[인터뷰] 보안을 컨설팅하는 정보보호 컨설턴트 세 분을 만나다.

[안랩 대학생 기자단 인터뷰 1탄] 정보보호 컨설턴트 

안랩의 정보보호 컨설턴트 3人

(왼쪽부터 이장우 컨설턴트, 이강석 팀장, 곽지은 컨설턴트)


[Q] 정보보호 컨설팅을 진행하는 프로세스가 어떻게 되고, 컨설턴트로서 가장 많이 하는 업무는 무엇이 있나요?

가장 기본적으로 세 단계로 정의할 수 있는데, 현황파악, 위험분석/대책수립, 마스터플랜이 있습니다. 그 중 대책수립이라는 것은 전술에 해당하는 것으로, 당장 지적된 위험에 대해서 어떻게 해야 하나?”에 관한 질문에 답변을 만들어 내는 것입니다. 마지막 단계인 마스터플랜의 경우에는 대책수립과 다르게 좀 더 장기적인 형태로 먼 계획까지 세우게 됩니다. 대책수립이 전술이라면 마스터 플랜은 전략이라고 볼 수 있죠.

정보보호 컨설턴트로 가장 많이 하는 업무는 인터뷰와 업무작성이라고 말할 수 있습니다. 컨설팅 하는 대상에 따라서 많이 하는 업무가 조금씩 바뀌기도 합니다. 기술을 상대하는 경우에는 인터뷰가 비교적 적지만 관리 컨설팅의 경우에는 인터뷰가 가장 많고, 기계를 진단하는 컨설팅의 경우에는 모의해킹 시도가 있을 수 있어요. 이처럼 컨설팅의 대상에 따라 차이점이 존재합니다. 그러나 문서작성의 경우에는 정보보안 컨설턴트라면 공통적으로 가장 많이 하는 대표적 업무입니다.

업무 종류로 본다면 법적인 요구에 따라 컨설팅해주는 의뢰가 가장 많이 들어옵니다. 기반보호법에 부합하는 취약성 진단, 기반 보호 시설 취약점 진단 같은 업무를 많이 하게 되죠. 정보보호 관리체계(ISMS)을 인증 받기 위해서 컨설팅을 의뢰하는 기업도 많아요. 왜냐하면 기업의 수준이 특정수치에 도달하게 되면 꼭 받아야 하는 것이기 때문이죠.

 

[Q] 정보보호 컨설팅의뢰를 받으시고 완료까지 걸리는 기간은 어떻게 되나요?

과제성 프로젝트의 경우에는 보통은 3개월에서 길면 1년 넘게 천차만별 입니다.


[Q] 정보보호 컨설팅의뢰 중 가장 많이 걸리는 것은 무엇인가요?

조직이나 대상의 규모가 클수록 컨설팅에 소요되는 시간이 길어집니다. 진단해야 할 대상이 많아지고 그 대상 하나하나의 크기가 커지기 때문에 시간이 오래 걸립니다. 또는 사업의 내용이 복합적일 경우에도 시간이 많이 소요됩니다. 예를 들어 인증에 대한 종류나 가짓수가 다양한데 모든 인증을 받아 달라고 요구하게 되면 그 역시 인증을 받기 위한 대상들이 늘어나기 때문에 상당한 시간이 소요됩니다.

새로운 신규 기술에 대한 취약점을 연구하는 기간도 필요하기 때문에 컨설팅 완료에 소요되는 시간이 증가하게 됩니다.


[Q] 사람마다 얼굴이 다르듯, 기업도 기업마다 컨설팅 해주는 게 다 다른가요?

당연한 이야기입니다. 기업마다 가지고 있는 취약점이 달라서 컨설팅 역시 다를 수 밖에 없습니다. 기업은 복합적 요소를 가지고 있어요 기업문화, 사용할 수 있는 비용 한도, 조직의 맨파워, 자본은 많지만 인력이 없는 등 기업마다 복합적인 요소가 다르기 때문에, 기업의 복합적 요소와 환경에 고려해 솔루션은 달라져야 하기 때문이죠.

 

[Q] 지금까지 정보보호 컨설턴트는 기업에 대하여 현황을 분석하는 역할이라 한정 지어 생각해왔습니다. 그러나 말씀을 들어보니, 조율, 설득 등 고객과의 소통이 정보보호 컨설턴트에게 중요한 요소라는 생각이 듭니다

 소통은 굉장히 중요합니다.  ‘Consulting(컨설팅)’의 어원은 ‘Counseling(카운슬링)’과 같다고 합니다. 기본적으로 상담을 해주는 것입니다. 상담은 물리적인 문제가 아니라 심리적인 문제입니다. 따라서 고객의 심리적인 문제를 소통을 통해 풀어주는 것이 중요합니다



인터뷰 중인 안랩 대학생 기자단


 

[Q] 정보보안 컨설턴트로 정보보안 컨설팅의 미래전망은?

 결론부터 말씀드리면 정보보안 컨설팅의 미래전망은 밝다고 말씀드릴 수 있어요. 점차 보안의 중요성 때문에 보안조직이 확대되면서 보안인력이 늘어나고 이에 따른 보안컨설팅이 필요하게 되는 겁니다대학교 내에서도 보안학과는 전체적인 학과보다는 수는 적지만 성장 중입니다


[Q] 정보보호 컨설턴트가 되기 위해 필요한 역량과 준비해야 할 것에는 어떤 것이 있나요?

 빠르게 보안동아리에 가입하는 것을 추천해 드려요. 보안 관련 동아리는 지역연합으로 이루어진 동아리와 대학교 내에서도 운영되는 동아리 등 정말 많이 존재해요. 보안업계에서 실전 경험이 가장 중요해요, 그래서 학생들이 쉽게 접할 수 있는 실전경험은 역시  동아리에 가입하는 거겠죠. 동아리에 가입하셔서 대회 또는 보안 및 관련 프로젝트를 진행해보는 겁니다. 동아리가 힘들다면 학교 내의 보안프로젝트를 진행하거나 학교 방화벽 관련 프로젝트를 시작해보는 것도 좋아요.

 


 <

신고

KTX 승무원에서 보안 컨설턴트로 변신한 정효진씨



수줍은 웃음을 띠며 그녀가 들어왔다. 안랩인이 된 지 고작 6개월째라 인터뷰가 민망하다며 연신 고개를 떨어뜨리던 그녀에게는 놀라운 이력이 숨겨져 있었다. KTX 승무원, 교사를 거쳐 지금은 보안 컨설턴트로 활약하는 정효진(27) 씨. 그 숨겨진 뒷이야기를 들어봤다.

정효진 씨는 대학에서 컴퓨터를 전공하면서 교사의 꿈을 품고 전자계산 교직 이수를 했다. 보람되고 안정된 직장을 얻기 위해 6개월 가량을 노량진에서 고군분투했지만 결과는 낙방. ‘한 번만 더’라는 마음을 가지고 있던 그와는 달리 완강하셨던 어머니는 종이 한 장을 건네셨다. 바로 KTX 공개 채용 광고. 대한항공 승무원인 언니를 보며 승무원에 대한 막연한 환상을 품어왔던 그는 KTX 승무원에 도전장을 냈고, 높은 경쟁률을 뚫고 ‘레일 위의 꽃’이 되었다.

씨저널 충청권 잡지 표지 모델로 나왔던 효진씨.

2년 동안 근무하며 그는 잊지 못할 많은 경험을 얻었다. 처음에는 우리나라 지방의 도시가 어디에 자리하고 있는지도 잘 알지 못했다던 정효진 씨. 그런 그가 이제는 각 지방 고유의 맛에 대해 늘어놓을 정도가 됐다. 


“동대구에는 닭똥집이 유명하고요. 순대를 먹더라도 찍어먹는 게 지역마다 달라요. 구내식당도 지방 손맛을 그대로 느낄 수 있어서 좋았고, 아! 특히 광주가 인심이 후했어요.” 음식 이야기가 나오자, 발갛게 상기된 얼굴로 신나게 설명하는 그에게서 수줍던 웃음 대신 활기가 묻어났다.




KTX 승무원들이 ‘비정규직 파업’을 시작할 즈음 정효진 씨는 미련 없이 승무원 일을 그만뒀다
. 대신 학창 시절 품었던 교사의 꿈이 그 자리를 메웠다. 사립 고등학교에 올린 그의 이력서를 보고 한 여고에서 기간제 교사 제의를 해온 것이다.

다른 곳도 취직이 됐지만 결국 교사를 선택했다. 처음에는 타오르는 열정을 가지고 반항심 많은 아이들까지 끌어안고자 했지만 쉽지 않았다. 그래도 학생들이 성장하는 모습을 바라보며 보람을 느꼈다. 보람을 느끼는 만큼 그가 자신에게 느끼는 부족함도 커져갔다. 학생들 중에는 IT 분야에 대해 꿈을 가지고 있는 아이들이 많아 여러 질문들을 하곤 했다. 프로그램 개발, 컨설팅 등 많은 것이 있었지만, 정작 속 시원히 말해줄 수 있는 것이 별로 없어 속상했다. 그 중 하나라도 직접 경험해 보고 싶어 ‘IT의 꽃’이라는 보안의 세계에 뛰어들었다.

KTX 승무원과 교사. 이 두 가지가 보안 컨설턴트와 연관되지 않는다? NO! 이 세 가지 직업의 공통점은 ‘사람을 대하는 일’이라는 것이다. 승무원은 외국인, 노인, 어린이 등 다양한 고객들에 대한 응대가 빈번하고 다양한 상황에 매끄럽게 대처해야 한다. 선생님도 사람을 대하기는 마찬가지다. 무섭다는 요즘 아이들에게 인기가 많았던 그는 두루두루 많은 사람을 겪어봤으니 보안 컨설턴트로서 고객을 대하는 일이 자연스러웠을 것이다.

이런 장점을 내세워 보안 컨설턴트에 입문했지만, 보안 컨설턴트가 사람 대하는 능력만으로 할 수 있는 일은 아니다. 정효진 씨는 대학교 때의 전공을 살려 다시 공부를 시작했다. 보안에 대한 기본 지식 습득과 관련 자격증은 필수!

보안 컨설턴트는 기업 IT 인프라의 보안 취약점을 진단해 더 안전한 시스템과 네트워크를 운영하는 데 도움을 주도록 진단하는 역할을 한다. 기업은 앞으로 일어날 수 있는 해킹 위협이나 취약점을 예방하고자 정보보호 전문 회사에 있는 보안 컨설턴트에게 컨설팅을 받는다.

보안 컨설턴트는 크게 기술 컨설턴트와 관리 컨설턴트로 나눠지는데 정효진 씨는 기술 부분을 중점적으로 맡고 있다. 그녀가 주로 하는 Penetration Test(모의 테스트)는 말 그대로 침투 테스트이며, 취약점을 찾아내고자 침투 테스트를 시도해 이로 인해 발생할 수 있는 해킹 위협 및 내부 보안 사고를 예방하고 차단하기 위한 대응책을 제시하는 서비스이다.

“보안에 대한 전반적 이해가 필요하기 때문에 계속 공부 중이에요.”라고 말하는 그에게서 일에 대한 열정을 느낄 수 있었다.

정효진 씨가 생각하는 보안 컨설턴트로서의 매력은 무엇일까?
“여러 기업체가 보안 컨설팅을 받기 때문에 의료, 교육 기관 등 많은 분야를 경험해요. 또 최소한 한 달 정도 의뢰한 곳에 머무르기 때문에 많은 사람과 인맥을 쌓을 수 있어요.”
하지만 그 중 최고의 매력은 자신과 팀이 보안 시스템을 분석한 뒤, 그로 인해 의뢰한 기업의 보안 시스템이 더 나아진 모습으로 변할 때라고 한다.

“저는 이 일을 즐기고 있어요.”라고 힘주어 말하는 정효진 씨. 지쳐서 한 박자 쉬어 가고 싶을 때, 그녀의 이 말에 담긴 열정을 기억해 내길 바란다. Ahn

대학생기자 허보미 / 이화여대 국어국문학과

봉긋한 꽃망울, 스쳐지나가는 바람에도 애정 갖기.
세상에 대한 호기심을 간직한 채 글로 소통하길 꿈꾼다.


 

신고