본문 바로가기

안랩人side/안랩!안랩인!

[인터뷰] 보안을 컨설팅하는 정보보호 컨설턴트 세 분을 만나다.

[안랩 대학생 기자단 인터뷰 1탄] 정보보호 컨설턴트 

안랩의 정보보호 컨설턴트 3人

(왼쪽부터 이장우 컨설턴트, 이강석 팀장, 곽지은 컨설턴트)


[Q] 정보보호 컨설팅을 진행하는 프로세스가 어떻게 되고, 컨설턴트로서 가장 많이 하는 업무는 무엇이 있나요?

가장 기본적으로 세 단계로 정의할 수 있는데, 현황파악, 위험분석/대책수립, 마스터플랜이 있습니다. 그 중 대책수립이라는 것은 전술에 해당하는 것으로, 당장 지적된 위험에 대해서 어떻게 해야 하나?”에 관한 질문에 답변을 만들어 내는 것입니다. 마지막 단계인 마스터플랜의 경우에는 대책수립과 다르게 좀 더 장기적인 형태로 먼 계획까지 세우게 됩니다. 대책수립이 전술이라면 마스터 플랜은 전략이라고 볼 수 있죠.

정보보호 컨설턴트로 가장 많이 하는 업무는 인터뷰와 업무작성이라고 말할 수 있습니다. 컨설팅 하는 대상에 따라서 많이 하는 업무가 조금씩 바뀌기도 합니다. 기술을 상대하는 경우에는 인터뷰가 비교적 적지만 관리 컨설팅의 경우에는 인터뷰가 가장 많고, 기계를 진단하는 컨설팅의 경우에는 모의해킹 시도가 있을 수 있어요. 이처럼 컨설팅의 대상에 따라 차이점이 존재합니다. 그러나 문서작성의 경우에는 정보보안 컨설턴트라면 공통적으로 가장 많이 하는 대표적 업무입니다.

업무 종류로 본다면 법적인 요구에 따라 컨설팅해주는 의뢰가 가장 많이 들어옵니다. 기반보호법에 부합하는 취약성 진단, 기반 보호 시설 취약점 진단 같은 업무를 많이 하게 되죠. 정보보호 관리체계(ISMS)을 인증 받기 위해서 컨설팅을 의뢰하는 기업도 많아요. 왜냐하면 기업의 수준이 특정수치에 도달하게 되면 꼭 받아야 하는 것이기 때문이죠.

 

[Q] 정보보호 컨설팅의뢰를 받으시고 완료까지 걸리는 기간은 어떻게 되나요?

과제성 프로젝트의 경우에는 보통은 3개월에서 길면 1년 넘게 천차만별 입니다.


[Q] 정보보호 컨설팅의뢰 중 가장 많이 걸리는 것은 무엇인가요?

조직이나 대상의 규모가 클수록 컨설팅에 소요되는 시간이 길어집니다. 진단해야 할 대상이 많아지고 그 대상 하나하나의 크기가 커지기 때문에 시간이 오래 걸립니다. 또는 사업의 내용이 복합적일 경우에도 시간이 많이 소요됩니다. 예를 들어 인증에 대한 종류나 가짓수가 다양한데 모든 인증을 받아 달라고 요구하게 되면 그 역시 인증을 받기 위한 대상들이 늘어나기 때문에 상당한 시간이 소요됩니다.

새로운 신규 기술에 대한 취약점을 연구하는 기간도 필요하기 때문에 컨설팅 완료에 소요되는 시간이 증가하게 됩니다.


[Q] 사람마다 얼굴이 다르듯, 기업도 기업마다 컨설팅 해주는 게 다 다른가요?

당연한 이야기입니다. 기업마다 가지고 있는 취약점이 달라서 컨설팅 역시 다를 수 밖에 없습니다. 기업은 복합적 요소를 가지고 있어요 기업문화, 사용할 수 있는 비용 한도, 조직의 맨파워, 자본은 많지만 인력이 없는 등 기업마다 복합적인 요소가 다르기 때문에, 기업의 복합적 요소와 환경에 고려해 솔루션은 달라져야 하기 때문이죠.

 

[Q] 지금까지 정보보호 컨설턴트는 기업에 대하여 현황을 분석하는 역할이라 한정 지어 생각해왔습니다. 그러나 말씀을 들어보니, 조율, 설득 등 고객과의 소통이 정보보호 컨설턴트에게 중요한 요소라는 생각이 듭니다

 소통은 굉장히 중요합니다.  ‘Consulting(컨설팅)’의 어원은 ‘Counseling(카운슬링)’과 같다고 합니다. 기본적으로 상담을 해주는 것입니다. 상담은 물리적인 문제가 아니라 심리적인 문제입니다. 따라서 고객의 심리적인 문제를 소통을 통해 풀어주는 것이 중요합니다



인터뷰 중인 안랩 대학생 기자단


 

[Q] 정보보안 컨설턴트로 정보보안 컨설팅의 미래전망은?

 결론부터 말씀드리면 정보보안 컨설팅의 미래전망은 밝다고 말씀드릴 수 있어요. 점차 보안의 중요성 때문에 보안조직이 확대되면서 보안인력이 늘어나고 이에 따른 보안컨설팅이 필요하게 되는 겁니다대학교 내에서도 보안학과는 전체적인 학과보다는 수는 적지만 성장 중입니다


[Q] 정보보호 컨설턴트가 되기 위해 필요한 역량과 준비해야 할 것에는 어떤 것이 있나요?

 빠르게 보안동아리에 가입하는 것을 추천해 드려요. 보안 관련 동아리는 지역연합으로 이루어진 동아리와 대학교 내에서도 운영되는 동아리 등 정말 많이 존재해요. 보안업계에서 실전 경험이 가장 중요해요, 그래서 학생들이 쉽게 접할 수 있는 실전경험은 역시  동아리에 가입하는 거겠죠. 동아리에 가입하셔서 대회 또는 보안 및 관련 프로젝트를 진행해보는 겁니다. 동아리가 힘들다면 학교 내의 보안프로젝트를 진행하거나 학교 방화벽 관련 프로젝트를 시작해보는 것도 좋아요.

 


 <