기업 보안 담당자의 역할과 필요한 역량 소고

기업마다 보안 담당자는 형태와 역할이 조금씩은 차이가 있을 것이다. 이는 '보안'이라는 것을 기업에서 어떤 시각으로 바라보냐에 따라 갈릴 것이다. 중소기업의 경우 보안담당자가 아예 없을 수도 있고, 보안담당자와 개인정보보호 담당자가 구분되지 않는 곳도 있을 수 있으며, 각 담당자가 명확한 구분 없이 상호보완적인 곳도 있을 것이다.

 

그리고 개인정보 담당자들 대화방을 보며 그간 느낀 것은, 보안담당자에게 있어 기술적 역량만 중요한 것이 아니라는 점이다. 문득 고려대학교에서 개인정보보호 대학원을 신설한다고 했을 때 강의의 상당수가 인문학과 연관된 것이었던 게 기억난다. 그것만 보더라도 기술적인 부분은 깔고 들어간다고 봐야하는 게 맞을 것이다.

 

사실, 기술적이라는 부분도 기업마다 필요한 부분은 제각각일 것이다. 각 기업마다 사용하는 제품 및 솔루션이 제각각일 것이고, 용역 및 하청업체와 협업하는 방식도 제각각일 것이니 말이다.

 

그리고 내가 내린 결론은, 보안 담당자는 단순 정보보호 및 개인정보보호를 넘어, 광범위환 경영 관리적 역할을 수행해야 한다는 점이다. 예를 들어, 보안 담당자를 하면서 회사의 재무적인 부분을 경시할 수는 없을 것이다. 즉, 경영에 도움이 되는 관리적 역할까지 수행해야 한다는 것이다. 따라서 이 부분에 대한 리더십의 능력이 요구될 것이다.

 

또한, 보안 담당자는 언제나 균형을 맞추는 데에 집중해야 한다. 그렇지 않으면 헬프 데스크로 전락하기 쉬울 것이다. 효율성과 보안성 사이의 적절한 균형을 맞춰야 할 것이며, 필요에 따라 경영진을 설득할 수 있어야 할 것이다. 사실 판교에 있는 KISA 교육을 갔을 때 당시의 박나룡 강사님도 이 부분을 강조하셨다. 경영진을 설득하는 게 가장 중요한 덕목 중 하나라면서 말이다. 그래서 당시 법을 활용한 협박(?)에 관한 내용을 듣기도 했다. 사실 이 부분에 있어서는 대부분 담당자들이 골머리를 앓는 영역이지 않을까 싶다. 편의성, 효율성을 다소 포기하여 보안성을 높인다는 것 자체를 받아들이기 싫은 사람들이 워낙 많을 것이기 때문이다. 괜히 담당자들이 일이 한 번 터져야 정신차린다는 우스갯소리를 하는 게 아닌 듯하다.

 

그리고 앞선 문제를 해결하기 위해서는 결국 내부 정치적 문제에도 대처할 수 있어야 할 것이다. 보안 정책은 어디까지나 경영진을 돕는 방향으로 수립되어야 하며, 이를 달성하는 게 중요할 것이다. 

 

결국, 요약하자면 보안담당자에게 필요한 능력은 정말 많다. 기술적 역량, 관리 능력, 의사소통 능력, 문제 해결 능력, 경영진과의 협의 등 다양한 분야에서 능력을 키워야 할 것이다.

 

그리고 현재, 컨설턴트로서 노력할 수 있는 부분은 결국 사업에서 가능한 담당자와의 소통을 긴밀하게 하는 것이라 생각한다. PM을 제외하고는 투입인력 내 실질적인 리더가 되도록 해야 할 것이며, 그 과정에서 의사소통 능력이나 문제 해결 능력 등을 더욱 향상시킬 수 있을 것이다.