갑자기 보안업무요?

글로벌 기업이 지켜야 할 의무와 각종 버라이어티한 업무들

Jun 30. 2025

앞선 글 내비게이션요? LBS 기획자의 역할에서 말한 것처럼 현재 근무하고 있는 회사에서 모바일 서비스 기획자로 입사하여 15년간 각종 버라이어티한 경험들을 한다.

글로벌 기업이 지켜야 할 의무

고객을 위한 B2C 서비스의 범위가 모바일 서비스에서 자동차의 해외 내비게이션 업데이트 시스템을 구축하는 것으로 범위가 확대되었다.

사진: Unsplash의Jakub Żerdzicki

이때 처음으로 아마존 웹서비스(AWS)와 알리바바 클라우드(Alibaba Cloud)도 사용해 보고 되고, GDPR(GDPR은 General Data Protection Regulation의 약자로, 유럽 연합(EU)의 개인 정보 보호 규정)에 대해서도 고민해 보게 된다.

아마존 웹 서비스(AWS), 중국의 알리바바 클라우드

중국에서는 중국망통신법이 있어서 자국의 데이터가 외부로 유출되는 것을 방지하는 것이 있어, 알리 클라우드만 사용할 수 있었고, 개인정보보호법이 대두되기 시작한 EU에서 비즈니스를 하기 위해서는 GDPR 준수가 필수였다. 그래서 관련 law를 준수하고 있는 AWS(아마존 웹서버) 유럽의 프랑크푸르트 리전에서 데이터를 보관하고 서비스하는 방향으로 서버 및 시스템을 구성하고 서비스했다.

글로벌 내비게이션 업데이트 시스템

국내에서 내비게이션 관련 웹사이트를 구축할 때 적용되는 법은 정보통신망법, 위치정보 보호법, 개인정보 보호법이었다. 이제 타깃이 해외이다 보니 해외 현지에서 적용되는 법을 파악해야 했는데, 법률팀의 검토와 자문, 그리고 현지 적용 법률의 IT 적인 측면에서 시스템을 구축하고 서비스를 설계해야 했다. Privacy by Design, Data Localization, Cross-border Transfer 등의 요소를 반영해야 했기에 어려움이 많았고, 그래서 가장 기억에 남는다. (휴우.... 나 이것도 했구나....)

오래간만에 정리를 다시 해본다!! 나의 ChatGPT와 함께!

중국 정보통신망 보안법(중국: 网络安全法, 영어: Cybersecurity Law of the People’s Republic of China)

중국 네트워크 안전법(网络安全法), 출처 : https://www.cmnews.kr/

- 중국의 인터넷 및 정보보안 전반을 규제하는 핵심 법률로, 2017년 6월 1일부터 시행

- 국가 중심의 디지털 통제 체계로, 그중 데이터 지역화 (Data Localization) 의무는 중국 내에서 수집된 개인정보 및 중요 데이터는 반드시 중국 내 서버에 저장해야 하며, 해외 전송이 필요한 경우, 보안 심사 통과 후에만 가능하나, 중국 공안과 사이버 관리국이 관리하므로 다른 서버 이용은 분명히 한계가 있어 보임

EU의 개인정보보호법 GDPR(General Data Protection Regulation)

https://ackcent.com/

- 개인정보 보호 중심의 대표적인 글로벌 규범, 2018년 5월 25일부터 시행됨

- 시스템 설계 시 주요 이슈 - 개인 중심의 디지털 권리 보호

- EU에 설립된 기업뿐 아니라, EU 시민의 개인정보를 처리하는 전 세계 모든 기업에 적용됨

- 개인 데이터는 법적으로, 정당하게, 그리고 투명하게 처리되어야 하며, 수집 목적 외로의 데이터 사용 금지.

- 데이터 주체 권리 강화 : 열람권, 수정권, 삭제권(잊힐 권리), 이동권 등 개인의 데이터에 대한 광범위한 통제권 보장.

- Privacy by Design : 서비스 기획 단계에서부터 개인정보 보호를 내장해야 하며, 기본 설정도 최소한의 데이터 수집을 기준으로 해야 함

그런데 이렇게 어려운 작업도 있었지만,
생경하지만 재미있던 프로젝트도 있었다.

드론으로 촬영된 홍보 영상

그룹사로 편입이 되며 CI (Corporate Identity의 약자로, 기업의 정체성, 즉 이미지를 통합하는 작업을 의미)를 새롭게 만들게 되었고, 이를 반영한 공식 웹사이트를 만들어야 했다.

사진: Unsplash의Inkwon hwang

웹사이트와 홍보 콘텐츠 동영상 제작을 같이하는 에이전시를 찾아서 같이 협업했는데, 드론을 띄워서 촬영한 회사 건물과 근처 마포대교의 모습이 너무 아름다웠던 기억이 있다. 자동차가 주행하는 모습을 옆에서 찍는 콘티라던가, 여러 콘셉트의 콘티들이 영화 촬영 같아서 매우 생경하면서도 재미있었다.

출처: KMDB - https://www.kmdb.or.kr/story/135/3051

업무 자동화 RPA

업무 자동화 프로젝트인 RPA(Robotic Process Automation)는 프로젝트를 맡게 되었을 때부터 개념 파악하는 게 어려웠던 기억이 있다. 전임자가 진행해서 이관을 받고 이번 해에는 내가 진행하게 되었는데, 실제 어떤 걸 자동화한다는 것인지 실체를 보기 전까지는 이해하기가 어려웠었다.

https://www.manutan.com/blog/en/procurement-strategy/what-is-the-rpa-definition-and-why-its-necessar

RPA란 '매일 아침 A자료와 B자료를 통합하여 새로운 C자료를 작성한 다음 DB에 적재한 후 결과를 내 메일로 보내줘' 같은 것을 시킬 수 있었다.

업무 자동화를 하기로 한 각 부서 담당자들의 현업 프로세스를 같이 정리하고 어떤 업무를 로봇에게 시켜 자동화할지를 정하는 업무가 내 주 업무였다.

사진: Unsplash의Marissa Grootes

이를 위해 각 담당자의 업무를 파악해야 하고, 그걸 프로세스로 정리하여 RPA로 구현할 수 있도록 협력 업체에 전달하는 것, 그리고 구축 후 나오게 된 산출물이 현업이 받고 싶어 하는 형태인지 피드백받고 반영하는 작업도 필요했다. 이 프로젝트는 기획자의 업무 중 요건 정의와 프로세스 정의, 산출물 검수/테스트의 역할이 더 많았다.

갑자기 보안 담당자요?

그러던 어느 날 우리 회사에는 정보보호 조직이 필요하게 되었고, 이를 맡을 사람이 없었다. 일단 IT운영기획팀에 속해 있던 우리 팀에 그 업무가 떨어졌는데, 팀장님이 어느 날 나를 조용히 불러 면담을 하셨다.

"00아 혹시 보안 업무 할 생각 없니?"

새로운 것을 추구하는 나는 보안에 대한 어렴풋한 이해도를 바탕으로 고민해 본다고 했다.

그런데 나중에 안 사실은 나 바로 전에 한 명 더 면담을 하셨는데, 그 친구는 당당히 하기 싫다고 했다는 것을 뒤늦게 들었다. 하하하하.....

IT 프로젝트 PM이 슬슬 지겹기 시작하던 나는 '오히려 좋아!' 또는 '무섭긴 하지만 한번 해보자'라는 생각이 들었나 보다.

사진: Unsplash의Randy Laybourne

보안하고 나서! 몸에서 사리가 나올 것만 같아!

나는 이 보안 업무를 3년간 하면서 국가 자격증 한 개와 국제 자격증 한 개를 따게 되는데, 이는 그룹사에서 전 계열사 보안 담당자들에게 반 강제적으로 취득하도록 하는 기회였으며, 기필코 해내야 하는 must 과제였다. 하여간 그 해 여름 나는 산업보안관리사와 ISO27001 (국제 정보보호체계) 인증심사원 자격증을 따게 된다.

하지만, 빛이 있으면 어둠도 있는 법!!! 이때 동료 및 상사 그리고 협력사 등등 거의 모든 사람들에게 욕 같은 눈총을 먹은 때였기도 했다. 아무래도 정보보호 업무가 사람들을 통제하는 가이드(정보보호정책)를 만들고, 이를 이행하게 하는 업무 '감사'가 제일 강력하고 사람들이 싫어했던 업무였기 때문이었던 듯하다.

사진: Unsplash의tommao wang

그래서 그런지 요즘에도
회사의 보안 관련 가이드가 내려오면
그 전체적인 이해관계와 정책들을 이해하고 있기에
주변에서 광광대고 있는 동료들에게
에둘러서 이유를 설명해 주고 있다. (왜죠?)

나는 경찰이 아니에요!

정보보호를 구성하는 3대 영역은 '관리/기술/물리였고, 나는 그중 관리를 맡았다. 같은 팀의 한 분이 기술을 맡고, 총무팀에서 물리를 담당했다. '

관리' 보안 영역 담당자였던 나의 업무는 기술, 물리 영역 담당자들과 커뮤니케이션하면서 보안 업무를 기획하는 업무였다.

세부적으로 보면, 아래와 같이 살 떨리는 것들을 빠짐없이 기획하고 이행할 수 있도록 해야 했다. 또한 이 정보보호 체계 수립 자체를 프로젝트로 띄워서 보안 전문 컨설팅을 몇 개월간 진행하면서 인터뷰 및 각종 자료를 기반으로 조직의 보안 사항을 진단하고 문제점을 파악하고 개선하는 대책도 내놔야 했다.

관리 보안 영역 담당자의 주요 업무
- 보안 정책 및 계획 수립, 보안 조직 구성 및 책임자 지정
- 정보보호 교육 및 인식 제고
- 접근 권한 관리 정책 수립
- 보안 사고 대응 체계 수립
- 내부 감사 및 점검 절차

진짜 숨 쉴 틈 없이 정보보호조직도 새롭게 세팅하면서 관련 보안 증적들을 남겨야 해서 헤아릴 수 없는 압박감과 업무 강도, 그리고 친했던 동료들의 차가운 눈길까지 감내해야 했다.

심지어 한 임원분께는 '네가 경찰이냐!?'라는 말도 들었고, 협력사 보안 점검에서는 한 협력사 PM분의 고함도 들었다..(잘 계시죠? 00 상무님)

사진: Unsplash의Kajetan Sumila

그때 같이 보안 업무를 진행해 주셨던 팀장님은 지금도 같은 사무실에서 일하고 있다.

합병 후 커리어챌린지를 통해서 우연스럽게 다른 팀으로 옮겼지만 가끔 복도에서 마주칠 때 그때 얘기를 하면서 하하하하.... 하곤 한다.

사막에서 이루어낸 문명이 이런 건가!

아직도 기억나는 게 초기에는 예산 문제로 인해 외부 교육 담당자를 초빙 못했고, 결국 내가 직접 전 직원 보안 교육을 오프라인으로 했던 기억이 난다. 사람이 많으니 시간을 나누어서 진행했는데, 아마 끝나고 몸살 났던 기억이 난다.

사막 한가운데에 사우디아라비아가 건설하고 있는 네옴시티 프로젝트의 핵심인 최첨단 친환경 미래도시 '더 라인' 조감도. 출처: https://www.neom.com

진짜 이렇게 아무것도 없는 불모지에서 ISMS(정보보호 관리체계)를 구축해서, 최초 ISO27001 인증심사를 무사히 통과할 수 있었고, 그룹사 정보보호체계 Level2에서 최고 단계인 Level5를 획득하였다. 그 후로도 PSMS(개인정보보호 관리체계) 도 적용하여 현재는 더욱 고도화된 정보보호 체계를 수립하고 서비스에 적용하고 있어서 (구) 정보보호담당자였던 나의 힘들었던 고행이 쓸모없지는 않아서 뿌듯했다.

사진: Unsplash의Guilherme Stecanella

그래 공은 너희들이 다 가져라

하지만, 이 마음도 얼마 가지 못했는데, ISO27001 인증심사를 위해 지난 몇 년간을 달려오고 심사 한 달 전에 개인적인 사정으로 회사를 쉬게 되었는데, 그 해 연말 심사 통과 후 보안 업무 담당자 모두 포상을 받았다는 소식을 들었다.

사진: Unsplash의Daniele La Rosa Messina

심지어, 하반기에 신입으로 들어온 내 후임도 포함해서 받았으나 나는 제외되었다. 서운함과 배신감에 거의 2주를 화를 삭였고, 여러 가지 생각이 들었는데, 그 후로 회사에 나를 너무 갈아 넣지 말자라는 생각을 하게 되었다. (하지만, 요즘에도 그러고 있는 나 자신을 발견함... 어쩔 수 없는 ENTJ인가...)