본문 바로가기

우리들의 보안관! SK네트웍스 정보보호센터에서 하는 일은?

우리들의 보안관! SK네트웍스 정보보호센터에서 하는 일은?

우리가 살아가는 오늘날에는 정보를 얻는 것만큼이나 지키는 것 역시도 매우 중요한 일이 되었는데요. 특히나 ESG 경영이 화두가 되는 요즘, 고객의 개인정보 유출사고는 ESG의 사회(social)분야의 중요한 축이라고 할 수 있습니다. SK네트웍스의 소중한 정보를 언제나 지켜주는 정보보호센터의 배지환 매니저님을 만나봤습니다!

SK Careers Editor 황서연

 

 

 

 

 

안녕하세요. SK네트웍스 정보보호센터에서 근무하고 있는 배지환 매니저입니다. 팀에서 담당하고 있는 직무는 보안 기획과 컴플라이언스 대응 업무를 주로 맡고 있습니다.

 

 

 

 

 

정보보호센터는 SK네트웍스의 정보보호를 통해 비즈니스 연속성을 보장하는 조직이라고 규정할 수 있어요. Compliance 그리고 Risk Management를 중심으로 계획이 수립되고 프로젝트가 관리되며 오퍼레이션 업무가 수행돼요. 각종 정보보호 및 개인정보보호 관련 법령 및 고시, 인증 제도, 대내외 가이드라인을 준수하고, 빠르게 변화하는 환경에 맞추어 위협을 정의 및 식별하여 예방 및 관리해 나가는 업무라고 할 수 있죠. 최근 DT 바람이 불면서 기업의 많은 자산들이 디지털화 되어가고 있는 만큼, 사이버 공간에서 지켜야 하는 자산들도 증가하고 있어요. 특히 AI 기술의 발전 등으로 해킹 공격도 점점 지능화되어가고 있어 막아야 하는 입장에서는 과거의 시스템과 방식을 지속적으로 개선해야 정보 자산을 안전하게 지킬 수 있죠.

 

 

 

우선 전사 보안 전담조직으로서 우리 회사의 보안 수준을 어떻게 향상시킬 것인가, 변화하는 법과 제도에 우리는 어떻게 대응해 나갈 것인가, 구성원들의 보안의식을 어떻게 높일 것인가 등 큰 틀을 고민하며 방향성을 잡고 이를 실행시킬 효과적인 방안을 수립하는 업무를 하고 있어요.

또한 SK네트웍스가 하는 비즈니스는 신뢰할 수 있는 보안 수준으로 관리되고 있음을 대외적으로 증명해 주는 ISMS-P라는 인증이 필요한데, 이를 획득하기 위한 내부적인 준비 및 심사를 대응하는 업무도 맡고 있습니다.

 

 

 

정보보호센터에서 하는 일의 많은 부분은 IT와 연관이 깊어 기술 바탕으로 커뮤니케이션을 할 때가 많아요. IT 전문가들은 물론이고 회사 내부적으로 커뮤니케이션을 해야 하는 경우도 자주 있어요. 결국 보안의 가치가 무엇인지 구성원분들에게 알려드리는 것이 중요하죠.

노력을 하는 것도, 결과를 얻는 것도, 가치를 만들어내는 것도 중요하지만 이러한 가치를 어떻게 알리는지도 정말 중요한 것 같아요. 우리가 처리해야 하는 보안 업무가 지난달보다 2배 증가해서 고생을 했다는 것에 그치지 않고, 그것이 어떤 가치를 주었는지 가치 중심적인 고민과 어필이 중요하다고 생각해요. 아직 저도 쉽지 않은 부분이기도 하고, 지속적으로 노력하고 있는 부분이에요.

 

 

 

보안이라는 분야가 최근 10년 사이에 급격하게 성장한 모습에서 볼 수 있듯이 앞으로도 보안의 중요성과 보안이 담당하게 될 영역은 더욱 확대될 것이라고 봐요. 기술의 발전이 거듭되고 기업의 많은 영역이 디지털로 전환될수록 IT 의존성은 높아질 것이고, 그만큼 외부의 공격도 양적으로나 질적으로나 증가할 수밖에 없죠. 자연스레 보안에 대한 전문성은 더욱 요구될 수밖에 없을 것이기 때문에 전망이 있는 일이라고 생각해요.

단점은 아무래도 기술의 발전과 함께 끊임없이 공부해야 할 수밖에 없어요. 공부를 좋아하는 분이시라면 장점이라고 생각될 수도 있겠네요. 기술의 변화 속도는 굉장히 빠르고 점점 더 가속화되는 것 같아요. 지금 알고 있는 지식도 몇 년만 지나면 업무 현장에서 라떼는 말이야가 될지 모른다고 생각해요. (웃음) 반대로 생각해 보면 계속 자기계발을 할 수밖에 없는 환경 속에서 일을 하는 것이니까 나에 대한 경쟁력을 키워주는 긍정적인 점도 있는 거죠.

 

 

 

아무래도 모든 구성원들의 업무공간을 가상 PCVDI로 전환시킨 것이 정보보호센터에서 꼽을 수 있는 가장 중요한 프로젝트가 아닐까 생각해요. 그 의미는 단순히 업무 공간만 변화된 것이 아니라 코로나가 촉발시킨 재택 및 원격 근무라는 특수한 상황 속에서 일하는 방식의 변화가 가능하도록 그 토대를 마련했다고 볼 수 있어요. 보안 관점에서는 우리의 소중한 정보 자산이 위협받기 쉬운 사무실 바깥 장소에서 VDI를 사용하게 함으로써 조직의 생산성 및 업무 유연성은 유지시키며 보안 수준의 저하를 막을 수 있다는 부분에 긍정적인 평가를 하고 싶어요.

 

 

 

VDI 업무환경 전환은 코로나로 인해 일하는 방식이 변화하면서 그 부분이 한편으론 Trigger가 되기도 했지만 보안 사고를 최소화하고 법적 의무사항을 준수하는 측면에서 시작하게 되었다고 말씀드릴 수 있어요. 개인정보 보호법이 재개정 되며 기업에게 요구되는 보안 수준이 지속적으로 높아지고 있죠. 하지만 법에서 요구하는 사항만 고려해서 시스템을 만든다면 구성원들의 불편함은 이루 말할 수 없을 거예요.

결국 법이 용인하는 테두리 안에서 구성원들의 사용성을 고려하는 것이 중점이라고 할 수 있어요. 사용자를 고려하지 않은 보안은 개인에게 부정적인 영향을 미치고, 기업 전체의 보안성을 떨어뜨리는 위협(threat) 요소가 되기도 해요. 수많은 규제와 수많은 위험(risk)이 도사리는 환경 속에서 말처럼 쉬운 부분이 아니지만, 그 밸런스를 맞추는 일은 앞으로도 중요할 거예요.

 

 

 

경영학에서는 측정할 수 없으면 관리될 수 없다라는 유명한 말이 있죠. 보안 관점에서는 이렇게 말할 수 있어요. 위험(risk)를 식별할 수 없으면 개선할 수 없다 최근 원격 근무의 증가, AI 기술의 성장 등을 보면 새로운 위협 요인들은 증가하고 있어요. 결국 보안에서는 가시성의 확보가 앞으로 정말 중요해질 것 같아요. 얼마나 자세하게 분석이 가능한지에 관심을 가질 것이고, 그러기 위해서는 결국 분석을 위한 데이터의 양뿐만 아니라 품질도 신경을 써야 할 거예요.

또한 요즘 마케팅 분야에서 데이터를 활용한 고객 개인화가 중요한 트렌드인 것처럼 보안도 언젠가는 그런 방향으로 나아가지 않을까 하는 생각을 해요. 앞으로 이런 부분들에 관심을 가지면서 보안의 가치에 대한 고민을 하면 좋을 것 같아요.

 

 

 

커뮤니케이션 역량이 정말 중요한 것 같아요. 굉장히 기술 중심적인 사람과 대화해야 할 때도 있고, 기술을 잘 모르는 다른 직무의 사람과도 대화해야 할 때가 있어요. 결국 대화의 눈높이를 잘 맞추는 것이 중요하죠. 어려운 기술이 있다면 누구나 이해할 수 있도록 쉽게 설명해 보는 연습도 필요한 것 같아요.

그리고 법과 제도 등 Compliance 관련된 일이 많기 때문에 법을 잘 알아 두면 좋아요. KISA 홈페이지에 가면 자료실에 관련 법령, 고시들을 잘 정리해 놓아서 찾기 편리할 거예요. 개인정보보호위원회 홈페이지도 가끔 들어가 보면 개인정보보호 동향을 파악하기 좋아요. 또 대부분의 정보는 정보시스템을 통해 처리되기 때문에 기술적인 부분에 대한 이해가 있으면 더 좋겠죠.

 

 

 

처음부터 완벽할 수 없고, 처음부터 모든 걸 만족할 수는 없는 것 같아요. 작은 경험이 쌓이다 보면 예전에는 보지 못했던 새로운 여러 갈래의 길이 보이기도 하고, 도움이 전혀 안될 것 같았던 경험이 나중에는 도움이 되는 경우가 되기도 하거든요. 목표를 달성하기 위해서 한 가지의 정답만 있는 것은 아니니 목표가 있다면 포기하지 말고 꾸준히 도전하라고 말씀드리고 싶어요.

 

 

 

 

 

오늘 직무인터뷰를 통해서는 SK네트웍스의 정보보호센터에서의 업무와 보안의 중요성에 대해 알 수 있었는데요위험(risk)를 식별할 수 없으면 개선할 수 없다.”라는 매니저님의 말씀에서 직무에 대한 열정과 신념이 느껴지지 않나요? SK네트웍스 보안관정보보호센터’, 앞으로도 잘 부탁해요!