기술적인 배경 지식 없이 외부인으로서 사이버 보안 분야에 합류하는 것은 나에게 있어서 변혁적인 여정이었습니다. 업계에 대해 나를 즉각적으로 사로잡은 것은 끊임없는 속도와 끊임없이 제시하는 짜릿한 도전이었습니다. 해당 분야의 전문가들과 교류하면서 진심으로 배우고자 하는 의지를 보여준 신입사원들에 대한 압도적인 지지에 큰 힘을 얻었습니다. 그러나 나는 곧 지배적인 정서를 발견했습니다. 즉, 새로 온 사람들이 독립적으로 스스로 학습할 것이라는 일반적인 기대가 있다는 것입니다. 이는 특히 사이버 보안 분야의 많은 잠재적 초보자가 본질적으로 자가 학습자가 아니라는 점을 고려하면 어려운 기대일 수 있습니다. 타고난 호기심은 의심할 여지 없이 귀중한 특성이지만, 많은 개인, 심지어 엄청난 잠재력을 가진 사람이라도 이 광대한 영역으로 첫 발을 내딛기 위해서는 구조화된 프레임워크가 필요하다는 점을 인식하는 것이 중요합니다.
지난 몇 년 동안 업계의 인재 격차를 해소하는 데 상당한 진전이 이루어졌습니다. 그러나 ISC2 사이버 보안 인력 연구(ISC2 Cybersecurity Workforce Study) 에 따르면 2023년 현재 전 세계적으로 사이버 보안에서 440,000개의 새로운 일자리가 창출되었지만(전년 대비 8.7% 증가), 무려 400만 개의 자리가 채워지지 않은 상태로 남아 있습니다(전년 대비 12.6% 증가). . 이러한 엄청난 격차는 숙련된 전문가에 대한 고용주의 요구와 그러한 전문 지식의 실제 부족 사이의 단절로 인해 발생합니다.
이러한 인재 부족에 대한 해결책은 잠재적인 사이버 보안 전문가, 특히 어린 학생들의 경력 초기 단계에 초점을 맞추는 것입니다. 커뮤니티로서 청소년에게 실행 가능한 직업 옵션으로 사이버 보안을 탐색하는 데 필요한 도구를 제공하는 것이 중요합니다. 핵심은 구조화되고 실용적이며 접근 가능한 학습 경로를 제공하는 것입니다. 다음은 이를 수행하는 방법에 대한 몇 가지 단계와 예입니다.
NIST-NICE 프레임워크는 사이버 보안 작업을 분석, 수집 및 운영, 조사, 운영 및 유지 관리, 감독 및 관리, 보호 및 방어, 보안 제공의 7가지 상위 수준 범주로 분류합니다. 각 카테고리는 전문 분야와 업무 역할로 세분화되어 경력 발전을 위한 포괄적인 로드맵을 제공합니다.
표 1: NICE 프레임워크 작업 역할 범주
범주 | 설명 | 업무 역할 수 |
---|---|---|
안전하게 프로비저닝(SP) | 안전한 IT 시스템을 개념화, 설계, 조달 및/또는 구축합니다. 시스템 및/또는 네트워크 개발 측면을 담당합니다. | 11 |
운영 및 유지(OM) | 효과적이고 효율적인 IT 시스템 성능과 보안을 보장하는 데 필요한 지원, 관리 및 유지 관리를 제공합니다. | 7 |
감독 및 통치(OV) | 조직이 효과적으로 사이버 보안 작업을 수행할 수 있도록 리더십, 관리, 방향 또는 개발 및 옹호를 제공합니다. | 14 |
보호 및 방어(PR) | 내부 IT 시스템 및/또는 네트워크에 대한 위협을 식별, 분석 및 완화합니다. | 4 |
조사하다(IN) | IT 시스템, 네트워크, 디지털 증거와 관련된 사이버 보안 사건이나 범죄를 조사합니다. | 삼 |
분석(AN) | 들어오는 사이버 보안 정보에 대한 고도로 전문적인 검토 및 평가를 수행하여 정보의 유용성을 결정합니다. | 7 |
수집 및 운영(CO) | 정보를 개발하는 데 사용될 수 있는 특수한 거부 및 기만 작업과 사이버 보안 정보 수집을 제공합니다. | 6 |
이 표는 사이버 보안 환경 내에서 다양한 역할을 보여줍니다. 이러한 범주를 이해함으로써 초보자는 보다 맞춤화되고 정보에 입각한 경력 궤적을 위해 더 나은 위치를 차지할 수 있습니다.
NIST-NICE 프레임워크에 대한 포괄적인 이해와 초보자를 위한 다양한 리소스에 액세스하려면 다음을 방문하세요.
목표는 사이버 보안의 다양한 측면을 탐구하고 열정과 숙련도가 교차하는 지점을 결정하는 것입니다. 사이버 보안은 역동적인 분야이기 때문에 개인이 방향을 바꾸고, 학습하고, 발전할 여지가 항상 있습니다.
사이버 보안 커뮤니티는 신규 이민자를 특별히 지원합니다. 노련한 전문가라도 팁과 조언을 공유하는 데 열려 있는 경우가 많으며 초보자도 쉽게 접근할 수 있습니다. 이 사람들을 만나는 비결은 라이브 이벤트에 참석하는 것입니다.
대면 이벤트에서의 실시간 상호 작용은 자발적인 질문, 토론 및 더 깊은 이해의 가능성을 제공합니다. 단지 지식에 흠뻑 젖는 것이 아닙니다. 그것은 또한 네트워킹에 관한 것입니다. 이러한 장소는 의미 있는 연결을 구축하고 잠재적으로 멘토링, 취업 알선 또는 협업 프로젝트로 이어질 수 있는 주요 기회입니다. 더욱이 이러한 모임에는 종종 전문가의 지도 하에 참석자들이 이론을 실제로 적용할 수 있는 실제 과제나 실습 워크숍이 있습니다.
사이버 보안 애호가에게 직접 이벤트에 참석하는 것이 그토록 유익할 수 있는 이유는 다음과 같습니다.
장소와 관련하여 일부 플랫폼과 조직이 눈에 띕니다.
참석을 계획할 때 다음과 같은 몇 가지 팁을 참고하세요.
따라서 사이버 보안 지식과 네트워크를 심화시키려는 경우 이러한 이벤트에 참석하는 것이 다음 큰 기회를 향한 디딤돌이 될 수 있습니다.
CTF(Capture The Flag) 챌린지는 참가자가 암호화부터 웹 애플리케이션 취약성에 이르는 사이버 보안 퍼즐을 해결하는 대회입니다. 이러한 과제는 초보자에게 실제 사이버 보안 문제를 해결하는 데 있어 실용적인 실무 경험을 제공합니다. 예를 들어, DEF CON CTF 이벤트는 매년 전 세계 청중의 관심을 끌고 있으며 모든 기술 수준에 적합한 퍼즐을 제공합니다.
CTF 과제에 참여하는 것은 NIST-NICE 프레임워크에 설명된 여러 영역과 직접적으로 연관되어 있습니다.
분석(AN): CTF의 암호화 퍼즐을 해독하면 들어오는 사이버 보안 정보를 평가하는 분석 범주와 관련된 기술이 향상됩니다.
보호 및 방어(PR): CTF 중에 취약점을 해결하면 IT 시스템에 대한 위협을 식별, 분석 및 완화하는 참가자의 능력이 강화되어 보호 및 방어 범주와 밀접하게 일치합니다.
조사(IN): 일부 CTF는 IT 시스템과 관련된 사이버 보안 사건이나 범죄를 조사하는 조사 범주에 맞춰 법의학 문제를 포함합니다.
보안 프로비저닝(SP): 참여자가 시스템을 보호하거나 강화해야 하는 문제를 해결하는 것은 보안 프로비저닝 범주를 반영하여 보안 IT 시스템의 설계 및 생성을 강조합니다.
CTF에 몰입함으로써 초보자는 귀중한 실무 경험을 얻을 뿐만 아니라 NICE 프레임워크에 따라 관심을 가질 수 있는 다양한 역할과 영역을 더 잘 이해할 수 있습니다. 이는 특정 사이버 보안 역량을 탐색하고 심화할 수 있는 실질적이고 매력적인 방법을 제공합니다.
버그 포상금 캠페인에서 기업은 윤리적인 해커가 시스템의 취약점을 찾아 보고하도록 장려합니다. 이러한 관행은 선도적인 기술 기업들 사이에서 점점 더 널리 퍼지고 있으며, 독립적인 보안 연구원들로 구성된 글로벌 풀의 가치를 실현하고 있습니다. 예를 들어, Google, Facebook, Apple, Microsoft 및 Twitter와 같은 거대 기술 기업은 모두 자체 버그 포상금 프로그램을 출시하여 윤리적인 해커가 플랫폼의 잠재적인 보안 결함을 식별하고 책임감 있게 공개하도록 장려했습니다. 이러한 캠페인을 제공함으로써 이러한 조직은 시스템 보안을 강화할 뿐만 아니라 사이버 보안 커뮤니티와의 공생 관계를 조성합니다. 예를 들어:
Bugcrowd, Hackerone 및 Intigrity와 같은 플랫폼은 윤리적인 해커를 Google이나 Apple과 같은 독립적인 프로그램이 없는 조직을 포함하여 조직과 연결하는 중개자 역할을 하여 프로세스를 간소화했습니다. 취약점이 식별되어 이러한 플랫폼을 통해 또는 확립된 프로그램을 갖춘 회사에 직접 보고되면 검증 프로세스를 거칩니다. 검증되면 연구자는 재정적 보상, 표창 또는 둘 다를 받을 수 있습니다.
초보자를 위한 웹 브라우저 기반 실습이 있습니다. 이러한 실습을 통해 사용자는 브라우저 내에서 직접 통제된 환경에서 실습할 수 있습니다. 편리하고 접근하기 쉽지만 이러한 플랫폼은 실제 시스템의 복잡성과 미묘함을 완전히 복제하지 못할 수도 있습니다. 이는 훌륭한 입문 도구이지만 사용자가 사이버 보안 여정을 진행함에 따라 덜 어려워질 수 있습니다.
반면에 VPN 액세스가 필요한 가상화된 환경이 있습니다. 이러한 플랫폼은 실제 회사 인프라와 거의 동일한 환경을 제공합니다. 가상화된 시나리오는 실제 네트워크, 서버 및 워크스테이션을 에뮬레이트하도록 세심하게 제작되었습니다. 사용자는 VPN을 통해 연결하면 마치 운영 네트워크 내에 있는 것처럼 느끼며 웹 브라우저 기반 랩에서는 부족할 수 있는 수준의 신뢰성을 제공합니다. 이러한 유형의 환경에서는 도구, 전술 및 절차를 더 깊이 탐색할 수 있으며 실제 사이버 보안 위협에 대처할 수 있도록 참가자를 효과적으로 교육할 수 있습니다. 이러한 환경에서의 엄격한 교육을 통해 참가자는 직업 준비를 갖추고 사이버 보안 경력에서 직면할 수 있는 다면적인 과제를 해결할 수 있도록 완벽하게 준비됩니다.
두 가지 유형의 교육을 모두 경험함으로써 후보자는 사이버 보안 문제의 복잡성 변화를 인식하고 효과적인 전문가가 되기 위해 기술을 더 잘 연마할 수 있습니다.
다음은 초보자를 위한 무료 또는 저렴한 실용적인 사이버 보안 교육 리소스 목록입니다.
위에 언급된 리소스는 사이버 보안 커뮤니티 내에서 관심과 평가를 받은 많은 도구와 플랫폼의 스냅샷을 나타냅니다. 사이버 보안 교육의 영역은 방대하며 귀중한 리소스 목록은 여기에 제공된 것보다 훨씬 더 많습니다. 또한 학습 여정을 향상시키는 데 도움이 될 수 있는 수많은 오픈 소스 프로젝트와 기타 콘텐츠가 온라인에서 제공됩니다.
다음 단락에서 자세히 설명할 전문 포럼과 웹사이트는 다른 커뮤니티 회원의 리뷰나 피드백을 찾는 데 매우 중요할 수 있습니다. 이 피드백은 지속적으로 출시되는 새로운 리소스의 품질에 대한 통찰력을 제공합니다.
광범위한 사이버 보안 영역에서는 경험이 풍부한 사람의 지도가 큰 변화를 가져올 수 있습니다. LinkedIn과 같은 플랫폼은 네트워킹뿐만 아니라 잠재적 멘토를 식별하는 데에도 특히 유용할 수 있습니다. 프로필을 주의 깊게 검토하고, 관련 그룹에 가입하고, 토론에 적극적으로 참여함으로써 귀하의 열의를 보여주고 신규 이민자를 기꺼이 안내하려는 숙련된 전문가의 관심을 끌 수 있습니다.
원래 게이머를 위해 만들어진 플랫폼인 Discord는 다양한 전문 커뮤니티의 허브로 성장했습니다.
전문 포럼과 웹사이트를 통해 기회가 더욱 확대됩니다.
Reddit의 사이버 보안 커뮤니티: 다음과 같은 플랫폼
Wilders 보안 포럼: 온라인 개인 정보 보호, 보안 및 데이터 보호에 대한 심층 토론을 진행합니다.
MalwareTips 및 Antionline 포럼: 다음과 같은 웹사이트
Bleeping Computer 및 Spiceworks 커뮤니티: 다음과 같은 포럼
Hacklido: 독특한 플랫폼,
이러한 포럼과 커뮤니티에 적극적으로 참여함으로써 지식을 확장할 수 있을 뿐만 아니라 의미 있는 관계를 구축할 수도 있습니다. 귀하가 참여하고 기여함에 따라 귀하의 열정과 헌신을 인정하는 잠재적 멘토를 만날 가능성이 크게 높아집니다. 사이버 보안의 멘토링은 단순히 요령을 배우는 것이 아닙니다. 빠르게 진화하는 디지털 보호 세계의 미묘한 차이를 안내하고 피드백하고 이해하는 것입니다.
사이버 보안 여정을 시작할 때 사용 가능한 수많은 무료 도구에 익숙해지는 것이 중요합니다. 해당 분야의 전문가들이 널리 인식하고 활용하는 이러한 도구는 학습 경험을 크게 향상시킬 수 있습니다.
와이어샤크:
OWASP ZAP(Zed 공격 프록시):
Metasploit 커뮤니티 에디션:
흡입:
OpenVAS(개방형 취약성 평가 시스템):
칼리 리눅스:
이러한 도구의 기능을 활용하면 초보자에게 다양한 사이버 보안 영역에 대한 실질적인 이해를 제공할 뿐만 아니라 잠재적인 위협에 맞서기 위한 실무적인 접근 방식도 제공됩니다. 풍부한 지식과 모범 사례를 담고 있는 경우가 많으므로 각 도구에 대한 관련 문서와 튜토리얼을 살펴보세요.
스스로 점을 연결하는 독학자가 있지만, 초기 지침이 부족하기 때문에 수많은 신진 인재가 아직 사이버 보안 생태계 의 일부가 아닙니다. 목표가 있고 실용적인 지침을 제공함으로써 우리는 빠르게 발전하는 이 분야가 제공해야 하는 과제와 기회를 받아들일 준비가 된 차세대 사이버 보안 전문가를 위한 길을 닦는 데 도움을 줄 수 있습니다.
구조화된 학습은 다양한 방법으로 달성할 수 있으며, 이 가이드는 실제 해커로부터 배울 수 있는 특별한 기회를 가진 비전통적인 사이버 보안 전문가로부터 대안적인 관점을 제공하는 것을 목표로 합니다.