엔시스의 정보보호(보안) 따라잡기

정보보호전문가를 지향하기 위해서는 어떠한 루트와 테크트리를 타야 하는지가 중요합니다. 따라서, 첫 직무를 잘 선택해야 합니다. 물론, 예외 사항이 있긴 하지만 크게 벗어나는 경우는 잘 없습니다. 따라서, 정보보호 분야에서도 어떠한 직무가 있는지를 잘 파악하여 자신의 직무 적합성과 시장에서 차지하고 있는 시장성을 고려해 첫 직무를 선택하는 것이 바람직합니다. 이번에는 정보보호 주요 직무에 대해 살펴 보도록 하겠습니다.

© proggga, 출처 Unsplash

보안관제라는 것은 기업의 정보, 기술과 같은 IT자원을 해킹, 바이러스 등의 사이버 공격으로부터 보호하기 위한 일련의 활동을 말합니다.

보안관제는 자체관제, 파견관제, 원격관제 등으로 나누어지고 국내에서는 20개 보안관제전문기업이 지정이 돼 운영이 되고 있습니다.

https://www.ksecurity.or.kr/kisis/subIndex/470.do

▶ 자체관제

기업이나 기관 스스로 관제 조직을 만들어 자체 인력으로 관제 시스템을 운영하여 관리하는 방식을 말합니다.

▶ 파견관제

일반적으로 보안관제 전문기업의 관제 전문인력을 활용하여 로컬에 파견되어 관제 시스템을 운영.관리하는 방식을 말합니다. 보안관제를 아웃소싱하는 개념인데 로컬에 상주하면서 일을 하느냐에 따라 원격관제와 대비되는 보안관제 업무 방식입니다.

▶ 원격관제

파견관제와 동일하게 보안관제 전문기업의 보안관제 전문인력을 활용하여 아웃소싱 하는데 로컬에 상주하는 것이 아닌 원격으로 관제를 하는 업무 방식을 말합니다.

모의해킹과 취약점 점검은 약간 오펜시스 시큐리티 측면이 있습니다. 하지만 그 결을 약간 달리합니다. 모의해킹은 말 그대로 자신이 해커의 관점에서 공격하는 루트를 만들어 내는 것입니다. 다양한 시나리오를 가지고 자신의 역량을 최대한 발휘하는 직무라고 하겠습니다. 생각지도 못한 공격 스킬과 시나리오를 통해 공격하는 것입니다. 물론 여기에는 2가지 전제조건이 있습니다.

취약점 점검은 각종 시스템이나 네트워크, 어플리케이션에 취약점을 점검하는 직무입니다. 해킹은 결국 취약점을 발견해 공격하는 형태로 시스템이나 네트워크 어플리케이션에 취약점이 있다면 사전에 발견해 그 취약점을 패치하는 해야만 해커의 공격으로 부터 안전하게 방어가 가능합니다. 시스템 취약점, 네트워크 취약점, 어플리케이션 취약점 등 다양한 취약점을 찾아내는 직무인데요...

특히, 주요정보통신기반시설로 지정이 돼 있다면 반드시 1년에 1번 이상을 취약점 점검을 받도록 의무화 돼 있습니다. 주요정보통기반시설로 지정되어 있는 시스템, 네트워크, 어플리케이션 등을 체크리스트 기반으로 최소한의 정보보호에 대한 취약점으로 인해 발생할 수 있는 취약점을 리스트화 해 운영관리 하고 있습니다.

침해사고대응(CERT) 업무를 하는 직무도 있지만 그리 일반적이지 않고 규모가 크거나 세분화 되어 있는 곳에서는 침해사고대응 업무만 전담으로 하는 곳도 있습니다.

보안컨설팅 직무입니다. 보안컨설팅은 일반적으로 컴플라이언스(법규 준수)에 대한 사항이 많습니다. 법률에 기본적으로 의무조치해야 하는 사항과 정보보호에 대한 다양한 경험을 컨설팅 하는 직무입니다. 주로 법률과 관리적 보안에 주로 비중을 두고 하는 업무입니다. 컨설팅은 현황을 파악하고 문제점을 찾고 그에 따른 A안, B안, C안의 솔루션(대응방안)을 제시하고 수요자로 하여금 선택 가능하도록 하는 직무입니다.

정보자산을 보호하기 위한 정보보안 체계의 구성·운영의 효율성과 보안 기준 및 절차들의 이행여부를 제3자 입장에서 독립적 · 객관적으로 제시하게 됩니다.

▶ 정보보호관리체계

정보보호에 대한 체계적인 관리를 위해 컨설팅 기업마다 각자의 컨설팅 방법론을 가지고 서비스를 제공합니다.

최근 트렌드는 컨설팅 업무에만 끝나지 않고 (ISMS, ISMS-P) 인증을 받는 최종 결과까지 포함해 컨설팅을 진행합니다.

▶ 개인정보관리체계

개인정보 보호에 대한 관리체계를 컨설팅합니다. 개인정보 라이프 사이클(Life-cycle)에 따라 컴플라이언스 리스크 해소를 위해 개인정보 보호법(일반법)과 신용정보법(특별법)에 근거하여 다양한 컨설팅을 합니다. 특히, 최근에 데이터 3법 개정과 유럽 GDPR영향으로 컨설팅의 폭이 넓어졌습니다. 마찬가지로 인증(ISMS-P) 을 받기 위한 최종 목표를 포함하여 컨설팅 합니다.

▶ 개인정보영향평가

위에 2가지는 사후적인 컨설팅이라면 개인정보영향평가는 개인정보에 특화돼 사전예방 차원에서 개인정보 보호 시스템에 대한 영향평가를 컨설팅합니다. 즉, 시스템이 구축, 운영을 계획하거나 운영되고 있는 시스템에 대해 중대한 변화가 있을 때 개인정보에 어떠한 영향을 끼칠 것인지를 사전에 평가하는 컨설팅이라 하겠습니다.

공공기관은 고유식별, 민감정보 (각각 5만명) , 연동,연계 시스템 (정보주체 50만명), 정보주체 운영수 100만명 이상일 때에는 의무조건에 해당이 돼 반드시 영향평가를 진행해야만 합니다. 민간영역에서는 권고사항입니다. 개인정보 보호 중요성이 커지고 있기에 민간영역도 의무화를 배제할 수 없습니다.

그외에도 다양한 형태의 보안컨설팅이 이루어지고 있습니다.

보안 제품 개발자 직무를 말합니다. 정보보안에는 다양한 솔루션이 존재합니다. 방화벽부터 시작해 IDS, IPS, ESM, UTM, DDOS, DRM, EDR, SIEM, 위협인텔리전스, ASM까지 정보보호 이슈가 제기될 때마다 개념 정의를 하고 이에 대응하는 솔루션을 개발해 제품화합니다.

따라서, 일반적인 개발자와 조금 결을 달리겠죠.. 정보보안에 대해 어느정도 알고 있어야 하고 성능 구현에 있어서도 기술적 세부사항도 이해를 하고 있어야 합니다. 제품 개발에 주력하고 있기 때문에 프론트엔드와 백엔드 그리고 UI/UX까지 개발에 관련된 전반적인 사항을 알면 좋습니다.

정보보호 제품을 필요로 하는 곳에 구축, 운영, 유지보수하는 직무를 말합니다. 각종 다양한 정보보호 제품을 접하게 되고, 정보보호 제품에 대한 영업이 이루어지게 되면 제품을 실제 사이트에서 구죽하고 유지보수까지 하게 됩니다.

자신이 구축한 사이트는 대부분 자신이 유지보수 하는 경우가 일반적이며 보안솔루션의 제품에 대한 사용설명 및 다양한 고객 접점에서 트러블 슈팅을 담당합니다. BMT 테스트를 하면서 보안 솔루션 성능과 어떤 방식으로 구축하는 것이 바람직하며 장애에 대비하기 위해 인라인 방식이 나은지 미러링 방식이 나은지 다양한 관점에서 구축 방법론을 제시하기도 합니다.

구축하고 나면 자신이 관리하고 있는 사이트에 대한 정기점검 및 유지보수 등 현장 실무관점에서 다양한 경험을 사이트에서 얻습니다.

▶ 자사제품

자신의 기업에서 직접 개발한 보안 솔루션을 말합니다. 자사에서 제품을 개발했기 때문에 많은 정보를 알고 있으며 문제 발생 시 신속하고 빠른 대응이 가능합니다.

▶ 타사제품

타사에서 보안 솔루션을 개발한 제품을 구축, 유지보수 하는 경우입니다. 보안제품만 전문적으로 개발하고 여러 곳에서 제품을 판매하고 유지보수 하는 형태를 가지는 구조입니다. 문제 발생 시 1차적인 대응과 2차 대응에 캡이 발생하는 경우가 일부 있지만 다양한 글로벌 기업의 정보보안 솔루션을 접할 수 있어 경험이 쌓이다 보면 제품에 대한 성능 평가를 어느정도 할 수 있습니다.

조직에서 정보보호 업무를 담당하고 직무를 말합니다. 기업이나 기관에서 조직의 일부로 정보자산에 대한 보호와 개인정보 보호에 대해 담당하는 역할을 합니다. 인사담당, 회계담당과 같은 정보보호 담당을 말하는 것이죠..

큰 규모의 조직일수록 정보보호 업무도 세부업무로 나누어 세부적으로 담당자를 지정해 운영하지만 조직의 규모가 작을수록 정보보호 부서가 소수로 이루어지고 정보보호 전문기업에 아웃소싱을 하기도 합니다. 아주 작은 규모의 스타트업 같은 경우에는 정보보호 담당자와 개인정보 담당자가 없는 경우도 있습니다.

있다 하더라도 겸임하거나 부수적인 업무로 인해 업무 과중이나 소홀로 정보보호 사고나 개인정보 유출 사고로 이어지고 있는 것이 현실입니다.

조직에서 정보보호의 역할과 담당부서로 여러가지 활동을 하게 되고, 최근 정보보호 공시제도 의무화에 따라 예산과 인력을 어느정도 운영하고 있는지를 공시하도록 해 조직의 정보보호에 대한 투명성을 확보하도록 하고 있는 추세입니다.

최근 개인정보 보호법이 더욱 강화되고 있고, 유럽 GDPR시행과 미국의 연방법 중 개인정보 보호에 대한 일반법이 만들어지는 등 (주에서는 캘리포니아주의 CCPA 등 이미 시행) 개인정보 보호에 대한 필요성이 더욱 가시화 되고 있습니다.

어제 뉴스에서는 미국내 틱톡 사용자가 증가함에 따라 미국 하원과 상원에서 모두 틱톡 사용을 금지하는 법안이 발의가 됐습니다. 이유는 미국인들의 정보를 중국에서 수집할 우려가 있다는 사실인데요. 미중 갈등이 일어날 것을 알면서 법안까지 발의한다는 것은 그만큼 사안이 중대하다 하겠습니다.

이렇듯 개인정보에 대해 이제는 보호뿐만 아니라 개인정보를 활용하는 부분에 대해서는 대응을 해야만 합니다. 개인정보 보호 직무는 관리적인 영역과 기술적인 영역으로 나누어집니다.

▶ 관리적 영역

대부분 개인정보 보호법에 근거한 법적 의무조치 사항을 준수하게 됩니다. 따라서 법률적 지식이 필요로 하며 조직의 규모가 큰 곳에서는 법무팀이 담당하기도 하고 준법 감시팀에서 담당하기도 합니다. 그 밖의 조직에서는 행정업무 영역으로 구분하여 총무팀이나 경영지원팀 등 다양한 관리부서에 개인정보 업무를 담당합니다.

또는, 전산부서나 정보통신부서 정보보호부서 혹은 개인정보 부서에서 담당을 하는 등 조직 규모와 상황에 맞게관리적인 부분을 담당합니다.

▶ 기술적 영역

정보주체의 개인정보를 보호해야 하는 직무이기 때문에 기술적 조치가 필요합니다. 이러한 기술적 조치는 반드시 전문성을 가진 부서에서 진행해야만 합니다. 따라서, 전산, 정보통신 관련 부서나 팀에서 개인정보 보호에 대한 솔루션을 운영 관리합니다.

개인정보 보호는 일반적인 정보보호 시스템과 겹치는 부분이 많이 있어 정보보호 부서에서 개인정보 보호까지 모두 총괄해 담당하는 경우도 있습니다.

그 밖에 포렌식 및 침해사고대응 직무 등이 있으나 규모가 큰 곳이거나 그 시장과 범위가 한정적이며 특수한 곳에서 이루어지는 직무입니다. 또한, 보안 솔루션 판매를 위한 프리세일인 기술 영업도 있겠구요...다양한 직무가 있지만 큰 틀에서 정리를 해 보았습니다.

CISO나 CPO가 되고자 한다면 다양한 직무경험이 필요하며 전문성을 가진 사람이 CISO나 CPO가 되어야 합니다. 아직 국내에서는 이러한 제도적 미비점이 보이긴 하지만 CISO에 대한 부분은 법률 개정 등으로 많이 발전한 상태이며 CPO에 대한 부분도 앞으로 부족한 부분이 법률 개정을 통해 제도적 보완이 되리라 생각이 됩니다.