[보안 리더] 이별 CIS 대표 "국제 자격증 18개 ···OSCE3 국내 첫 획득"
국내 보안전문가 및 보안 꿈나무들의 세계화에 앞장서고 있는 인물이 있다. 글로벌 보안 교육업체 '오프섹(OffSec)'과 올해 초 국내 최초로 파트너십을 체결한 CIS를 이끌고 있는 이별 대표(37)다. 국제 자격증 교육 및 보안 컨설팅 전문 기업 CIS는 국내에서 최초이자 유일한 오프섹과의 파트너십을 체결한 기업이다. 한국인터넷진흥원(KISA)의 K-Shield 전문강사 등으로도 활동했던 이 대표는 많은 보안 관련 국제 자격증을 보유하고 있으며, CIS 직원은 물론 보안업계 누구나 국제 무대에서 활약할 수 있도록 국제 자격증 취득을 위한 교육에 헌신하고 있다. 오프섹은 OSCP(Offensive Security Certified Professional) 등 실무 중심의 침투테스트 역량을 평가하는 자격증을 운영하고 있다. 글로벌 보안 기업은 물론 최근 국내에서도 오프섹 자격증에 대한 관심이 높아지면서 오프섹 보안 자격증에 대한 공신력은 점차 높아지는 추세다. 기존에는 오프섹과 관련한 자격증은 '각자 알아서' 준비하는 방식이었다. 국내 보안업체들이 관련 교육과정을 개설하고 싶어도 오프섹과 파트너십이 체결되지 않는 한 라이선스 위반으로 교육 과정을 개설할 수 없기 때문이다. 그러나 CIS는 국내 최초로 오프섹과의 파트너십을 성공적으로 체결하며 교육 라이선스도 취득해 국제 자격증을 준비하고 있는 보안인들에게 길잡이가 되고 있다. '국내 최초·유일' 오프섹 파트너사 CIS…"전 직원 OSCP 취득" 이 대표는 "오프섹과의 파트너십 체결까지 3년의 시간이 걸렸다. 아시아권에서도 몇 안 되는 학습 파트너로 인정받았고, 국내에서는 최초"라며 "이제야 결실을 맺었다는 생각보다는 이제 시작이라는 마음가짐"이라고 밝혔다. 그는 "오프섹 측에서 1년마다 파트너사 평가를 진행하는데, 파트너사별로 매출액을 달성해야 하는 기준이 있다"며 "달성이 되지 않으면 파트너십이 취소되는데 현재 매우 순조로운 상황으로 흘러가고 있다"고 설명했다. 또한 이 대표는 "오프섹에서 파트너십 체결 조건으로 CIS 직원의 절반이 OSCP를 취득하는 것을 제시했다"며 "이에 CIS는 절반이 아니라 모든 직원이 OSCP를 취득했고, 파트너십 체결까지 이어질 수 있었다"고 털어놨다. 이 대표 설명에 따르면 오프섹에서 제공하고 있는 자격증은 수준별로 100~400레벨로 구분돼 있다. 구체적으로 ▲100레벨대의 경우 입문자 ▲100~200레벨대 주니어~시니어 ▲300레벨대 시니어 ▲400레벨대 최고 수준 전문가 등이다. 400레벨대 자격 시험의 경우에는 지정된 나라에서 수업을 들어야 할 만큼 취득하기 까다로운 것으로 알려졌다. 오프섹의 자격증 중 가장 인기 있는 OSCP의 경우 200레벨 정도의 자격증인 것으로 알려졌다. CIS는 오프섹 공식 파트너로서 OSCP에 대한 국내 교육 과정도 개설해 운영 중이다. 'OffSec Pen-200(OSCP, OSCP+) Course'를 이달 23일부터 진행하고 있다. 현재 진행 중인 과정은 2기 학생들을 대상으로 진행하고 있고, 지난 1기는 현재 수료한 상태다. OSCP는 침투 테스터, 보안 분석, 사이버보안 엔지니어 등 다양한 직무에서 요구되고 있다. 미국의 경우 OSCP를 보유하고 있는 전문가는 평균 12만달러의 연봉을 받는 전문가로 대우받고 있다. OSCP 시험은 24시간 동안 진행하며 실습 위주 시험으로 치러진다. 문제는 액티브 디렉토리(AD) 1세트(40점), 스탠더드 머신 3세트(각 20점)로 총 100점이며, 70점을 넘어야 합격이다. 교육 과정은 ▲PEN-200 소개 및 집중 대상 프로세스 이해 ▲환경 셋업 및 정보 수집 ▲취약점 스캔 및 웹 취약점 이해 ▲클라이언트 측 공격 및 공개된 익스플로잇 탐색 ▲안티 바이러스 우회 및 패스워드 공격 ▲윈도우 및 리눅스 권한상승 ▲Pivot 및 이중 Pivot 이해 ▲MSF 이해 및 액티브 디렉터리(AD) 개요 및 공격 ▲AD 내의 측면이동 ▲시험 접근 전략 등으로 구성됐다. 교육은 모두 이 대표가 진행한다. 이 대표는 "오프섹과 파트너가 됐다고 해서 교육 과정을 개설할 수 있게 되는 것은 아니다"라며 "오프섹에서 인정하는 공인 강사 자격을 별도로 취득을 해야 한다. Pen-200에 대해서는 이미 공인 강사 자격을 취득을 해놓은 상태이기 때문에 교육과정을 개설할 수 있었다"고 설명했다. 그는 "OSCP 교육 과정이 290만원에 달하는데, 적지 않은 비용임에도 CIS에서 제공하는 라이브 학습 48시간 등 특강과 더불어 시험 노하우까지 획득할 수 있기 때문에 1기 학생들 사이에서 반응이 좋았다"면서 "1기 학생 중 절반 정도가 OSCP 시험을 치렀는데 이 중 60%는 합격 점수가 나왔다. 낮지 않은 합격률을 기록해 뿌듯하다"고 말했다. 이 대표는 "국내의 보안 관련 자격증은 이론 중심으로 전개되는 한계가 있는데, OSCP와 같은 국제 자격증은 이론보다 실무 위주로 시험이 진행되다 보니 실무진의 선호도가 높아지고 있다"며 "잇단 침해사고로 보안업계에서 레드팀에 대한 수요가 높아지고 있는데, 레드팀 채용에 있어서도 대부분 OSCP와 같은 실무 위주 자격 시험을 요구하고 있다"고 설명했다. "국내는 이론 위주 한계…'실습 위주' 국제 자격증 강점" 이 대표는 국제 자격증의 장점에 대해 '실습 위주'라는 점을 거듭 강조했다. 또 보안인들이 세계 무대로 나아가기 위해선 자신의 가치를 높이는 데에 비용을 아끼지 말라는 말도 덧붙였다. 이 대표는 "감사, 프로젝트, 분석 등 분야별로 인정해주는 국제 자격증은 이미 많이 있고, 더욱 많아지는 추세"라며 "국내에서는 학력을 우선으로 보고 이론 위주의 국비 교육이 많은 반면, 국제 자격증이 실습 위주로 치러지는 만큼 실무진의 인정을 받는다"고 설명했다. 그는 또 "국내에서는 국제 자격증에 대해 '인지도도 없는데 가격만 비싸다'는 인식이 널리 퍼져 있는데, 세계 무대로 나아가기 위해선 절대 돈과 시간을 아껴선 안 된다"고 강조하며 "쓴 만큼 해놓으면 가치에 대한 보상은 따라오기 마련이고, 시간도 마찬가지다. 이런 부분을 아끼기 시작하면 배울 수 있는 범위는 국내에 국한된다"고 역설했다. 이 대표는 하루에 매일 4~7시간은 공부에 투자하고 있다. 그가 취득한 국제 자격증만 벤더사에서 제공하고 있는 기준으로 ▲OSCE3 ▲OSEP ▲OSED ▲OSWE ▲OSCP ▲CRTP ▲CRTE ▲CRTM ▲CBBH ▲CDSA ▲CPTS ▲CWEE ▲CAPE ▲CRTO ▲CIA ▲CISA ▲PMP 등 17개다. 특히 이 중 침투테스트 전문자격 OSCE3(OSCEv3)의 경우 이 대표가 국내 최초로 취득한 자격증이다. 이 대표는 2년 6개월 동안 OSCEv3 자격 시험을 준비했다. 침투테스트(OSEP)·익스플로잇 개발(OSED)·웹 취약점 분석(OSWE) 등 분야의 자격증 3개를 취득하면 OSCEv3 자격증이 주어진다. 3가지 시험은 48시간 동안 실무와 유사한 환경으로 진행되며, 실습 기반 자격 시험인 것으로 알려졌다. 이 외에도 ▲CBBH ▲CDSA ▲CPTS ▲CWEE ▲CAPE 등 시험은 온라인 해킹 및 보안 교육플랫폼 '핵더박스(Hack the Box)'에서 제공하는 시험으로, 이 대표는 주니어급 시험 1개를 제외한 핵더박스의 모든 자격증을 취득했다. 이 역시 국내 최초 성과다. 지난 22일 만난 그는 인터뷰 이후 오후에 또 CRTL(Certified Red Teaming Lead) 시험을 치러야 한다고 말했다. 합격 가능성에 대해 묻는 질문에 그는 "100%"라고 답했다. 이어 하루 뒤인 23일 다시 만난 그는 당당하게 합격 소식을 전했다. 이로써 그가 보유하고 있는 자격증은 18개로 늘어날 전망이다. 또 내달 23일에는 국제 공인 정보시스템 보안전문가 자격 시험(CISSP)을 싱가포르에서 치를 계획이다. 그는 많은 국제 자격증을 취득하게 된 배경과 관련해 "처음에는 직무와 관련된 자격증만 취득하려고 했으나, 해외 동료들과 교류하며 이력이 부족하다는 점을 뼈저리게 느끼게 됐다"며 "이에 해외 전문가들이 보유한 자격증을 하나씩 준비하게 됐다. 단순히 자격증을 모으는 것에서 나아가, 여러 국가에서 보안과 관련해 추구하는 방향성이 다르다는 점을 간접적으로 느끼고 전문성을 한층 넓히고자 의미 있는 여정을 이어나가고 있다"고 밝혔다. 이별 CIS 대표, 경기대 교수로 발탁…"후배들 시야 넓혀줄 것" 이 대표는 최근 경기대학교 산학협력겸직 교수로도 발탁됐다. 그는 "산학협력겸직 교수로서 경기대 AI컴퓨터공학부 학생 중 정보보안전공 학생들을 대상으로 특강 등 교육을 진행하게 됐다"며 "정보보호 분야에서 선배라면 선배이기 때문에 앞으로 많은 지도를 할 생각이다. 보안 전문가를 꿈꾸는 후배들의 시야를 넓혀주고 올바른 길로 나아갈 수 있도록 알려주는 것이 제 역할"이라고 말했다. 이 대표는 GSE(Global Information Assurance Certification Security Expert) 취득을 최종 목표로 두고 있다. GSE는 세계 최대의 사이버 보안 연구 및 교육 기관 산스(SANS,SysAdmin, Audit, Network, and Security Institute)에서 운영하는 자격증으로, SANS/GIAC 자격증 체계에서 가장 높은 단계로 꼽히는 최상위 보안 전문가 인증이다. IT 보안 업계에서 가장 권위 있는 자격증 중 하나로 꼽힌다. 취득 난이도 역시 매우 어렵다. 산스가 제공하는 교육 과정을 이수한 후 학술지에도 논문을 투고해야 하며, 산스에서 어렵다고 손꼽히는 자격증 3개를 취득하면 GSE 자격증이 수여되는 구조다. 이 대표 설명에 따르면 3년 전만 해도 GSE를 보유한 사람은 전 세계에서 40명 내외 수준이었다. 최근 산스에서 석사 과정을 출시하면서 취득자 수가 늘어 세 자릿수가 넘은 것으로 전해졌다. 이 대표는 "오는 2027년 정도에 산스 석사 과정에 돌입하고 2030년이 되기 전에 GSE를 취득할 생각"이라고 밝혔다.
