'IT인의 여러가지 이야기'에 해당되는 글 19건

필자가 겪어본 모의해킹 업무의 특성들을 대강 나열해봤다. 우연한 계기로 시작했지만 지금은 아주 만족해하면서 하고 있다.

1. 모의해킹 장점

- 일명 칼퇴근이 가능하다. 고객사나 PM 특성에 따라 다를 수 있지만 정시 퇴근인 곳이 95퍼센트 이상이다.

- 자신이 발전하고 있다는 것을 알게 된다. 뭔가 이런 재미에도 모의해킹한다.

- 이직 하기 나쁘지 않다. 보안 담당자로 가기엔 조금 애매한 포지션이지만 하기 나름이고 대형 SI 업체(대기업 그룹사 등)으로 이직이 엄청나게 잘되는 편이다.

- 연봉 대비 가성비 좋다. 저녁 시간이 있는 삶을 살 수 있고 한가할 땐 엄청 한가하다.

- 연봉 상승률이 좋다. 3년차 이상 되면 대기업 SI 업체 신입 사원 초봉 정도는 된다.(이 정도 안주면 이직 하는 경우가 많음)

- 진급이 빠르다. 특히 모의해킹과 같은 특수기술직들은 대리, 과장 되는 속도가 다른 직군에 비해 월등히 빨라 나쁘지 않다.

- 대략 3년차 이상 되면 어떠한 프로젝트를 가도 사수급이 되고 5년차 이상이면 대규모 프로젝트의 조장이나 PL, 중간 및 소규모 프로젝트의 PM이 된다. 7~8년차면 대규모 프로젝트의 PM이 된다. 

- 기술 한번 잘 배워놓고 익혀 놓으면 먹고 살만 하다. 특히 모의해킹 고연차 찾기가 힘들어 5년차 이상 되면 대우가 괜찮다.

- 프리랜서 하기가 좋다. 모의해킹은 일이 끊임 없이 많기 때문에 본인 평판과 인맥만 괜찮다면 프리 뛰기에도 아주 좋은 포지션이다.

2. 모의해킹 단점

- 초봉이 낮다. 그래서 신입 사원들은 안오거나 고민하는 경우가 많다.

- 보안 담당자로 가기엔 좀 애매한 포지션이다. 모의해킹만 담당하는 사람을 뽑는 회사가 거의 없기 때문. 하지만 개인정보, 인증 컨설팅 쪽 포지션은 이직이 엄청나게 잘된다.

- 존버 해야 하는 경우가 대다수다. 사수 없이 프로젝트를 가야 하는 경우도 꽤 있고 초반에는 고생 많이 한다.

- 많이 돌아다닌다. 전국을 누비며 고객사들을 다니며 모의해킹을 해야 하는데 돌아다니는거 싫어하는 사람은 적성에 맞지 않을 수 있다. 하지만 서울, 경기 쪽 1년 이상짜리 장기 프로젝트에 가면 고정 근무지가 된다.

- 진입 장벽이 좀 높다. 공부해야 할 것도 많고 인력 풀이 그리 크진 않기 때문에 주로 지인 추천을 통해 면접 보고 입사 하는 경우가 많아 보안 교육 등을 듣는게 좋다.

- 평생 공부 해야 한다. 취업 하고 나선 더해야 되고 보안 트렌드 변화가 상당히 빠르기 때문에 매번 동향을 보고 공부해야 한다. 공부 안하면 연봉 상승은 꿈도 꾸지 말아야 함.

- 이건 단점이라고 하긴 조금 애매한데 고객사마다 다르지만 야간 진단을 요청 하는 경우가 있다. 이 땐 새벽 근무가 좀 있을 수 있어 밤 새는거 힘들어 하면 좀 힘들 순 있다. 하지만 관제와 비슷하게 비번 휴식 후 그 다음날에 출근 하는 유연함이 있다.

좋은 참고가 되길 바랍니다.

이것도 그냥 필자가 경험한 것에 의거해서 써본다. 

보통 PM과 PL이라고 하면 그 프로젝트의 책임관리자, 리더를 생각하게 된다. 그래서 PM의 약자가 Project Manager고 PL의 약자가 Project Leader다. 이쯤 되면 프로젝트 하나를 운영하고 관리를 할 줄 알아야 되는 레벨이 된다. 그만큼 연봉도 올라가겠지만 업무량, 책임감이 정말 남달라진다. 본인이 잘못하고 관리를 못하면 온전히 본인이 책임 져야 되고 스트레스도 가중되기 마련이다. IT 분야마다 당연히 다르겠지만 보안쪽 기준으로 이야기하면 PM, PL급이 되는 연차를 가진 사람이 그렇게 흔하지가 않다. 필자도 친구들이나 지인들한테 이야기지만 현재 개발자들도 이러한 인력들이 많지 않다고 한다. 그만큼 그 연차가 되기까지 실무에서 버티기가 쉽지 않거나 이직이 잦기 때문이라고 조심스럽게 분석해본다.

필자도 모의해킹 장기 프로젝트에서 이제 PL 역할을 맡고 있지만 확실히 위로 가게 되니 책임감이 남달라졌다. 본인의 일도 있고 후배들이 잘 모르는게 있을 때마다 커버해주고 이슈가 있을 때 대응도 해줘야 되고... 확실히 기술을 위주로 하다가 관리자 위치로 올라가니 보는 시야가 달라짐을 느꼈다.  모의해킹 기준으로 평균적으로 PL은 4~5년차 이상, PM은 6~7년차 이상 정도에서 맡게 되며 이는 프로젝트 규모, 사정에 따라 달라지는 경우가 많아 그냥 참고만 하길 바란다.

그리고 PM과 PL을 하기 위해선 무조껀 기술이 베이스가 되어야 했다. 기술을 할 줄 알아야 이슈 대응이 가능하고 검토가 가능 하기 때문에 기술을 모르면 PM, PL 역할 하는 건 불가능하다. 그래서 일에는 순서가 있고 배움에도 순서가 있는 법이다. 밑에 일을 모르는데 위에 일은 할 수 없음은 당연하다.

특히 보안 기술 파트(모의해킹, 분석 등) 쪽은 승진 속도가 많이 빠른 편이다. 내가 벌써 이걸 해도 되나 싶을 정도로 빠르다. 그만큼 기술 변화 속도도 매우 빠르다는 반증이기도 하다. 아직 배울게 더 많은거 같은데 PL이 되어 있고 PM이 되어 있고 기술 쪽은 정말 빠르다. 대신 본인이 기술 쪽에 대해 실력이 되고 기본적인 스펙이 되어야 승진이 되고 원하는 연봉을 받을 수 있게 된다. 특히 석사, 박사급의 실력 좋은 실무 경력자들은 올라 가는 속도가 상상 이상으로 아주 빠르다. 그래서 조금 낮은 연차에 PL 역할을 한다는게 조금 부담스러울 때도 있었는데 그만큼 또 배우는게 많아서 만족하면서 하고 있다.

위로 올라갈수록 기술하곤 조금 멀어질 수 있고 인력 관리가 위주가 되겠지만 기술 쪽을 모르고선 그런 관리자 위치로 올라가는건 불가능 하기 때문에 현재 본인의 위치에서 열심히 하다 보면 언젠가는 기회가 오게 된다. 그 기회가 와서 본인이 잡게 된다면 경력 커리어에도 도움이 상당히 크기 때문에 항상 준비 하고 있는 것이 좋다.

지난번에 썼었던 중소기업에서 대기업으로 간다는 것에 대한 글이 반응이 좋아 추가로 조금 더 써본다.

몇년 사이 IT 열풍이 많이 불어 사설 IT 학원들이 북새통을 이룰정도로 수강생이 많았다. 기업마다 IT 개발자들은 연봉도 많이 올려주고 인력까지 계속 뽑는다는 것도 심심치 않게 들을 수 있었다. 필자도 학원에 다녔었지만 그 때는 지금만큼 엄청나게 열풍이 불진 않았다.

보통 IT와 관련된 실무는 학원에서 많이 배운다. 필자도 대학교를 다니면서 IT 보안쪽에 관심을 많이 가지게 되었고 여기저기 알아보다가 학원에 가서 공부를 했던 케이스다. 그 때도 사실 확신은 할 수가 없었다. 과연 3~4개월을 다니고 원하는 회사, 직무로 갈 수는 있을지... 매번 고민의 연속이었던 것 같다. 스펙만 놓고 봐도 딱히 IT 실무 경험도 없었고 그렇다고 자격증이 많은 것도 아니었다.

그 때 들었던 생각은 그래도 한번 해보자, 3~4개월만에 사활을 걸어보자라는 생각으로 밤낮을 안가리고 IT 보안 공부에만 매진했다. 학원에서 쏟아지는 과제를 매번 고민해보면서 해결하는 능력을 많이 키웠던 것 같다. 그렇게 모든 과정을 수료를 했고 때마침 국가에서 보안 교육을 해주는 기관이 생겨 여기서도 공부를 더 하고 싶어 시험을 봐서 합격을 했고 3개월 이상을 더 공부를 했다. 아마 7~8개월은 계속 보안 공부만 했던거 같다.

이렇게 해서 중견급 규모의 보안 업체에 합격을 했고 여러 사정으로 인해 20명쯤 규모 되는 중소기업으로 한번 이직을 했다. 처음에는 고민이 좀 많았지만 하고 싶었던 일을 시켜준다는 거에 대해 긍정적으로 받아 들여 이직을 결심했고 생각보다 워라벨이 좋아 다니게 되었다. 지금 생각해보면 그 당시 이 회사를 들어갔던게 신의 한수였다. 여기서 시작했던 업무를 지금까지 하면서 전문성도 같이 쌓았기 때문이었다.

처음엔 중소, 중견기업이 아닌 대기업 서류를 넣어봤지만 서류부터 탈락한 곳도 많았다. 7~8개월 공부로는 경쟁력이 생기지 않았던 것이다. 밤낮을 안가리고 했는데도 대기업은 서류부터 탈락이라니... 역시 비전공에 학원 출신은 안되는건가 그 생각도 들기도 했다.

그만큼 갑자기 전공을 바꿔서 단기간에 대기업으로 가기는 힘들다는 것을 말해주고 싶다. 물론 가는 사람들도 있긴 하겠지만 그 비중은 매우 드물다. 적성에 엄청 잘 맞거나 그러지 않는 이상 1년도 IT 공부를 안하고 신입으로 원하는 대기업에 들어가는건 하늘의 별따기만큼 쉽지 않다. 전공자라면 이야기가 조금 달라질 순 있는데 전공자들도 요즘은 쉽지 않다. 대학교 다니면서 컴퓨터 기초를 공부하고 각 기업 채용 전형을 기반으로 충실히 잘 준비를 한 사람이 그래도 가능성이 높다고 생각한다.

필자도 전 글에서도 써놨듯이 관련 경력을 쌓고 더 많은 공부를 통해 대기업으로 이직을 한 케이스다. 만약 그 기간이 어느정도냐고 물어보면 이렇게 대답한다. "본인이 하기 나름이고 하면 할 수록 그 기간은 더 짧아집니다."

어떤 것을 해도 모두 본인이 하기 나름이지만 학원 몇개월 다니고 대기업으로 가는건 정말로 쉽지 않다. 단순 코딩만 공부하고 취약점 진단하는 스킬만 공부하는 것이 아닌 컴퓨터 공학의 기초, OS, 네트워크 등 전반적인 컴퓨터 기초 과목에 대한 공부와 지식을 축적하는 것도 필요하기 때문이다. 이런 기초 지식도 없이 면접을 통과한다고 해도 실무 가서 버티기 쉽지 않을 것이라고 본다.

필자가 경험 했던 것을 위주로 해서 글을 써봤는데 참고가 되었으면 좋겠다.

중소기업에서 대기업으로 이직이 가능할까? 이건 예전부터 많이 나왔던 말이다. 중소기업에서 시작하면 대기업 이직 절대 불가능하다, 첫 시작이 중요하다, 대기업 신입으로 들어가는것보다 중소에서 대기업 경력 이직이 훨씬 더 힘들다 등 수많은 말들이 나오는 것을 심심치 않게 볼 수 있다.

필자 생각은 이건 직무의 특성에 따라 달라진다고 본다. 어떤 직무는 중소기업에서 대기업 가는게 정말 어려울 수 있고 또 어떤 직무는 나름 수월하게 갈수도 있고... 너무 다 다르다. 그래서 이것도 정답은 없다고 본다. 본인의 상황, 직무, 분위기 등에 따라 달라질 수 있기 때문이다.

일단 모의해킹 기준으로 이야기하면 중소기업에서 대기업으로 이직하는건 충분히 가능하다. 중소기업과 대기업 모두 다녀본 입장에서 못할 건 없다. 오히려 이 분야는 경력 관리만 잘된다면 대기업에서도 오퍼를 받는 경우가 꽤 있었다. 요즘은 어플리케이션 보안 관련해서 채용을 하는 회사들이 많이 늘어나고 있는 추세라 더 그랬다. 그래서 필자도 대기업으로 이직을 할 때 조금 놀란건 있었다. 모의해킹쪽 경력도 그리 많은 것도 아니었고 중소기업 경력만 있고 스펙도 엄청 높거나 그러지 않았는데 서류 합격률이 100%였다.

지원했던 직무까지 일치하니 인성 검사 통과 후 면접 때도 편안한 분위기에서 볼 수 있었다. 단, 여기서 조건이 하나 더 달리면 "모의해킹" 경력이 주 경력이어야 했다. 지원한 회사와 본인이 전 회사에서 했던 직무 및 기술이 일치하지 않고 전문성이 없는 상태로 이것저것 건드리기만 했다고 판단되면 탈락할 확률이 아주 높다. 사실 이건 다른 분야도 마찬가지고 몇마디 물어보면 바로 알게 되는게 조금만 버벅여도 면접관들은 바로 눈치챈다.

신입 때는 "직무"가 중요하다. 여기서 그 다음 이직을 할 때 잘 될 수 있는지 없는지도 결정되게 된다. 모의해킹 경력을 최대한 쌓을 수 있는 회사로 가서 퇴근 후에도 본인이 모의해킹 기술 공부도 하면서 역량을 계속 올리면 이직이 가능하다. 필자도 그렇게 해서 대기업으로 이직을 했고 나름 만족하면서 다니고 있다.

이렇듯 직무마다 천지차이기 때문에 너무 휘둘린건 없다고 본다. 모의해킹 기준으론 경력+본인 자기 계발 역량에 따라서 얼마든지 대기업으로 갈 수 있는 기회는 많다. 필자가 경험을 해보니 그랬다. 모두 본인 하기 나름이니 현재 위치에서 노력하는 것이 중요하다고 본다.

경력직들의 이직 횟수는 어느정도가 적당한건지 전에 필자도 참 많이 생각해봤다. 본인이 역량이 있고 적응 능력이 좋다면 이직해서 연봉도 올리고 일을 하는 거니까. 어떻게 보면 이직이 연봉 상승이랑 직급 높이기엔 유리할 수 있다. 본인이 어떻게 회사랑 협상을 하는지에 따라서도 많이 바뀌니까. 그래서 이직이 이런 점에선 참 매력이 있을 수도 있다.

일단 결론부터 이야기하면 이직 횟수는 많을 수록 불리하게 작용하는 점이 많다. 꼭 다 그런건 아니지만 대체적으로 보면 그렇다. 어떤 회사는 8년간 이직 횟수가 3회 이상이면 서류부터 바로 탈락시키는 곳도 봤었다. 그만큼 잦은 이직을 좋게 보지 않았던 것이다. 이유는 몇가지가 있지만 대표적으론 조직의 대한 충성도, 현 회사에서도 오래 일하지 않을 것이라고 보는게 있다. 물론 예외의 경우는 있다. 딱 봐도 직무도 비슷하고 회사 규모도 비슷하면서 연봉만 올리는 옆그레이드가 아닌 업그레이드 이직인 것 같고 본인 발전을 위한 이직이라면 긍정적으로 검토하고 면접을 진행하는 곳도 있다.

이직 횟수가 많아진다면 왜 이직을 한 것인지에 대해 명확하게 이력서에도 설명할 수 있다면 괜찮겠지만 그렇지 않고는 확실히 마이너스다. 필자도 이직을 했었지만 현 회사에서 면접을 볼 때 왜 이직을 하는지에 대해 논리있고 자신있게 면접관들에게 설명했었다. 그만큼 사유와 명분이 확실해야 된다는 의미다. 그래서 사람마다 각기 다 다르긴 하겠지만 통상적으로 10년을 기준으로 잡고 본다면 2~3회 정도가 적당하지 않을까 싶다.

그리고 이직을 한다는 것은 완전히 새로운 환경으로 가게 되는 것이다. 새로운 환경에 가면 업무 프로세스 등 적응 해야 될 게 정말 많다. 특히나 업무가 바뀌면 더 고생을 하게 될 수 있는데 잘 적응하는 사람이 있는 반면 적응을 못해 다시 전 회사로 가는 경우도 심심치 않게 봤다. 그리고 돈을 많이 받으면 받을수록 책임질 게 많아진다. 돈 많이 받으면서 널럴하고 천국인 곳은 많이 없다. 만약 그런 곳이 있다면 경쟁률은 상상을 뛰어넘을것이다.

필자도 현 회사에 3년째 다니고 있지만 한 회사에서 좀 있다 보니 나름 혜택 보는 것도 많았다. 예를 들면 연차도 법으로 15일이 기본으로 정해져 있지만 근속년수가 되다 보니 16일을 받고 있고 임금 상승률도 점점 좋아졌고 인사 고과 평가 같은 것도 만족스럽게 받을 수 있었다. 이 외에도 여러 가지 혜택이 있었다. 회사에 따라 다르긴 하지만 이직을 하게 된다면 근무를 시작하고 1~2년간은 당장 본인이 희망 하는 좋은 복지 혜택을 못 받는 곳도 있다. 그래서 이직을 할 땐 잘 생각해봐야 하는 것이다.

이직을 한다는 것은 장단점이 분명하다. 현 회사보다 더 좋은 점도 생길 수 있고 그렇지 못할 수도 있다. 그래서 모두 종합적으로 상황을 고려해보고 이직을 하는 것이 가장 현명할 것이다.

모의해킹 경력이 쌓이면 어떻게 될까? 사실 이건 정답이 없었다. 개인이 추구하는바도 다르고 상황이나 경우도 다르고 너무 다양하다. 정답이 딱 정해져 있다면 어떤 분야던지 별로 하고 싶지 않을거다. 장점이 있는만큼 단점도 너무 명확하니까.

굳이 장점부터 몇가지 말하면 첫번째는 굶어 죽을(?) 일은 없다. isms-p, 모의해킹 등 보안쪽은 법으로 정해져 있는게 있어 기업들도 이걸 안 지킬 수가 없다. 그래서 매년 사업들이 쏟아져 나오는 편이다. 요즘 들어서는 보안을 중요하게 생각하는 기업들도 많아 전보다 사업이 훨씬 많아진 상태다. 이렇게 사업이 많아지면 인력은 당연히 부족하다. 보통은 중급 인력(경력 3년 이상)을 많이 찾는데 현재 컨설팅 시장엔 모의해킹 중급 이상 인력이 많이 없다. 이런 이유로 중급 이상이 되고 본인 실력만 된다면 원하는 만큼의 돈도 자연스럽게 따라온다.

두번째는 기술 보안 담당자, 관리 보안 담당자 등으로 이직이 가능하다. 컨설턴트와 담당자는 업무도 확연히 다르고 포지션 자체가 다르다. 요즘은 SI 대기업, 유통,제조,금융권 등등 보안 담당자도 꽤 많이 뽑고 있어서 연차 쌓이고 실력 상승시키면 이직할 기회가 많다. 일은 당연히 담당자가 더 힘들고 책임질 것도 많아지긴한다. 일이 많고 힘든만큼 돈도 자연스럽게 따라오긴 하겠지만 담당자도 성향이 맞아야 하는 업무다. 그렇기 때문에 돈 많이 주니까 바로 간다 이게 아닌 본인이 컨설팅이 맞는지 보안 담당자쪽이 맞는지는 잘 생각해보고 결정할 필요는 있다.

세번째는 프리랜서가 가능하다. 모의해킹은 다른 분야에 비해 프리랜서쪽도 되게 많다. 필자도 실제로 프리랜서 분들과도 일해봤고. 프리랜서도 장단점은 확실히 존재한다. 일거리가 많을 땐 정말 많아서 정신 없이 일을 다닐때도 많고 평균적으로 수입도 많은 편이지만 모의해킹도 추운 겨울이 있다. 대체적으로 12월~3월정도까지인데 프리랜서는 자영업자에도 가깝기 때문에 일거리가 없을 땐 당연히 수입도 끊긴다고 보면 된다. 그리고 일거리가 들쑥날쑥하면 불안정한 것도 단점이고... 일거리가 계속 있다면 당연히 좋지만 대체적으론 그렇지는 못하다. 그래서 가정이 있는 사람이라면 좀 힘들 수 있다고 본다. 보통 프리랜서는 모의해킹 경력 4년차 이상이 많다고 보면 된다. 

네번째는 버그바운티, 대회 참여가 가능하다. 본인 실력 상승도 시키고 소소한 부수입도 있고(많을 수도 있음) 일석이조다. 실제로 이런걸로 해서 소소한 부수입을 챙기는 사람들도 있다. 본인이 실력있고 능력만 좋으면 얼마든지 가능하다. 장소 제약, 경력 제약 등도 없어 어떻게보면 더 편하다. 본인 커리어도 쌓고 소소한 수입도 벌고 필자는 개인적으로 나쁘지 않다고 본다. 필자도 대회 참여를 해본적도 있었고 수입이 없더라도 본인 실력 상승 시키기에도 괜찮았다.

이정도로 모의해킹 경력이 쌓이면 할 수 있는 일들을 좀 나열했다. 돈도 중요하지만 본인이 진짜 어떤게 적성에 맞는지에 대해서도 잘 생각하길 추천한다. 일도 하고 연차도 좀 쌓였는데 연봉이 잘 안오른다고 투덜댄다면 이유는 딱 3가지다. "컨설팅 시장의 인력 단가 고정으로 인한 한계, 회사의 영업 역량에 따른 벌어들이는 수익의 한계, 본인의 역량이 연차에 비해 연봉을 올려줄만한 급의 사람이 아니거나"

기술직들은 정말 하는 만큼 가져간다. 일 잘하고 실력 있는 사람이라고 평가를 받으면 당연히 본인이 원하는만큼의 돈을 받을 수 있고 그렇지 않으면 계속 제자리 걸음이 될 수 있다. 그래서 계속 공부하고 실력을 쌓아야 되는 이유기도 하다.

IT 분야는 자격증이 다른 분야에 비해 상당히 많다. 기사 자격증들부터 해서 클라우드 자격증 등등 나열하려고 하면 시간이 많이 걸릴 정도로 자격증이 많은 편이다. 그래서 가끔은 뭐부터 따야 하나 헷갈릴 때도 있다. 뭐가 중요한건지 안 중요한건지... 계속 갈팡질팡 하기 마련이다.

특히 보안쪽도 자격증이 많은 편이다. CISA, CISSP, 정보처리기사, 정보보안기사 등 정말 많다. 아마 이걸 한꺼번에 다 취득하려고 하면 시간이 상당히 오래걸린다. 보안쪽 자격증은 난이도가 매우 높은 자격증들이 있어 많은 시간을 투자해야 취득할 수 있는 자격증들도 꽤 있다. 

필자의 개인적인 생각이지만 자격증은 왜 취득을 해야 하는지에 대한 이유부터 파악할 필요가 있다고 본다. 그 자격증을 취득함으로써 본인이 어떻게 활용할 수 있을 지에 대해 면밀하게 고민해봐야 한다는 의미다. 이력서 한줄 채우기 용도로 사용한다면 사실상 의미가 없다. 자격증은 있으면 좋지만 그게 그 사람을 판단하는 절대적인 기준은 아니다. 특히 IT쪽은 자격증 취득에 목매는 경우가 많은데 자격증보단 실무를 할 줄 아는게 최우선이다.

예를 들어 필자가 ISO 27001 인증심사원 자격증을 공부한다고 치면 이걸 왜 공부해야 하는지에 대해 명확하게 알아야 한다는 의미다. 이 자격증을 취득함으로써 본인이 어떤 업무를 더 할 수 있는 자격 및 권한이 주어지는지, 어떤 지식을 습득하게 되고 이 지식을 어떻게 실무에서 응용할 수 있을지 이런 부분을 고민해보고 본인한테 정말 필요할 것 같다고 판단이 들면 공부를 시작하는 것이 맞다고 생각한다.

무조껀적으로 자격증만 취득해서 수집을 하는 것보다 자격증을 취득함으로써 본인이 지금 하고 있는 일에서 어떤 도움이 될 지, 어떤 일을 할 수 있는 자격이 주어지는지 등을 고려한 후 결정해야 된다고 본다. 어떻게 보면 시간이 가장 중요한데 불필요한 리소스 낭비를 해가면서 이것 저것 다 취득하기엔 시간도 많이 걸리고 특히나 덤프만 외우고 기출만 외워서 취득하는 자격증은 본인한테도 크게 도움이 되지 않는다. 그 자격증에서 공부할 수 있는 기초 개념을 공부하고 최대한 본인의 지식으로 만들면서 덤프를 외우는 건 당연히 본인한테 도움이 된다.

만약 본인이 그 분야의 업무를 경험하고 싶은데 요구하는 자격증이 없어 경험 하지 못하는 상황에 놓인다면 볼 것도 없이 그 자격증을 취득해야 한다. 요구하는 자격증이 없으면 그 분야의 경력을 쌓지 못하기 때문이다. 요구하는 자격증을 취득하고 그 분야의 실무 경력을 쌓을 수만 있다면 실무+자격증 무장과 함께 본인의 전문성이 될 수 있다. 그렇기에 본인이 어떤 자격증이 꼭 필요한지 생각하고 공부하는 것이 좋다고 본다.  

경력직은 말 그대로 직무에 대해 경험해보고 회사를 다녀본 사람을 의미한다. 요즘은 신입보단 경력직 채용이 압도적으로 많은 편이다. 그나마도 있었던 신입 공채도 폐지한 회사들도 많고... 어떻게 보면 예전보다 더 힘들다는게 실감이 많이 간다. 필자도 신입으로 취업 준비를 할 때 몇몇 큰 회사에 이력서를 넣었지만 번번히 서류부터 낙방 되는 곳도 있었다. 필자가 원하는 직무로 넣기만 하면 큰 회사는 다 떨어지고... 첫 회사에 들어가긴 했지만 보안 쪽에서도 그렇게까지 원하는 일도 아니었고.. 

그래서 큰 맘 먹고 다니던 회사를 퇴사하고 소기업으로 이직했다. 그나마 전에 보안 교육 듣고 만들어놓은 포트폴리오들이 있어서 면접을 볼 기회가 주어졌고 합격할 수 있었다. 드디어 원하는 직무를 해볼 기회가 부여된 것이다. 그래서 그 때 들었던 생각은 "경력 쌓아서 이직하자"가 아닌 "내가 원하는 일이 우선이고 기회가 있을 때 많이 배우자" 이 마인드로 접근했다. 처음엔 당연히 힘들었다. 다 처음해본 일이고 고객사에 혼자 가서 모의해킹하고 담당자 대응하고 이러는게 쉬운게 아니었으니까.

그래도 최선을 다했다. 필자가 하고 싶어서 하는 거고 큰 마음 먹고 왔을 땐 분명 뜻이 있었기 때문이었다. 소기업에 재직 시에는 많은 고객사들을 돌아다녔다. 처음엔 고객사에 가서 일을 한다는 게 좀 생소하긴 했지만 점점 적응해나갔다. 가끔씩은 지방 출장도 있을 때도 있었지만 괜찮은 고객사에서 모의해킹을 수행할 수 있어서 좋은 경험을 했었다. 물론 이렇게 모의해킹을 시작하고 이 일을 하려면 기술 공부를 계속 해야 해서 1년 내내 퇴근 후에도 교육듣고 개인적으로 추가로 더 공부하고 계속 반복의 연속이었다. 개인 노트 하나 만들어서 고객사에서 경험 했던 것, 기술 등등 기록해놓을 수 있는건 다 기록해놓고 많이 봤다. 

그렇게 시간이 흐르고 필자도 경력자가 되었다. 소기업에서 모의해킹을 하다 보니 문득 들었던 생각은 "대기업은 어떨까?, 어떤식으로 일을 하고 사업 수주를 해올까?, 프로세스가 체계적이라는데 어떻게 체계적일까?, 소기업하고 차이는 어떤게 있을까?" 등등 계속 궁금증이 들었다. 그래서 대기업에 가서 일을 또 해보고 싶어 이직을 결심했다.

결심은 했는데 지금 연차로 이직이나 될지, 합격은 할 수 있을 지 또 고민이 되었다. 그래도 밑져야 본전이니 이력서나 넣어보자라는 생각으로 이력서를 내기 시작했다. 그동안 기술 공부 했던 것들, 책 쓴 것들, 업무 경험 등에 대해 정리하다보니 어느 순간 그게 필자의 포트폴리오가 되었다. 지금 다시 생각해보면 자격증도 중요하긴 하지만 해봤던 업무 경험이 경력직 이직에 더 도움이 컸던 거 같다.

신기하게도 신입 때는 서류 통과 조차도 안되었던 회사들이 통과되면서 면접 기회가 주어졌다. 확실히 신입 면접과는 다르게 경력직 면접은 해당 직무 경험에 대해 물어보는 경우가 많았다. 말 그대로 경력직은 뽑아서 즉시 전력으로 투입할 수 있어야 하니 전공 지식 부분도 중요하지만 업무 경험이 더 중요하다. 필자가 직접 다 해본 것들이라 면접관 분들과 편안하게 대화 하는 분위기로 면접을 볼 수 있었다. 

그렇게 면접을 본 결과 모두 최종합격 통보를 받을 수 있었고 원래부터 필자가 가고 싶었던 회사를 선택해서 가게 되었다. 신입사원으로 지원했을 땐 내 스펙으론 면접은 커녕 서류 통과 조차도 안되었던 회사에서 최종 합격 통보를 받아서 한동안 신기했다. 지금도 현 회사에서 모의해킹, 인증 심사 대비 등을 계속 하고 있다. 전 회사보다 더 좋은 프로젝트에 투입 되어 좋은 경험을 많이 쌓게 해줘 이런 기회를 준 현 회사에 감사하게 생각하고 있다.