견(肩)지의 중요성

본인의 업무 영역에서 큰 그림을 간과하지 않고 내다보는 능력의 필요성

e

---

새로 투입한 프로젝트를 시작했다. 이때 이전 직장에서 본인이 한 업무 프로세스가 그대로 써먹어질 거라는 것을 느끼면서, 살면서 본인에게 쓸모없는 거는 없구나를 '또' 깨달았다. 이것을 ‘견지하는 자세’, 쉽게 얘기하면 장기판에서 훈수를 두는 제삼자의 관점과 연결시켜서 생각해 보았다. 동양인이면 쉽게 내뱉는 '내, 그럴 줄 알았지~.' 후견지명을 미리 견지할 수 있는 능력의 중요성을 새삼 긁적여 본다.

이번 프로젝트는 고객사에서 기존에 인증받았던 ISO-27001:2013 버전을 2022 버전으로 전환해서 인증받을 수 있도록 해주는 컨설팅이 주 업무다. 그래서 아래 영상을 참조하면서 본인의 역할에 대해서 리마인딩 하는 중에, 이 심사위원이 말하는 사내에서 수행하는 업무가 이전 직장에서 필자가 했던 업무 그대로였다는 게 뇌리를 스치고 지나갔다.

www.bing.com

ISO-27001 표준이 2022년도에 새롭게 개정되면서 추가된 인증 조항이 생겼는데, TI(Threat Intelligence)라는 통제 항목이다. 클라우드 보안 포지션으로 업무를 수행하던 이전 회사에서 본인은 이것과 관련된 MS Azure 클라우드에서 수집하는 내부 인시던트의 지표를 유심히 본 적이 있었다.

클라우드 보안이라서 보통의 금융업계나 공기업처럼 내부망을 외부와 격리해놓지 않은 이상, 내부 인시던트 지표라면 외부(업계에서 이를 3rd Party라 부르고 공급)업체에서 메일링 해주는 공식적인 공격(해킹) 로그나 정보도 이 지표에 포함된다.

필자는 당시 아쿠아(Aqua)라는 클라우드 종합 보안 툴 공급업체(파트너사)에 메일링 서비스를 가입해서, 그 업체의 연구소에서 보고하는 최신 공격 취약점에 등록된 취약점 정보를 메일로 전달받은 적이 있었다. 그리고 자발적으로 해당 취약점에 대해 패치를 할 수 있는 운영체제별 보고서(문서화)를 사내에 배포 및 이 취약점의 위협을 미리 대비할 수 있도록 공지했다.

이러한 일련의 과정이 ISO-27001에서 새로 업데이트된 조항의 5.7 통제항목에서 요구되는 프로세스였다는 것을 위의 영상을 보고 알게 되었다. 당시 이러한 과정을 진행할 때는 단지 고객사에 도움이 될만한 정보를 문서로 공유하는 것이 목적이었지만,  지금 와서 되돌아볼 때 '이미 ISO-27001의 통제항목대로' 보안 담당자의 역할을 수행했었구나를 다시금 느꼈다.

그리고 이것을 이제는 제대로 수행하는지 인증을 앞두고 고객사에게 컨설팅해 주고 견지해야 할 입장이 되었다. 일원론적 관점으로만 업무를 대했다면, 지나온 과거의 행적이 미래의 업무에 어떻게 보탬이 될지 알 수가 없다.

본인이 하는 이 인증전환 심사를 위한 컨설팅 경험을 통해서 또한 미래의 큰 그림을 그리고 있다. 아직 완전히 레드 오션화되지 못한 자율주행차(커넥티드카) 분야에서 이 ISO 인증 심사 컨설팅 또한 내다보고 있다. 이때 또한 다른 인증 표준이지만, 현재 이 업무를 일인칭 관점으로서만 업무에 매몰되지 않고 ‘견지하면서’ 미래에 본인의 할 업무(커넥티드카 CSMS 인증)와 견주어 보면서 수행한다면 다원론적으로 컨설팅을 할 수 있다고 생각한다. 마치 스티브 잡스가 말한 과거의 점과 점을 이어주는 선을 긎는 것을 상상하면서 말이다.

더불어 아래의 이점을 가지면서 말이다.

객관적 입장 유지

무엇을 놓치고 있는지(훈수 둘 때 다 보이지만, 정작 직접 둘 때는 안 보이는)

큰 그림(동양인의 인지습관대로라면 맥락적 사고를 통해 관계 파악)에 중점을 둔 사고에 유리

참조)

[커버스토리] 커넥티드카 제작사, 사이버 보안 인증 준비 시작해야

커넥티드 카 기술 : V2X(Vehicle to Everything) - 2. V2X 보안인증체계 (SCMS)

2024년을 갈무리하기 전에 연속입찰을 제안받았던 이전 프로젝트의 수행내역에 대해서도 정리하려고 했지만, 고객사가 국내 최고의 인텔리전스 그룹이라…