실력 상승시키면 이직할 기회가 많다. 일은 당연히 담당자가 더 힘들고 책임질 것도 많아지긴한다. 일이 많고 힘든만큼 돈도 자연스럽게 따라오긴 하겠지만 담당자도 성향이 맞아야 하는 업무다. 그렇기 때문에 돈 많이 주니까 바로 간다 이게 아닌 본인이 컨설팅이 맞는지 보안 담당자쪽이 맞는지는 잘 생각해보고 결정할 필요는 있다.

세번째는 프리랜서가 가능하다. 모의해킹은 다른 분야에 비해 프리랜서쪽도 되게 많다. 필자도 실제로 프리랜서 분들과도 일해봤고. 프리랜서도 장단점은 확실히 존재한다. 일거리가 많을 땐 정말 많아서 정신 없이 일을 다닐때도 많고 평균적으로 수입도 많은 편이지만 모의해킹도 추운 겨울이 있다. 대체적으로 12월~3월정도까지인데 프리랜서는 자영업자에도 가깝기 때문에 일거리가 없을 땐 당연히 수입도 끊긴다고 보면 된다. 그리고 일거리가 들쑥날쑥하면 불안정한 것도 단점이고... 일거리가 계속 있다면 당연히 좋지만 대체적으론 그렇지는 못하다. 그래서 가정이 있는 사람이라면 좀 힘들 수 있다고 본다. 보통 프리랜서는 모의해킹 경력 4년차 이상이 많다고 보면 된다. 

네번째는 버그바운티, 대회 참여가 가능하다. 본인 실력 상승도 시키고 소소한 부수입도 있고(많을 수도 있음) 일석이조다. 실제로 이런걸로 해서 소소한 부수입을 챙기는 사람들도 있다. 본인이 실력있고 능력만 좋으면 얼마든지 가능하다. 장소 제약, 경력 제약 등도 없어 어떻게보면 더 편하다. 본인 커리어도 쌓고 소소한 수입도 벌고 필자는 개인적으로 나쁘지 않다고 본다. 필자도 대회 참여를 해본적도 있었고 수입이 없더라도 본인 실력 상승 시키기에도 괜찮았다.

이정도로 모의해킹 경력이 쌓이면 할 수 있는 일들을 좀 나열했다. 돈도 중요하지만 본인이 진짜 어떤게 적성에 맞는지에 대해서도 잘 생각하길 추천한다. 일도 하고 연차도 좀 쌓였는데 연봉이 잘 안오른다고 투덜댄다면 이유는 딱 3가지다. "컨설팅 시장의 인력 단가 고정으로 인한 한계, 회사의 영업 역량에 따른 벌어들이는 수익의 한계, 본인의 역량이 연차에 비해 연봉을 올려줄만한 급의 사람이 아니거나"

기술직들은 정말 하는 만큼 가져간다. 일 잘하고 실력 있는 사람이라고 평가를 받으면 당연히 본인이 원하는만큼의 돈을 받을 수 있고 그렇지 않으면 계속 제자리 걸음이 될 수 있다. 그래서 계속 공부하고 실력을 쌓아야 되는 이유기도 하다.

IT 분야는 자격증이 다른 분야에 비해 상당히 많다. 기사 자격증들부터 해서 클라우드 자격증 등등 나열하려고 하면 시간이 많이 걸릴 정도로 자격증이 많은 편이다. 그래서 가끔은 뭐부터 따야 하나 헷갈릴 때도 있다. 뭐가 중요한건지 안 중요한건지... 계속 갈팡질팡 하기 마련이다.

특히 보안쪽도 자격증이 많은 편이다. CISA, CISSP, 정보처리기사, 정보보안기사 등 정말 많다. 아마 이걸 한꺼번에 다 취득하려고 하면 시간이 상당히 오래걸린다. 보안쪽 자격증은 난이도가 매우 높은 자격증들이 있어 많은 시간을 투자해야 취득할 수 있는 자격증들도 꽤 있다. 

필자의 개인적인 생각이지만 자격증은 왜 취득을 해야 하는지에 대한 이유부터 파악할 필요가 있다고 본다. 그 자격증을 취득함으로써 본인이 어떻게 활용할 수 있을 지에 대해 면밀하게 고민해봐야 한다는 의미다. 이력서 한줄 채우기 용도로 사용한다면 사실상 의미가 없다. 자격증은 있으면 좋지만 그게 그 사람을 판단하는 절대적인 기준은 아니다. 특히 IT쪽은 자격증 취득에 목매는 경우가 많은데 자격증보단 실무를 할 줄 아는게 최우선이다.

예를 들어 필자가 ISO 27001 인증심사원 자격증을 공부한다고 치면 이걸 왜 공부해야 하는지에 대해 명확하게 알아야 한다는 의미다. 이 자격증을 취득함으로써 본인이 어떤 업무를 더 할 수 있는 자격 및 권한이 주어지는지, 어떤 지식을 습득하게 되고 이 지식을 어떻게 실무에서 응용할 수 있을지 이런 부분을 고민해보고 본인한테 정말 필요할 것 같다고 판단이 들면 공부를 시작하는 것이 맞다고 생각한다.

무조껀적으로 자격증만 취득해서 수집을 하는 것보다 자격증을 취득함으로써 본인이 지금 하고 있는 일에서 어떤 도움이 될 지, 어떤 일을 할 수 있는 자격이 주어지는지 등을 고려한 후 결정해야 된다고 본다. 어떻게 보면 시간이 가장 중요한데 불필요한 리소스 낭비를 해가면서 이것 저것 다 취득하기엔 시간도 많이 걸리고 특히나 덤프만 외우고 기출만 외워서 취득하는 자격증은 본인한테도 크게 도움이 되지 않는다. 그 자격증에서 공부할 수 있는 기초 개념을 공부하고 최대한 본인의 지식으로 만들면서 덤프를 외우는 건 당연히 본인한테 도움이 된다.

만약 본인이 그 분야의 업무를 경험하고 싶은데 요구하는 자격증이 없어 경험 하지 못하는 상황에 놓인다면 볼 것도 없이 그 자격증을 취득해야 한다. 요구하는 자격증이 없으면 그 분야의 경력을 쌓지 못하기 때문이다. 요구하는 자격증을 취득하고 그 분야의 실무 경력을 쌓을 수만 있다면 실무+자격증 무장과 함께 본인의 전문성이 될 수 있다. 그렇기에 본인이 어떤 자격증이 꼭 필요한지 생각하고 공부하는 것이 좋다고 본다.