컨설팅을 하며 느끼는 한계와 개선 방향성

컨설팅의 장점은 무엇일까? 다양한 환경, 현황, 과제, 위협 등을 경험하는 것이다. 놀라울 만큼 보안 수준이 낮은 곳도 있었고, 최근 개인정보 유출사고가 터진 곳도 있었고, 그저 형식적인 것만을 추구하는 곳도 있었고, 실질적 보안 강화를 위해 노력하는 곳도 있었다.

 

그런데 문제는 다양한 걸 경험하지만, 그 깊이가 얕다는 데 있다. 왜 얕을까? '당연히 주어진 과제만 수행하니 얕지'라고 생각을 해왔는데, 최근 이 문제에 대해 조금 고민한 결과, 다른 결론을 내렸다. 앞선 말이 틀린 말은 아니다만, 더 본질적인 이유가 있다. 회계 법인 등 일부 조직을 제외한 대다수 컨설턴트의 가장 큰 문제는 정형적인 것에만 몰두한다는 것이다.

 

우리 회사의 경우 정보보호 전문 서비스 기업이고, 이 전문 서비스 기업들은 매년 어느 정도 기반시설 과제에 대한 실적이 있어야 한다. 그리고 들어가면 하는 건 결국 매번 똑같다.

 

주요정보통신기반시설 체크리스트 기반 진단

전자금융기반시설 체크리스트 기반 진단

 

물론 여러 산출물을 만들기는 하지만, 골자는 체크리스트 기반 진단이라는 점이다. 이건 다른 곳에 들어가도 마찬가지다. 정보보호 수준진단, 개인정보보호 분석·평가 등 무엇을 수행하건, 체크리스트로 진단하는 경우가 많다. ISMS나 ISO도 마찬가지다. 체크리스트 기반으로 산출물이 다 확보되는지를 확인한다. 그러기에 만약 내가 어떤 추가적인 노력을 하지 않는다면, 내가 컨설팅을 지속하면서 늘어나는 역량은 체크리스트 안에서의 신속성, 정확성 등을 늘리는 일일 것이다.

 

하지만 체크리스트에 갇히게 되면, 사고도 갇히게 되는 법이다.

 

습관이란 참 무섭다. 체크리스트 기반 진단을 하다 보면, 어떤 과제를 마주하게 될 때 체크리스트부터 찾게 된다. 그리고 당연하게도, 체크리스트는 실제 환경을 따라갈 수가 없다. 전자금융기반시설 체크리스트의 경우 매년 조금씩 개정이 있다 한들, 그게 과연 실무에서의 모든 장비를 진단할 수 있을까? 절대 절대 절대 절대 불가능이다. 당장 컨테이너만 하더라도, 전자금융 체크리스트로는 택도 없다. 하물며 주요정보통신기반시설? 2021년 이후로 개정된 바 없다. 여기는 실무를 따라갈 의지조차 없는 것이다.

 

내가 생각하기에, 체크리스트는 어디까지나 보안에 대해 이해도가 적고, 투자를 하기 어려운 소규모 조직에서나 쓰일 법한 것이다. 그리고 체크리스트는 앞서 말했듯 결코 만능일 수 없고, '이 정도는 해야지'라는 최소의 기준으로 받아들여야 할 것이다. 그리고 컨설턴트는 그걸 잊고 체크리스트에 몰두하게 되는 업무를 하는 것이다.

 

그리고 그런 컨설턴트들은 어려운 과제가 있는 사업에 들어가게 되면, 문제를 해결할 능력이 없어 방황할 것이다. 그리고는 담당자의 요구를 최대한 쳐내려고만 할 것이다. 'RFP에 이런 내용 명시된 게 없잖아. 이건 우리가 할 일이 아니야'라고 생각하며 말이다.

 

그렇기에 컨설턴트들은 주어진 과제 외에 그 사이트에서 역량을 늘리는 기회를 스스로 잡는 것이 중요할 것이다. 네트워크 구성도를 볼 수 있으면 보고, 여러 장비 및 솔루션들의 실제 운용을 볼 수 있다면 최대한 보도록 노력해야 한다. 그리고 절대 회사에서는 산출물을 만들 허용을 안할 테니 공식적으로 무언가 업무를 할 수는 없겠지만, 아침 또는 저녁의 여유시간을 이용하여 투입된 사이트의 실질적인 위험 분석 및 플랜 제시를 하는 것이 필요하다. 그게 실질적으로 어렵다면, 체크리스트를 실무에 맞게 변형해보는 연습을 해보는 것도 좋을 것이다. 각 장비마다 어떤 보안 진단이 더욱 필요한지, 어떤 관점에서 보아야 하는지, 어떤 설정을 해야 그걸 확인할 수 있는지 하나하나 찾아보는 것이다.

 

그렇다면 더 나아갈 수 있지 않을까? 물론 그 회사의 대외비이기 때문에 어떠한 방식으로도 내가 나만의 문서를 만들 수도 없겠지만, 체크리스트에서 벗어나려는 시도는 펑범한 컨설턴트로서의 한계를 벗어날 수 있는 길을 제시해줄 것이다.