보안 컨설팅 업무 회고

작년 8월 개발 직무로 다니고 있던 회사를 퇴사한 후, 올해 3월에 보안 컨설팅이라는 업종으로 직무를 전환하여 새로운 회사에 입사하였다. 올해 3월에 "퇴사 후 6개월 간의 회고록"이라는 입사를 하고 나서 이러한 일을 할 것 같다라고 적으면서 거의 한탄만 늘어놓은 글을 작성한 적이 있었는데, 생각했던 것보다 일이 재밌기도 하고 많은 것을 배워서 첫 프로젝트 투입 후 두달 간의 기록을 남겨 놓고자 글을 쓴다.

 

퇴사 후 6개월 간의 회고록

위의 글에서는 쉬는 동안 ISMS 인증과 같은 보안 컨설팅에 대해 많은 공부를 한 것처럼 적었는데, 실제 일을 해보니 정말 피상적인 것들만 공부했구나 싶었다. 실제 이론과 실무의 괴리감이라는 것을 느꼈다고 하면 딱 맞는 것 같다. 당시에는 단순하게 한국인터넷진흥원(KISA)에서 발간한 ISMS-P 인증기준 안내서만 반복해서 읽었는데, 지나고 보니 실제로 머릿속에 남는 것은 없었다. 오히려 인프라 진단이나 모의해킹과 같은 기술 컨설팅 영역과 겹치는 부분만 눈에 익었던 것 같다. 그래도 전혀 도움이 되지 않았다고 까진 볼 수 없었는데, 보안 컨설팅에서 통용되는 용어를 익히고 갔다는 것은 그나마 다행인 부분이었다.

이제 회사에서 일한지 3개월이 되어가는데, 보안 컨설팅 특성상 팀원들이 모두 프로젝트에 나가있었기에 처음 한 달은 거의 방치된 수준으로 본사에서 각자 알아서 공부를 했다. 다른 동기들은 모의해킹 경력이 있거나 나와 달리 문서 작성을 굉장히 잘하는 친구들이었기 때문에, 적지 않는 나이로 회사에 들어온 것에 조금 주눅들어 있었는데 그래도 의지할 곳은 동기들 뿐이었다. 꽤 나이 차이가 남에도 불구하고 편하게 대해주고, 모르는 것을 물어보면 자세히 답해주었기에 본사에 있는 동안 그나마 편하게 있을 수 있었던 것 같다. 한달이 지나고 다른 동기들이 먼저 프로젝트에 투입되었고 일주일이 지나서 마지막으로 나도 다른 프로젝트에 투입되어 지금까지 일을 하고 있다.

처음 계획했던 것과 달리 내가 지금 하고 있는 일은 인프라 진단이나 모의해킹과 같은 기술 컨설팅이 아닌 정보보호 수준진단, 위험평가와 같은 관리 컨설팅이다. 본사에 있었을 때 팀장님이 관리와 기술 어느 쪽을 희망하는지 물었는데, 지금까지 경험했던 것을 생각하면 기술쪽이 맞았으나 추후 심사원 자격증 취득을 생각해서 관리 컨설팅으로 가겠다고 했다.

 

사실 이전부터 컨설팅 업체를 가면 기술 인력으로 시작한다는 이야기를 들었는데, 여러 사이트를 돌면서 인프라 진단과 모의해킹을 진행하기에 더 많은 시스템을 경험할 수 있지 않을까 생각을 했었다. 하지만 실제 선배들의 이야기를 들어보니 인프라 진단의 경우 대부분 담당자에게 스크립트를 전달해서 해당 결과를 보고서로 정리하고, 모의해킹은 URL이나 앱만 던져주고 수행하는 것이기에 전체적인 시스템을 경험하기엔 무리가 따른다고 판단하였다.

 

오히려 짧으면 두 달부터 시작해서 길면 반 년 이상을 한 고객사에 있으면서, 네트워크 구성도나 정보 서비스 흐름도를 보며 정보보호 수준을 분석할 수 있다는 점에서 관리 컨설팅이 훨씬 더 메리트가 있어 보였다. 그래서 첫 프로젝트에 투입되어 어느 정도 일을 하고 철수를 앞둔 지금은, 컨설팅에서 기술이 큰 비중을 차지할 거라고 생각했던 초반과 달리 굉장히 작은 영역에 속한다고 느꼈는데 이에 대한 사견은 이후에 더 자세히 써보도록 하겠다. 확실한 건 기술 컨설팅에서 만들어지는 산출물에 모의해킹과 인프라 진단 결과 보고서가 포함되어 있는데, 이 부분들을 녹여서 추후 위험평가 보고서를 만들어야하기 때문에 관리 컨설팅에서도 충분히 기술 영역을 경험할 수 있다는 것이다.

 

그럼 간단하게 ISMS 컨설팅이 무엇을 하는 일인지 절차와 인증을 왜 받아야 하는지에 대해 설명할텐데, 아직 많은 경험이 없기에 감안하고 읽었으면 한다. 일정한 규모 이상의 기업에서는 정보보호관리체계 인증으로 부르는 ISMS 인증을 반드시 받아야 된다. 인증을 받지 않으면 과태료를 내는 것으로 봐선 법적으로 명시 되어있는 것으로 보이는데, 이 인증을 받는 절차가 굉장히 까다롭다.

 

그래서 ISMS 인증 심사를 받기 전에 정보보호 전문서비스 기업에 소위 말하는 의뢰를 하는데, 이를 ISMS 인증 컨설팅이라 부른다. 쉽게 말해서, 고객사가 쉽게 ISMS 인증을 받을 수 있도록 컨설팅을 해주겠다는 의미로 받아들이면 되며, 큰 기업의 경우 ISMS 인증과 더불어 정보보호 수준을 높여달라는 과업을 RFP를 통해 명시하기도 한다.

RFP(제안요청서)를 보고 여러 정보보호 전문서비스 기업이 경쟁을 통해 해당 사업을 수주하게 되면, 관리와 기술 컨설팅 인력을 꾸려서 프로젝트에 투입을 시킨다. 이때 관리 인력은 자산 식별부터 각 부서의 담당자와 인터뷰를 통해 정보보호 수준분석을 하게 되는데, 이때 ISMS-P 인증기준 안내서에 나오는 통제항목을 기반으로 진행한다.

 

단순히 ISMS만 진행해도 통제항목이 80개이며 세부 점검 항목은 200개가 넘기 때문에, 흔히 현황 분석이라고 하는 이 업무가 가장 많은 시간이 들어가는 것으로 보인다. 기술보다는 정책적인 것이 많다보니 개인정보보호법이나 정보통신망법과 같은 법률 부분을 굉장히 잘 알고 있어야하고, 고객사마다 특수성을 고려해야 하기 때문에 많은 경험이 필요하다.

그리고 기술 인력들은 앞에서 식별된 정보 서비스 자산들 중 서버와 보안장비 같은 인프라는 주요정보통신기반 시설 점검 가이드를 기반으로 취약점 진단을 수행하고, 웹과 모바일 앱은 모의해킹을 수행하여 취약한 부분을 찾아낸다. 그러면 다시 관리 인력들이 현황 분석과 기술적 취약점 분석을 통해 도출된 취약점들을 바탕으로 위험을 평가하게 된다.

 

이 때는 담당자와 협의하여 일정 수준 이상의 위험이 있는 취약점들은 조치하거나 위험 수용으로 처리한다. 물론 위험 평가를 하면서 고객사에서 진행해야 하는 보호대책을 선정하는 것도 관리 인력이 할 일이며, ISMS 인증을 받기 위한 증적 확보도 맡아서 진행하게 된다.

이렇게 간단히 ISMS 인증 컨설팅 과정에 대해 적어봤는데 겨우 두 달 밖에 지나지 않았지만 생각보다 많은 것을 배울 수 있었던 기간이었고, 이후 더 많은 프로젝트를 경험하고 나서 보안 컨설팅 과정에 대해 더 상세하게 적어보도록 하겠다. 개인적으로는 관리 뿐만 아니라 기술 인력으로써 인프라 진단과 모의해킹을 경험하여 기술적인 능력도 좀 더 높이고 싶은데, 아직 회사를 다닌지 얼마 되지 않아서 지금은 주변 사람들과의 기술적인 부분에 대해 이야기를 하거나 개인적으로 공부하는 것으로 만족해야할 것 같다. 아직은 배워나가는 중이기 때문에 이번 글은 여기서 줄이고, 다음 프로젝트가 끝나면 다시 글을 써보도록 하겠다.