기술 컨설팅 업무만 주로 수행하다가 일반적인 기업의 보안의 담당자, 인하우스 보안 담당자 업무를 수행하게 되니 생각보다 괴리감도 컸고 몰랐던 내용도 많고, 보안이란 산업군도 얼마나 큰지 알 수 있었다.
그 과정에서 겪은 생각이나 느낀점을 내 입장에서 서술하려고 한다. 경력이 짧기 때문에 단편적인 시각일 수 있으니 참고바란다.
인하우스 보안은 지원 조직의 성향이 짙기 때문에 일반 구성원들이 얼마나 수용하고 받아들이는지, 보안 부서의 힘이 얼마나 있는지 이와 비슷한 조건에 따라서 보안 담당자가 업무를 수행하는데 들이는 수고가 달라진다.
CISO
대부분의 보안조직의 최고 책임자는 CISO가 역할을 수행하고 있을 것이다. 그렇기 때문에 보안 담당자가 중요한 의사결정은 CISO가 결정한다고 봐도 과언이 아니다. 그렇기 때문에 CISO가 어떤 성격, 어떤 역량을 가지고 있는지도 중요하다. 단순 투자 하나를 하려고 해도 CISO가 얼마나 잘 풀어주고 예산을 얼만큼 가져올 수 있는지도 중요하기 때문이다.
그리고 CISO가 속한 부서가 어디 부서인지도 중요하다. 정보보안이 중요해서 별도 CEO직할에 CISO가 소속되어 있다면 아무래도 직접적으로 보고하기 때문에 의사결정 과정이 조금 빠를 것 같다. 직할이 아니라면 각 회사의 조직 수준에 따라 전사에 1~2개 팀으로만 구성되어 있을 수 있거나 매우 큰 곳이라면 각 사업무마다 담당하는 보안 부서가 있을 수도 있고 수준도 전부 다를 수 있다.
만약 또 담당자 면접을 본다고 하면 사전에 해당 팀의 팀장, CISO의 성향은 무조건 확인하고 조직도도 한 번 볼 것 같다.
BM
모든 기업은 비즈니스 활동으로 이익을 추구한다. 따라서 주로 전념하고 있는 비즈니스 활동이 있다. (사기업이 아닌 공기업이나 재단 등은 예외가 될 수 있지만) 제조, IT서비스, 금융, 유통 등 여러 형태로 서비스나 상품을 제공하고 이익을 실현하고 있다. 그렇다면 그 행위에서 보안은 어떤 입지를 가질까?
보안이 주가 되는 회사는 전문보안업체뿐이고 이 업체들의 인하우스 보안 담당자도 마찬가지 일것이다. 비즈니스를 위해서는 어느 수준에서는 타협이 가능해야 한다. 그 수준은 비즈니스 모델과 법(컴플라이언스)에 따라서 결정된다. 제조업 이나 금융의 경우, 금융 서비스가 보안 때문에 중단된다? 그 이후의 일들을 생각하기가 싫어진다.. 제조의 경우 생산 라인이 중단되어 라인이 멈춘다.? 역시 마찬가지다..
물론 다른 업종들도 서비스가 중단되면 타격이 크겠지만 일부 업종들의 경우 이런 후폭풍이 더 큰 곳이 있다. 그런 업종에서 보안 담당자를 하기란 쉽지 않다. 법제화되어 강제하지 않는 부분이라면 수준을 타협하는 과정에서 Risk를 많이 감수하는 경우가 많다.
CIO 부서와의 관계
인프라 부서와 어떤 관계를 맺고 있는지도 중요하다. 단순 "나는 보안부서이니 보안만 한다!"라고 인하우스 보안 담당자로 가면 정말 아무것도 할 수 있는 것이 없다. 인프라 부서의 지원이 없으면 네트워크 구성도나 IP목록 하나도 받기 힘들 것이고 현재 사용하는 Public Cloud는 무엇을 쓰고 사내 업무 협업툴은 무엇을 쓰고 이런 정보들을 하나도 얻기가 힘들다. 자산 식별부터가 보틀넥으로 시작한다.
CIO부서랑은 필연적으로 싸우고 화해하고 협업하는 애증의 관계가 형성될 수 밖에 없으니 처음부터 조직대 조직으로 관계를 어떻게 잡아놨는지도 중요하다. CIO에서 하라는 대로만 하는 것은 보안 부서에서는 용납할 수 없고 무리한 수준으로 인프라를 요구하는 것도 CIO에서는 용납할 수 없기 때문에 서로 어떤 관계를 형성하고 있는지, 앞으로는 어떤 관계로 갈 것인지도 중요하다.
그 외에도 보안부서의 내부적인 팀 구조나 업무 R&R에 대해서는 다시 한 번 써보겠다.
전적으로 내 경험으로 쓰는 것이기 때문에 모든 회사가 이와 동일한 환경은 아닐 것이다.
본인은 어떤 환경인지 뭐가 더 중요한지 생각이 든다면 댓글로 남겨주는 것도 좋은 토론의 장이 될 거 같다.