'보안전문가'에 해당되는 글 1

  1. 2008.07.08 What side do you belong to? #1 (1)
최근 어떤 단체에서 조사한 결과에 따르면, 향후 5년 뒤 가장 전망있는 직업은 '보안 전문가'라고 한다.

이러한 비슷한 조사 결과를 작년, 제작년, 그리고 그 이전에도 매년 봐왔던 경험상 쓴 웃음밖에 나오지 않는다.
나름 오랜 기간동안 '보안 전문가'라는 타이틀을 가지고 생활을 하다 보니
외부에서 보는 '보안 전문가' 특히 'IT 보안 컨설턴트'에 대해서 많은 생각을 하게 된다.
현업에서 보안 컨설턴트로서 활동하면서 생각하는 보안 컨설턴트의 특징과 자질을 정리해보았다.

그러면서 고민하게 된다. 나는 어떤 위치에 있는 것일까? 그리고 이 글을 읽는 보안 컨설턴트인 여러분은?

Nature of a consultant

컨설턴트는 특정 문제에 대한 '문제 분석자'이자, 분석한 결과를 토대로 문제를 해결하는 '문제 해결자'이다. 그는 특정 문제를 바탕으로 전체 시스템의 문제점을 지적하고 대응방안은 제시함으로써 '이슈 메이커'의 역할도 수행을 하게 된다. 또한 해당 이슈에 대해 이해 관계자 사이에서 '커뮤니케이터(협상가/중계자)'의 역할을 수행하면서 중계 역할도 수행을 하게 된다. 이외에도 컨설턴트는 다양한 속성을 가지고 있지만 가장 대표적으로 4가지의 능력을 고루 지니고 있어야 문제를 발견하고 원활하게 해결할 수 있다.

Differences compared with others

앞서 얘기한 속성들은 대부분의 직업군 또는 사람들에게 문제를 해결하기 위해서 반드시 필요한 능력이다. 다른 직업에 비해서 컨설턴트의 속성들이 강조되는 이유는 무엇일까?
그 첫 번째 이유가 컨설턴트는 '아웃사이더'이기 때문에 조직 내부에서 조직적 문제때문에 해결되지 않는 문제에서부터 내부자가 차마 지적할 수 없는 문제를 이슈화 하거나 대응방안을 제시할 수 있다. 이는 외부자만이 가지고 있는 특권이라고 할 수 있다.
두 번째는 '스페셜리스트 & 제너럴리스트'이기 때문이다. 컨설턴트도 내부적으로 들여다 보면, 각자의 전문 영역이 있다. 보안 컨설턴트의 경우 시스템 진단, 네트워크 진단, 관리적 진단 등 각자의 분야에 대해 전문성을 가지고 있는 컨설턴트가 있으며, 각 영역에 대해 광범위한 인지력을 바탕으로 문제점을 지적하고 대응 방안을 제시하는 컨설턴도 존재한다. 조직이나 문제의 성격에 따라서 둘 중 하나가 필요할 수 있으며, 양쪽 다 필요할 수도 있다.
세 번째는 컨설턴트는 '표현자'이다. 이 부분에 대해서는 많은 이의가 존재할 수 있다고 생각을 한다. 하지만 컨설턴트는 특정 문제를 지적하고 대응방안을 제시하고 해결하기 위해 고객 또는 이해관계자들이 이해하기 쉽게 문제와 해결방안을 표현할 수 있어야 한다. 이는 다른 직업에 비해서 더 강조되는 부분이다. 그래서 경영 컨설팅 회사인 맥킨지의 다양한 그래프와 챠트가 유명하고 많은 사람들이 관심을 가지고 있는 이유도 이러한 속성 때문이다.
네 번째는 그는 '집중가'이다. 조직에 발생한 특정 문제에 대해서만 집중을 하고 분석을 하며, 대응방안을 마련한다. 어떤 측면에서는 TFT(Task Force Team)의 성격을 갖고 있다. 정해진 기간 안에 정해진 문제를 해결하는 것이 그의 목표이다.

Gloomy facts about consultant's private abilities

보안 컨설팅을 수행함에 있어서 컨설턴트의 수행 능력은 어떨까? 보안 컨설팅은 경영 컨설팅에 대비해 그 역사가 많이 짧기 때문에 컨설턴트의 능력을 보완해줄 수 있는 각종 도구들이 상대적으로 부족하다. 따라서 컨설턴트 개인의 능력이 매우 중요할 수 있다. 컨설턴트로서 자신이 어느 단계에 있는지를 파악하고 생각해볼 필요성이 있지 않을까 한다.
1. 문제를 찾지 못한다.
고객의 문제를 해결해주려고 왔지만 고객의 니즈 또는 문제가 무엇인지 알지 못하는 경우이다. 이런 경우 대부분은 컨설턴트가 경험 또는 지식이 짧기 때문에 발생하게 된다. 특수한 상황의 경우에는 경험이 많은 컨설턴트도 예외는 아니다. 사건이 어떠한 것인지 육하원칙 하에서 파악해보아야 한다.
2. 문제를 이해하지 못한다.
앞서 설명한 단계보다는 한 걸음 나아간 단계로써, 문제점에 대한 현상은 파악을 했으나 이에 대한 원인을 파악하지 못하는 경우이다. 현상에 현혹되어 엉뚱한 쪽으로 결론을 이끌어갈 확률이 높다. 이는 기술력의 이해도나 지식이 부족하기 때문에 발생한다. 구조적인 사고와 연역과 귀납 등의 방법을 동원하여 해당 현상의 핵심적인 원인이 무엇인지를 따져보아야 한다.
3. 문제의 해결 방안을 못 찾거나 잘못 알고 있다.
원인을 파악했지만 기술적으로 해결 방안이 없는 경우도 존재한다. 그러나 대부분은 기술, 조직, 절차 등을 통해서 해결이 가능하다. 컨설턴트가 원인을 제대로 파악했지만 해결 방안에 대해서 잘못된 이해를 가지고 있기 때문에 발생한다. 간혹 이러한 사건은 사업의 영역이나 문제의 성격이 그의 콘트롤 범위 밖에 존재하는 문제일 수도 있다.
4. 문제의 핵심 또는 해결방안을 전달하는 능력이 떨어진다.
이는 기술적으로는 잘 이해하고 해결방안을 잘 찾았지만 전달하는 능력이 떨어져 고객이 이해를 하지 못하는 것이다. 기술에 너무 치중하여 표현 능력을 키우지 않은 경우 이러한 현상이 발생한다. 커뮤니케이션 능력과 프레젠테이션 능력에 대한 학습과 고민은 컨설턴트로서 필수적이다.
5. 고객의 상황을 파악하지 못한다.
보안 컨설팅은 기술을 시작으로 환경 분석을 통해서 해당 조직에 가장 적합한 대안을 마련하여 문제를 해결하는 것이다. 그런데 기술에 너무 치중하다 보면 고객의 조직적 또는 특수한 상황을 파악하지 못하고 전형적인 대안만을 제시하게 된다. (물론 수행 시간의 부족이 이러한 핵심적인 부분을 많이 간과하게 만드는 것이 현실이지만, 현재 말하고자 하는 바는 컨설턴트 개인의 역량이므로 이 부분은 다른 글에서 언급하고자 한다.) 기술과 함께 고객을 이해하는 자세가 필요하다.

What to do as a security consultant

1. Develop by yourself
스스로를 개발해야 한다. 정보기술과 보안기술 그리고 보안 관련 법, 침해의 기법과 동향, 분석력(구조적 사고), 자격요건(자신의 능력을 증명해줄 수 있는 페이퍼) 등을 공부하여 자신을 스스로 다듬어야 한다.
2. Learn basic communication skills
프레젠테이션 제작 기법과 발표 관련 예의와 표현 등을 익히고 외국어(영어, 중국어, 일본어 중 하나)를 꾸준히 학습해야 한다. 시간이 지나가면서 느끼는 것이 외국인과의 커뮤니케이션이 잦아지고 있다는 것이다. 일반 회화 뿐만 아니라 비즈니스 회화 등을 익히는 것도 중요하다. 그리고 대화 예절은 반드시 갖추어야 한다.
3. Find out your problems
스스로의 부족한 점을 찾아 강화해야 한다. 특히 그것이 컨설턴트에게 반드시 필요한 것이라면, 습관 또는 의식을 바꾸어서라도 반드시 바꾸어야 한다. 모든 컨설턴트가 젠틀맨이 될 필요는 없지만 젠틀맨이라면 스스로에게 이득이 되는 것이 많다. 그리고 자신이 수행하는 일의 프로세스를 파악하고 잘못된 부분이나 효율성이 높아질 수 있는 프로세스를 찾아 개선해야 한다. 또한 수작업들을 자동화하고 간소화하여 불필요한 시간이 소모되는 것을 최소화하도록 한다. 이는 컨설턴트에게 가장 중요한 상황 판단과 분석을 수행할 수 있는 시간의 여유를 부여해주므로 반드시 이루어져야 한다.
4. Get wide experiences
옛말에 “아는 만큼 보인다.”라는 말이 있다. 자신의 지식 안에서 분석을 하고 상황 판단을 하기 때문에 지식 또는 경험이 짧다면 좋은 컨설턴트가 되지 못한다. 따라서 독서를 통해서 간접 경험과 사고의 폭을 넓히고 업무 경험을 통해서 각종 사고의 대응력(문제 해결 능력)을 높이도록 한다. 또한 도전을 겁내지 말고 새로운 것에 꾸준히 도전해야 한다.
5. Do NOT give up your way
최근 젊은 학생들을 보면 '공무원'이나 안정적인 직업들을 선호하는 모습과 과거처럼 벤처에서 자신의 꿈을 키워가려는 사람보다는 대기업에서 안정적으로 생활하고 싶어하는 사람들이 주변에서 많이 늘어남을 경험한다. 컨설턴트는 급변하는 환경을 경험하게 된다. 고객사별로 다른 환경, 다른 이해 관계, 다양한 사람들과 커뮤니케이션을 해야 하기때문에 많은 스트레스를 받게 된다. 또한 컨설턴트에게 호의적이지 않은 업무 환경들 역시 좌절을 경험하게 한다. 그러나 자신만의 나침반(목적)을 가지고 주변의 시선을 의식하지 않고 열심히 도전하는 모습이 진정 인생에 있어 아름다운 모습이 아닐까?(물음표로 남겨두고자 한다. ^^)

지금까지 보안 컨설턴트에 대한 지극히 개인적인 생각을 적어 보았다. 이 글을 적으면서 부족한 점과 앞으로 갖추어야 하는 것들이 무엇인가를 많이 고민하는 시간이 되었던 것 같다.

나는 어디에 속하는 것일까? 그리고, 소중한 시간을 내어 이 글을 읽는 여러분은?

개인적인 바람이 있다면, 우리의 짧은 인생에 살아 온 길을 되돌아 보며 웃을 수 있는 그런 가치 있는 인생을 살아보고 싶다.
신고
이전 1 다음

티스토리 툴바