내 하루의 루틴 중 하나는 출근길에 알림설정한 보안뉴스와 카카오톡 오픈채팅방인 보안담당자방을 슥슥 보는 것이다.
실없는 말도 보이긴 하지만, 그곳에선 담당자들이 머리를 싸매고 서로 정답이 무엇인지 토론하는 것을 아주 쉽게 볼 수 있다. 보통 조직 내 보안담당자는 그 수가 적기에 그렇게 서로 물어보고 정답이 무엇인지 고민하는 문화가 자리잡은듯 하다.
그런 곳에서 글을 읽다 보면 담당자로서 내가 나중에 어떻게 업무를 처리해야 할지 아이디어를 얻기도 한다.
내가 지금 수행하고 있는 보안 컨설턴트와 보안담당자는 당장 생각나는 것만 하더라도 차이가 많다.
1. 컨설턴트는 다양한 업무를 경험하지만, 담당자는 보통 정해진 틀 안에서 업무를 경험한다.
2. 컨설턴트는 업무의 연속성이 없이 이곳저곳 옮겨 다니지만, 담당자는 계속 업무를 끌고가야 한다.
3. 컨설턴트는 과제를 해결하기 보다는 해결하는 방법을 알려주는 역할이지만, 담당자는 과제를 해결해야 한다.
즉, 이것을 바꿔 말하면, 컨설턴트는 정해진 틀 안에서 문제를 특정 기간 내에 연속적으로 해결해야 하는 능력에 있어서는 부족할 수 있다는 것이다.
Tip, Hint만 작성하던 사람이 Answer를 만들어야 하는 상황이 왔을 때 과연 잘 수행할 수 있을까? 아무리 공부를 하더라도, 담당자들의 이야기를 듣더라도 내가 직접 실무를 경험하지는 않기에 한계가 있을 것이다.
그렇다면, 이 문제를 어떻게 극복해야 할까? 답은 언제나 그렇듯 단순하다. 내 특별한 경험을 진정 나만의 것으로 녹여야 한다는 것이다.
첫 번째 사업은 ISMS-P, ISO 27001 인증을
두 번째 사업은 주요정보통신기반시설 점검을
세 번째 사업은 교육부/과기부 수준진단을 수행하고 있다. 각각의 인증 및 감사는 비슷한듯 하면서도 차이가 존재하며, 나는 매번 나의 소회 및 아이디어를 기록하며 무언가를 얻어내야 할 것이다.
또한, 첫 번째 사업은 사기업이었고, 두 번째 사업은 정출연이며, 세 번째 사업은 교육청이다. 각 조직에는 해당 조직만의 문화와 분위기가 있고, 추구하는 방향성이 다르기 마련이다. 이를 테면 어떤 곳은 실질적인 무언가를 원하며, 어떤 곳은 행정적인 결과만을 원하기도 한다. 이런 것들을 파악하며 조직별 특성을 온전히 이해해야 할 것이다.
또한, 나는 많은 담당자를 만났고, 앞으로 그 데이터는 계속해서 쌓일 것이다. 여러 사람을 만난다는 건 그 사람의 문제를 간접적으로 경험한다는 것이다. 내가 그들에게 팁과 힌트를 제공할 때마다 나는 그들이 그것을 토대로 답을 만들 때 마주하는 실제 문제점과 노고에 대해 이해해야 할 것이다. 이를 위해서는 나는 조금 더 친절한 컨설턴트가 되어줄 필요가 있을 것이다. 나는 그 누구도 도와주지 않던 담당자들에게 오로지 도움이 되는 존재가 되어야 할 것이다. 그렇다면 그분들의 경험을 공유할 수 있을 것이다.
어느 분야건 컨설턴트의 장점이자 단점은 '다양한 경험'일 것이다. 이것이 다재다능으로 진화하는가, 다재무능으로 진화하는가는 오로지 컨설턴트의 노력에 달린 일일 것이다.
'기타' 카테고리의 다른 글
| 물리적 취약점 진단을 위한 현장실사를 진행하며 느낀점 (2) | 2024.11.27 |
|---|---|
| 자격 시험에 대한 생각 (2) | 2024.11.23 |
| CSAP 인증심사와 ISMS 인증심사의 차이 소고 (1) | 2024.11.19 |
| 서류 중심 보안은 불필요한 것을 만드는 일일까 (3) | 2024.11.15 |
| 주요정보통신기반시설 물리적 취약점 점검을 진행하며 (0) | 2024.11.12 |