ISMS 컨설팅 업무 회고

7월부터 진행한 ISMS 인증 컨설팅 업무를 마치고, 또 다시 컨설팅 업무에 대한 기록을 남겨보려고 한다. 물론 이번 글에 남길 이야기는 업무 수행에 대한 내용보다는, 컨설팅 업무를 진행하면서 신입 관점에서 느꼈던 것들과 힘들었던 점을 주로 쓸 것 같은데 대부분 한탄이 주를 이루지 않을까 싶다. 아마 이렇게 글을 남기면 현재 보안 컨설팅 직무를 준비하는 사람들에게 굉장히 부정적인 생각을 심어줄 수 있을 것 같지만, 때때로 이상보다는 현실을 일깨워주는 것도 중요하다 생각해서 어느 정도 선을 지키며 써보도록 하겠다. 일반적인 ISMS 인증 컨설팅 업무가 어떻게 진행되는지 궁금한 분들은 아래의 글에서 충분히 설명했으니 참고하면 좋을 것 같다.

 

보안 컨설팅 업무 회고

 

이번 컨설팅을 진행하면서 느꼈던 것은, 업무 분위기도 그렇고 수행 난이도 자체만 놓고 봐도 지난 고객사가 정말 널널한 편에 속했구나라는 점이었다. 자세한 건 이야기할 수 없지만 이번 컨설팅 사업을 수주했을 때 부터 말이 많았던 것이 RFP(제안요청서)에 있는 과업 대비 투입 공수를 굉장히 적게 잡았다는 점에 있었다. 물론 최근 IT 기업에 있었던 개발자 대란처럼 우리 회사에서도 보안 컨설팅에서 보안담당자나 다른 직무로 많이 옮겨가는 바람에 인력 부족 문제가 있었지만, 고객사에서 제안 입찰 당시 예산이 별로 없어서 특정 금액에 맞춰서 공수를 산정해달라는 것이 근본적인 문제였다.

일단 고객사에서 진행하는 ISMS 인증이 최초심사가 아닌 사후심사이기도 했고 애초에 적은 금액에 맞게끔 공수를 산정할 수 밖에 없어서, PM을 포함하여 컨설팅에 들어가는 인력도 기술자 등급으로 따지면 특급이 아닌 고급/중급으로 구성할 수 밖에 없었다. 그리고 고객사 담당자와 과업에 대한 협의를 했을 때도, 기존에 ISMS 인증도 많이 받아서 체계가 잘 갖춰져 있기 때문에 할 업무가 많지 않다고 이야기를 들었다. 그래서 현재 한창 컨설팅 업무를 배우고 있는 신입인 나를 투입한 것이었는데, 뒤에 후술하겠지만 이 때문에 내 사수에게만 일이 너무 몰렸었다.

생각해보면 고객사에 처음 투입 당시, PM님이 고객사의 담당자와 업무 범위 산정에 대한 미팅을 했을 때 아차 싶었지 않았을까 한다. 고객사에서 운영하고 있는 서비스의 개수가 수 십개였고, 매년 ISMS 인증을 받았음에도 불구하고 서버나 보안장비 등 점검해야 하는 자산 목록도 제대로 정의가 되어있지 않았다. 보통 ISMS 인증 범위에 포함되는 자산 목록들은 고객사에서 자체적으로 정리해서 가지고 있기 마련인데, 이번 고객사는 자산 목록 정리도 내가 철수하는 날까지 제대로 정리가 되어있지 않아서 업무 수행에 애를 먹었다.

물론 ISMS 인증 컨설팅에서 자산 목록은 고객사 측에서 정보보호팀이 생긴지 얼마 안되었거나, 최초심사라서 어디 범위까지 잡아야 하는지 확립이 어려울 때 컨설팅 쪽에서 정리를 해주긴 한다. 하지만 이번 고객사는 규모도 상당히 크고 ISMS 인증을 10년 이상 받으면서 정보보호팀을 유지한지 오래되었음에도 불구하고, 자산 목록도 컨설팅 업체 측에서 정리해달라고 하는 부분이 상당히 이해가 되지 않았던 대목이었다. 심지어 이외에도 정보보호팀에서 수행해야 할 업무를 컨설팅 측에 은근 슬쩍 떠넘기곤 해서, 원래 해야할 업무를 진행하지 못하고 야근을 하게 되는 날이 많았다.

특히, 고객사 정보보호 현황 분석 과업에서도 인터뷰를 진행할 때 ISMS 통제 항목 기반이 아니라, 마치 정보보호 수준진단이나 실태 점검처럼 전수 조사를 해달라는 다소 황당한 요구도 했었다. 보통 보안 컨설팅에서 현황 분석은 제한된 시간에서 업무 담당자들과 인터뷰를 진행하기 때문에, 업무 화면 하나하나를 보면서 하는 전수 조사가 아닌 몇몇 부분만 샘플링하여 증적을 확인하는 정도로 끝나는 경우가 많다. 물론 시간이 많다면 좀 더 꼼꼼하게 인터뷰를 진행할 수 있겠지만, 앞에서도 이야기했던 것처럼 이번 고객사는 서비스만 수십 개면서 개발/운영/QA/DB 담당 팀이 나눠져 있었기 때문에, 하루에 인터뷰만 3~4개 이상씩 진행하면서 고객사의 요구대로 진행하기란 무리였다.

그러다 보니 일반적인 컨설팅에서는 PM 또는 관리 PL 혼자 현황 분석 인터뷰를 하면서 보고서를 작성하고 위험평가까지 끝내게  되는데, 해당 고객사에서는 최소한 2명 이상이 서비스를 나눠서 인터뷰를 진행했어야 하는 수준이었다. 그런데 이번 컨설팅에서 관리 인력은 PL 역할을 했던 내 사수와 그 밑에서 이제 막 배우고 있는 나만 투입되어 나눠서 업무를 진행할 수 없었다. 생각해보면 아직 ISMS 인증기준 해설서의 통제항목도 제대로 외우지 못했고, 현황 분석에서 결함 사항을 제대로 도출하지도 못하는데 어떻게 담당자와 인터뷰를 직접 진행할 수 있겠는가.

그런데 사실 내 사수도 컨설팅 경력이 오래되진 않아 익숙하지 않았고, 가뜩이나 시간도 없는데 고객사에서 계속 추가 요구사항도 들어주고 하다보니 기존 일정보다 꽤 지연되었다. 그러면서 고객사에서는 WBS상 진척률이 너무 느리지 않냐부터 시작해서 자기들 생각보다 현황 분석 보고서에 작성된 내용이 너무 적다는 등 고객사의 불평을 감당하는 몫 또한 내 사수가 모두 떠안게 되었다. 이러한 상황 때문에 본사에 계속 이야기를 했지만, 인력도 부족하고 항상 을의 입장으로 있을 수 밖에 없는 상황이라 슬프게도 바뀌는 건 없었다.

그나마 좀 후련했던 것은 컨설팅 철수 마지막 미팅 때 고객사의 갑질에 열이 받으실 때로 받으신 PM님이 고객사 담당자에게 계속 이렇게 업무 진행하면 어느 업체도 컨설팅 사업에 입찰하지 않을거라고 화를 냈다는 것이다. 이전 직장에서 많은 SI 사업을 경험하면서 고객사 갑질은 수도 없이 당해왔지만, 어느 정도 목소리를 낼 수 있는 위치에 있었다가 신입의 입장에서 아무말 못하고 있어서 답답할 때가 많았다. 물론 고객사의 요구사항을 어느 정도는 들어줄 수 있겠지만, 이번처럼 선을 넘는 요구는 확실히 선을 그어야 할텐데 본사에 클레임이 들어가면 상황이 복잡해 지기 때문에 좋게 좋게 해결하려고 했던 것 같다.

그리고 추후 알게된 사실인데 이번에 컨설팅을 진행한 고객사가 정보보호팀 담당자들 때문에 컨설팅 업체에서도 은근 기피하고, 커뮤니티에서도 생각보다 소문이 안좋게 난 곳이라고 한다. 얼마나 유명하면 만나는 사람들마다 해당 고객사에 들어와있다고 하니까 일 하는거 괜찮냐고 물어보기까지 했을까 싶기도 하다. 물론 정작 고객사 내부에서는 이런 내용들을 신경쓰지 않는건지 알면서도 방치하는 건지 모르겠지만, 이번 컨설팅에서 PM님과 사수가 너무 고생했기에 조금 안쓰러운 마음이 들었다.
​
한탄은 이정도로 마무리하고, 사실 이번 글은 컨설팅을 진행하면서 고객사의 횡포에 대해 불평하듯이 썼지만, 신입 입장에서는 고객사의 과도한 요구사항에 어떻게 대응해야하는지와 ISMS 인증 범위의 서비스가 굉장히 많을 때는 어떻게 나눠서 해야하는지 관리적인 측면에서 배울 수 있었다. 거기다가 해당 고객사가 대부분의 서비스를 온프레미스가 아닌 클라우드 상에 MSA 구조로 운영을 하고 있어서, 개발팀과 인터뷰할 때 기술적으로도 많이 배울 수 있어서 개인적으로는 좋은 기회이기도 했다.

계속 안좋은 이야기만 하다가 마지막엔 좋은 경험이라고 표현했지만, 그래도 다음 컨설팅에서는 좀 더 좋은 담당자가 있는 고객사로 갔으면 하는 마음이 드는 건 어쩔 수 없을 것 같다. 작년에 보안 컨설팅 업계에 오래 몸담고 있던 선배가 고객사를 잘 만나야한다라는 말을 해준 적이 있었는데, 이번에 뼈져리게 느낄 수 있었던 것 같다. 업무적으로나 업무 외적으로나 많은 것을 배울 수 있었던 힘든 컨설팅이었던 만큼, 다음 컨설팅에서는 좀 더 업무를 잘 수행할 수 있는 밑바탕이 되길 바라며 이번 회고는 여기서 마치도록 하겠다.