차세대 보안리더 양성 프로그램 BoB(Best of the Best)
멘토의 변이 아닌 변(?)
안녕하세요 차세대 보안리더 양성프로그램의 심준보라고 합니다.
차세대보안리더 양성프로그램 Best of the Best(이하 BoB)는 미래창조과학부의
지원에 힘입어 한국정보기술연구원(KITRI)가 주관하는 인력양성 프로그램입니다.
현재 4기 모집 평가가 한창인 가운데
작년 BoB 프로그램 모집시에 BoB 정구홍 멘토님의 글처럼 멋있는 글은
(http://hackerschool.org/Sub_Html/HS_Posting/?uid=44)
쓰기 어려운 것 같아서 다른 형태로 잠시나마 시간을 내어 남겨봅니다.
이 글은 BoB 프로그램을 처음부터 같이한 멘토의 입장에서 쓰는 글이지
어디까지나 미래부나 KITRI의 공식적인 답변이 아님을 미리 밝혀둡니다.
이 글은 SNS를 통한 한 지인분의 궁금증으로 부터 시작했습니다.
BoB 프로그램이 국민들의 세금으로 운영되는 것이기에,
많은 분들이 격려도 해주시지만, 많은 궁금증을 유발하고
비판도 많이 해주시고 있습니다.
걱정하시는 마음 너무도 잘 알기에
이에 대해 비공식적(?)으로 잠시나마 답변을 해 봅니다.
많은 분들이 궁금해 하시는 내용을 간단히 정리해 보았습니다.
1. 국민들의 세금으로 운영되는데 성과가 뭐냐?
- BoB는 2015년 현재 4기 모집중에 있습니다. BoB는 1, 2, 3기를 통틀어
300여명의 수료생을 배출하였습니다. 평균적으로 BoB는 모든 교육에 따른
제반사항이 모두 세금으로 지급되기에 각 학생들은 천만원에서 3천만원정도의
혜택을 보는 셈입니다.
BoB는 한 기수에 8개월정도의 교육, 프로젝트 등을 진행하게 되고, 이를 통해
수료생을 배출하고 있습니다.
그러나 이미 수료한 1, 2, 3기들이 어떤 성과를 내고 어떤 일을 하고 있는지
보이지 않아 많은 분들이 걱정하고 있는 것으로 알고 있습니다.
- BoB 1기는 2012년 시작하였습니다. 이 때 교육생들의
평균 나이는 21 ~ 23세 정도였습니다. 고등학생도 다수 있었으며, 2015년 현재
이 학생들은 거의 대부분 대학교에 다니고 있거나 대학원, 유학 등의 길을 선택하였습니다.
가시적인 성과에 취업률을 빼놓고 이야기 할 수 없다는 의견이 많은 것으로 알고
있습니다만, BoB는 취업에 대한 연계 프로그램도 아니거니와 그 특성상 교육생들이
자신의 부족함을 깨닫고 학업을 더 하려는 의견이 매우 많은 것으로 나타납니다.
- 그러나 국민들의 세금으로 운영되기에 정량적 결과 역시 매우 중요합니다.
과연 올바르게 세금이 잘 사용되고 있는지를 단지 정성적 결과를 그럴싸하게 포장한
모습이 되지 않도록 지금도 여러모로 노력하고 있습니다.
다만, 이러한 행동들이 BoB학생들에게 실적위주의 교육이 되지 않고, 스스로 자신의
길을 선택할 수 있도록 하는 대전제를 해치면 안된다는 생각이 기본인 것은 변하지
않아야 한다고 생각하고 있습니다.
- 우리는 8개월의 교육으로 그들이 전문가가 될 것이라는 생각도 하지 않으며,
모두가 만족하는 교육이 될 것이라고도 생각하지 않습니다.
단지 그들이 보안이라는 큰 항해를 하는 동안 어디로 가야하는지를 알려줄 수 있는
등대를 만나고 같이 항해를 할 수 있는 친구들을 만나는 것이 이 사업의 가장 큰
핵심이자 우리가 해줄 수 있는 가장 큰 역할이라고 생각하고 있습니다.
- BoB는 3년동안의 수료생들을 통해 140여건의 국내외 취약점을 무료로 조치하는데
큰 공을 세웠으며, 국내 주요 기반망의 취약점을 컨설팅하고, 영세한 기업들에게
컨설팅을 제공하여 보안 의식을 고취시키고, 수많은 국내외 학술대회 및
해킹/방어대회에서 우수한 성적으로 입상하고 있습니다. 다만 앞에서 설명한 많은
이유로 인해 취업을 하는 학생은 현저히 적은 상황입니다.
- 이 학생들이 자라서 자신이 이룬 가장 큰 성과는 BoB를 할 때 이룬 것이다 라는
말을 듣고자 하는 것이 아니라 자신이 이룬 가장 큰 성과는 BoB의 토대가 있었기
때문이다 라는 말을 듣고자 함입니다.
2. 선발 기준이 모호하고 이해할 수가 없다
- BoB는 3기를 기준으로 한 기수에 약 천여명의 지원자들이 있습니다. 평균적으로
합격에 대한 경쟁률은 5:1 에서 7:1정도가 됩니다. 모든 학생들을 평가하는데 매우
어려움이 따릅니다. 4기 모집이 한창인 어제도 멘토들과 오피스 직원분들은 각자
생업의 업무를 마치고 피곤한 몸을 이끌고서라도 넥타이를 풀어헤치고 한명의 서류라도
더 보려고 노력했습니다. 각자의 평가가 불균형하게 이뤄질까봐 평가기준을 명확히
세우고 이를 공유하며 서류 평가를 무사히 마쳤습니다.
개인적으로 저만해도 약 150여명의 서류를 읽었으며 평가를 마쳤습니다.
우리가 평가를 할때 가장 많이 이야기 했던 것은 서로의 기준이 다를까봐 이야기한
"난 이정도면 이 점수를 줄 수 있다고 생각한다. 여러분은 어떠십니까?"에 대한
이야기 였습니다.
물론 더욱 좋은 평가 방안을 생각하기 위해 매 기수마다 수많은 회의를 거치고,
밤새 멘토들끼리 워크샵을 진행하기도 합니다.
- 다만 우리나라는 토익시험에도 유형을 만들고 영어 한마디 못해도 만점을 받는
나라입니다. 공개한 평가 기준이 싸구려 입시경쟁을 유도할 우려에 의해 기준은
공개하지 않는 것을 아직까지는 원칙으로 하고 있습니다. 다만 평가 점수에 대한 것은
지원자가 요청할 시에는 자신의 점수만을 공개하는 것을 원칙으로 하고 있습니다.
- 또한, BoB는 선발에 있어서 필기시험 및 기술면접도 진행하고 있습니다.
최대한 많은 학생을 만나고 공정하게 평가하기 위해 생업도 포기하고 주말도 포기하고
가족도 포기하고 불철주야 노력하고 있습니다. 더 좋은 선발이 될 수 있도록 많은
노력을 기울이겠습니다.
3. 정보보호 교육 시장에 악영향을 미친다.
- 정보보호 교육 시장은 보안전문가가 유망직종으로 떠오르면서 많은 관심을 갖기
시작했습니다. 그런데 사실 정보보호시장은 산업구조를 살펴보면 필요한 인력은 많은데
그만큼의 이윤을 내지 못하고 있는 실정입니다.
이는 산업구조가 약한 국내 소프트웨어 및 기술력 기반 산업의 구조적 문제를 해결하기
위해 정부가 뛰어들어 시장을 저해하고 있다는 우려에서 시작한 내용입니다.
- 대한민국은 자유경제의 나라이고 시장에서의 자율경쟁이 경제의 근간을 이뤄야하는
나라입니다. 그런데 정보보호의 우수한 인력을 국가가 나서서 교육을 하고 이에 대한
시장성을 말살한다는 우려는 충분히 공감이 가는 내용입니다.
- 다만, 정직한 정보보호 교육 시장을 형성하려는 움직임 대신에 최근에 일부 몰지각한
행태를 보이는 정보보호 교육기관들의 아우성에 BoB는 대답할 의무가 없다고 생각합니다.
- BoB는 이러한 교육시장 형성에 불씨를 당기기 위한 프로그램입니다. 영원히 시장을
저해하고자 하는 목적이 아닌 단기간 시장에 악영향을 미치더라도 이 영향이 훗날 시장의
큰 향상을 위해 반드시 필요하다고 생각하는 부분입니다. 이는 보안의 중요성을 단지
취업이나 학업의 연장선으로 생각하지 않고 새로운 ICT세상을 살아갈 학생들의
더 큰 물을 위함입니다. 정보보호에 대한 산업구조를 강하게 만드는 것은 우리가 해야할
몫이 아니라 자라나는 이 친구들이 만들어갈 세상이라고 생각합니다.
방아쇠가 없으면 포탄은 날아가지 않습니다.
끝으로 흔히들 어린아이를 키우는 것을 교육이라고 일컫습니다.
우리는 아이가 자라날 때 말을 하는 법을 알려주거나, 걷는 법을 알려주지 않습니다.
그저 아이가 스스로 자라날 수 있도록 옆에서 보살필 뿐입니다.
네트워크가 국가간의 경계를 허물고 SNS를 통해 퍼진 의견이
여론을 넘어 누군가의 사상으로 자리 잡는 새로운 세상을
우리 세대는 겪어본적도 없고 어떤 세상이 될지 알 수도 없습니다.
BoB는 새로운 세대들에게 무엇을 해야한다고 이야기할 수 없습니다.
우리는 그런 세상을 살아본적이 없기 때문입니다.
BoB 멘토로서 이렇게 변명아닌 변명을 하는 것은
프랙 매거진의 말을 인용하면, (http://phrack.org/issues/7/3.html)
"기껏해야 공무원들의 미친 실적싸움이나, 정신병자들의 헛짓거리,
그것도 아니라면 관심에 목마른 불쌍한 정치인들의 싸구려 쇼가 되지 않도록 하는 것"
아직까지는 그렇게 변명하고자 합니다.
감사합니다.
'병맛 잡설' 카테고리의 다른 글
10회 codeengn 안드로이드 후킹 소스코드. (1) | 2014.08.21 |
---|---|
해킹을 "시연"하다 (2) | 2014.02.15 |
Android 환경에서 후킹을 통한 SSL 스트립 방법 (0) | 2013.11.05 |
KISA 신규 취약점 신고 포상제 후기. (1) | 2012.12.14 |
널 페이지 할당과 버그 클래스 (0) | 2012.06.20 |