[화두 이야기] 정보보안 분야의 화두(12)

훈수와 고수

흔히들 정보보안 분야에서 오랫동안 이곳저곳 떠돌면서 근무하다 보면 으레 기업의 보안조직으로 가는 것을 소망하게 된다. 아무래도 떠돌이처럼 한 곳에 정착하지 못하는 직장생활을 오랫동안 하다 보면, 사무실에 앉아서 일하는 정착된 직장인의 삶을 바라게 되는 것이 인지상정인 듯싶다.

정보보안 분야 직장인 중 이곳저곳 떠돌면서 근무하는 가장 대표적인 사례가 바로 보안컨설턴트다. 그들은 일 년에도 최소 서너 번 이상씩 컨설팅 고객사에 따라 출근하는 장소가 바뀌는 생활을 영위하고 있다. 가끔은 지방에 위치한 기업이나 공공기관 컨설팅 사업에 투입되어 몇 개월 혹은 일 년 가까이 머무르면서 컨설팅 서비스를 제공해야 하는 경우도 존재한다.

옛말에 젊어 고생은 사서도 한다고 하지만 그건 옛날에나 통하는 말이 된 지 오래다. 처음에는 좋았을지 몰라도 그렇게 떠도는 직장생활을 오래 하다 보면 언젠가는 그로 인한 피로감에 지치는 순간이 오게 된다. 그리고 그 순간을 만나게 된 보안컨설턴트들이 한때 갑이었던 고객사의 보안담당자 보안관리자 또는 보안책임자(CISO)로 이직하게 되는 것이다.

그런데 이 중요한 이직의 순간에 보안컨설턴트들이 꼭 챙겨야 하는 한 가지 화두가 있다. 바로 "훈수보다 고수"라는 화두가 그것이다.

보안컨설턴트라는 직업은 보안에 대한 전문가로 인정받는 직업이다. 하지만 사실 그들의 업무는 자문해 주는 것이다. 다시 에둘러 표현하자면 훈수를 두는 것이다. 남의 일에 대해 "이것은 이렇게 이렇게 하는 것이 더 좋겠습니다"라는 식의 훈수말이다. 옆에서 바라보고 훈수를 두는 것이니 직접 그 바둑돌을 옮기는 작업은 하지 않는다. 바둑돌을 옮기는 작업은 기업의 보안조직이 직접 해야 한다. 보안컨설턴트는 훈수만 두고 그에 대한 실행은 보안조직에게 일임하고 슬쩍 옆으로 빠지는 것이다.

기업의 보안조직에 몸을 담근다는 것은 훈수를 두던 업무에서 직접 실행해야 하는 업무로 전환됨을 의미한다. 이제 더 이상은 과제만 던지고 옆으로 빠지지 못한다. 책임지고 그 과제를 실행해야 하는 주체가 된 것이다.

비슷한 IT 및 보안분야의 지식을 요구받는 전문가라도 보안컨설턴트와 기업의 보안조직에게 요구되는 역량은 사뭇 다르다. 보안컨설턴트는 뛰어난 '훈수쟁이'가 되기를 요구받는다. 고객사의 현황파악과 분석을 통해 고객사에 꼭 필요한 최적의 정보보호 과제를 발굴해 제시하는 역량이 필요한 것이다.

기업 보안조직은 다르다. 설령 보안조직 구성원이 보안컨설턴트로서의 역량을 보유하고 있어 좋은 정보보호 과제를 발굴해 낼 수 있다고 해도 그것이 핵심역량이 되지는 않는다. 조직이 보안조직에게 원하는 것은 과제를 수행할 수 있는 뛰어난 '고수'가 되기를 요구하기 때문이다. 보안컨설턴트가 던지고 간 정보보호 과제를 실제로 수행해 낼 수 있는 '실행의 고수'말이다.

오랜 보안컨설턴트 생활을 접고 기업의 보안조직으로 이직한 보안전문가들이 직장생활의 적응에 어려움을 겪는 모습을 숱하게 보았다. 때로는 한잔 술을 곁들이며 그들의 애환을 함께 나누기도 했다. 하지만 어쩔 수 없이 그들에게 말해야만 했다. '훈수'를 두던 보안컨설턴트의 습관이 그들을 힘들게 하고 있음을. 기업의 보안조직 구성원으로서 생존하려면 직접 몸으로 뛰는 실행의 '고수'가 되어야 한다고. 기업이 그대들에게 원하는 것은 '훈수'를 두는 역량이 아닌 직접 실행해 내는 '고수'로서의 역량이라고.