[보안직업군 프로젝트①] 보안 컨설턴트

[보안멘토]

 “보안기술 기반으로 경영 흐름과 융합보안 트렌드를 읽어야”    

[인터뷰] 이 상 훈 이글루시큐리티 컨설팅사업부2팀 팀장

[보안뉴스 임종민·민세아 객원기자] ‘보안 컨설턴트’라고 들어보셨나요? 일반적으로 ‘컨설턴트’란 전문적 지식과 현장 경험을 통해 의뢰인의 문제를 분석하여 현재보다 나은 미래의 모형을 제시해 문제 해결을 도와주는 ‘기업형 의사’로 불리는 직업입니다.

아직은 일반인들에게 생소한 ‘보안 컨설턴트’ 역시 회사 내부의 취약점을 발견해 그에 맞는 보안대책을 설계하고, 각종 보안위협으로부터 기업을 보호하는 기업보안 강화에 있어 꼭 필요한 직업군이라고 할 수 있죠.   

보안직업군 프로젝트의 첫 번째 인터뷰 대상자는 보안업계에서 14년 가까이 ‘보안 컨설턴트’라는 이름으로 활동해온 이글루시큐리티 컨설팅사업부2팀 이상훈 팀장입니다. 이 팀장은 기업의 보안문제에 대해 의뢰를 받아 고객의 요구조건을 단시간에 분석 및 파악해 문제 해결을 도와주는 역할을 맡고 있습니다.

그럼 지금부터 이상훈 팀장과의 인터뷰 내용을 바탕으로 기업의 정보보안 설계를 담당하고 있는 ‘보안 컨설턴트’에 대해 본격적으로 알아보겠습니다.

보안 컨설턴트로서 갖추어야 할 기본능력은?

보안 컨설턴트가 갖추어야 될 중요한 능력은 크게 세 가지입니다. 첫 번째는 경영진의 마인드를 가지고, 경영의 흐름을 읽을 수 있는 능력입니다. 두 번째는 관리체계 기반, 정보시스템 기반, 공격에 대한 대응방어 기술 등의 보안기술적인 측면입니다. 세 번째는 융합보안  트렌드를 읽어낼 수 있는 안목이라고 할 수 있습니다. 어찌 보면 보안 분야에 있어 총망라된 능력을 요구하는 것이나 마찬가지죠. 

이러한 3가지 능력 외에 현재 문제점과 현 상황을 판단할 수 있는 ‘관찰력’과 상황을 해결하기 위한 ‘분석력’, 분석된 결과를 고객이 이해할 수 있게 정리하는 ‘문서작성 능력’, 그리고 마지막으로 결과 발표를 위한 ‘PT(Presentation)’ 능력이 요구됩니다.

보안 컨설턴트를 꿈꾸는 취업준비생들은 어떤 것을 준비해야 될까요? 

무엇보다 시스템 OS, 데이터베이스, 정보 시스템 동작 운영원리 등 정보시스템에 대한 이해가 중요합니다. 학교에서 배우는 이론적인 운영체제도 필요하지만 실제 상용화된 운영체제나 정보 시스템에 대한 이해가 요구됩니다. 이러한 능력이 취업과 연계되기 위해서는 국내 기업, 공공기관 등에서 사용하는 실제 운영체제나 솔루션이 어떤 아키텍처로 구성되어 있는지 습득하는 것도 큰 도움이 됩니다. 

또한, 결과 보고 시 필요한 문서작성 능력과 PT(Presentation) 능력을 대학 졸업 때까지 최대한 키워놓을 필요가 있죠.

그리고 자격증이 있으면 취직시 도움이 될 수 있겠지만 자격증이 맹목적인 평가요소가 될 수는 없습니다. 자격증 취득으로 인해 기본적 지식은 쌓이겠지만 업무상에서 그것이 만능은 아니기 때문입니다. 하지만, 만약 자격증을 고려한다면 CISSP 등을 추천합니다.

보안 컨설턴트에게 스펙, 학벌 등이 중요한 요소가 되나요? 

학벌이나 스펙보다는 고객과 조직에서 융합할 수 있는 능력이 무엇보다 중요합니다. 하고자 하는 목표에 대해 정확히 분석하고, 이와 관련된 아웃풋을 내기 위한 능력이 필요하기 때문에 일반 회사에서 필요한 스펙보다는 관련 지식을 쌓는 것이 더욱 중요합니다. 실제 업무 수행에 있어 스펙이 업무능력을 좌우할 확률은 낮습니다. 개인적으로는 업무에 대해 명확한 목적과 사명감을 갖는 것이 가장 중요하고, 이를 회사의 비전과 잘 조합할 수 있는 사람이 더 필요하지 않을까 싶네요. 

보안 컨설턴트로서 필요한 인성 네 가지?

문제 해결을 위한 ‘끈기’, 자신의 감정을 제어할 수 있는 ‘침착성’, 상황을 객관적으로 읽을 수 있는 ‘냉철함’, 그리고 기밀 유지를 위한 ‘윤리의식‘ 등이 필요합니다. 네 가지를 종합적으로 묶으면 가장 중요한 것은 자기 컨트롤입니다.

보안 컨설턴트는 고객을 상대하는 일인 만큼 자기 컨트롤이 되지 않으면 고객으로부터 불만이 생기게 되고, 스스로 컨트롤이 되지 않는다면 회사에서도 더 이상 역할을 맡길 수 없는 상황이 발생합니다. ‘욱’하는 성질을 다스리지 못하게 되면 객관적인 분석 내용이 아닌 자기 주관과 감정에 의한 결과가 도출될 수 있기 때문에 제일 경계해야 하죠.

 ▲ 이글루시큐리티 컨설팅사업부2팀의 평소 업무 모습

보안 컨설턴트라는 직업상의 장점과 단점은?

정보보호관련 사고 및 신규 이슈에 따른 패러다임 등을 실제 업무상에 빨리 적용할 수 있고, 그만큼 빨리 터득할 수 있죠. 이로 인해 보다 쉽게 고객을 리딩 할 수 있는 장점이 있습니다.

하지만 문제 해결과 결과 도출에 대한 중압감, 그리고 매번 바뀌는 팀과의 협업 문제는 직업상의 단점이 될 수 있습니다. 또한, 이 분야는 평생 자기개발을 위해 힘써야 하는 분야입니다. 이로 인해 자기개발을 즐길 수 있는 사람이 일도 즐겁게 할 수 있을 거라고 생각됩니다.

보안 컨설팅의 업무 프로세스가 궁금합니다! 

보안 컨설턴트들의 역량 강화를 위해서 정보보호기술, 커뮤니케이션, PT(Presentation), Readness 능력 등을 향상시키는 교육에도 많은 신경을 쓰고 있습니다.

실제 업무에서는 고객으로부터 제안요청서(RFP)를 받아서 분석한 후, 제안서(Proposal)를 제출해 프로젝트를 수주함으로써 컨설팅이 시작됩니다.

업무 프로세스 상의 중요도는 다음과 같습니다. 

첫 번째, (P)eople for Information Security(40%)

두 번째, (P)rocess of Information Security(40%)

세 번째, (T)echnologies for Information Security(20%)

결국 사람, 체계 또는 과정, 그리고 기술 순으로 보안 컨설팅이 이루어지는 것이죠. 학생들이 생각하는 기술적인 부분에만 초점을 맞추기보다는 위와 같이 사람 관리, 보안 프로세스 구축 측면에 비중을 많이 두어야 됩니다.

예를 들면 정보보안 사고는 대부분 내부자 소행으로 발생하는 경우가 많기 때문에 임직원, 보안/정보시스템 운영 및 책임자, 외주업체에 대한 접근통제 관리가 매우 중요하다는 겁니다.

실제 업무는 Manager Level과 Acting Level로 업무가 분류됩니다. 우선 Manager Level에서는 사업계획 수립을 위해 고객과 커뮤니케이션 하는 사전영업(Pre-Sales) 업무와 개인정보, 정보보호, 물리적 보안, 솔루션 등에 대한 정보를 고객에게 전달하는 역할을 수행하게 됩니다. 말하자면 Manager Level은 영업 부문과 연계해 계약을 수주하고, 컨설턴트의 스케쥴 관리를 담당하는 역할이라고 할 수 있죠. 

Acting Level에서는 관리적 컨설팅과 기술적 컨설팅으로 다시 나눠집니다. 관리적 컨설팅(Administrative Consulting)이란 ISMS, PIMS, ISO 27001, BS 10012 등의 통제모델 및 인증체계를 기반으로 컨설팅 하는 것으로, 이를 바탕으로 통제평가 보고서를 작성해 위험평가를 하게 됩니다. 기술적 컨설팅(Technical Consulting)에서는 모의해킹(Penetration test), 보안취약점(Vulnerability) 진단 등의 업무를 수행하게 됩니다.

향후 정보보안 분야의 주요 이슈에 대해 예상한다면?

유비쿼터스나 융합보안에 홈 시큐리티가 결합된 방향이 이슈가 될 것으로 봅니다. 홈 네트워크 활성화로 인해 기업내 해킹 사고가 가정으로까지 확대될 것이라고 예상되기 때문이죠. 이에 대해 점차적으로 준비를 해야 됩니다. 이와 함께 개인정보보호 분야는 계속 이슈가 될 것 같습니다.

정보보안 분야에 있어 국가적인 지원이 필요한 부분이 있다면?

이번 기획처럼 보안관련 직업군에 대한 소개와 홍보가 많이 이루어졌으면 좋겠네요. 특히, 보안 컨설턴트가 정보기관 및 산학단체, 민간기업을 통틀어서 매우 중요한 역할을 하고 있다는 것을 알아줬으면 좋겠습니다.

특히, 금융권에만 해당되는 보안인력 법적 배치비율을 전 산업에 확대하는 법적인 가이드가 필요하고, 각종 보안사고에 대한 효과 및 영향 측면뿐만 아니라 실질적으로 종사하는 보안인력에 대한 조명이 더욱 활발해져야 할 것 같습니다.

보안 컨설턴트를 목표로 열심히 준비하고 있는 취업준비생들에게 바라는 점이 있다면?

앞서 언급했다시피 커뮤니케이션 스킬을 위한 발표, 프레젠테이션, 보고서작성 능력을 열심히 키우고, 정보보안관련 지식, 기본적인 회화가 가능한 영어실력 정도는 갖추었으면 합니다.

그리고 경영의 흐름을 읽을 수 있는 마인드나 기법, 공격에 대한 대응방어 기술, 융합보안 트렌드를 읽어내는 능력 향상을 위해 노력해야 합니다. 더불어 끈기와 침착성, 냉철함, 자기  감정을 제어할 수 있는 능력과 상황을 객관적으로 리딩 할 수 있는 능력, 그리고 윤리의식을 지닐 수 있도록 많은 노력을 기울였으면 좋겠습니다.

*임종민·민세아 객원기자의 추천자료- 좋은 컨설턴트가 되는 24가지 방법

http://blog.naver.com/limjongmin15/40187034884

[임종민(ljm4078@gmail.com) / 민세아(msa0309@gmail.com) 객원기자]

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알·기·사(알기쉬운 정보보안기사.산업기사(필기편,실기편))