보안이나 개인정보 쪽으로 이직을 고민하는 분들과 이야기를 나누다 보면
가장 많이 나오는 질문이 있습니다.
“보안/개인정보 담당자는 하루 종일 무슨 일을 하세요?”
회사마다 조직 구조도 다르고 역할 분담도 조금씩 다르지만,
제가 현업에서 반복해서 경험했던 업무들을 기준으로
어떤 일들이 있는지 한 번 정리해 보려고 합니다.
완전히 정답이라고 하기보다는,
실제로 일을 하면서 자연스럽게 느낀 흐름 정도로 봐주시면 좋겠습니다.
- 정책·지침을 만들고, 현실에 맞게 고쳐 나가기
보안·개인정보 업무를 하다 보면
정책과 지침 문서를 다루는 시간이 꽤 많습니다.
- 정보보안·개인정보 관련 정책과 기준을 정리하고
- 법령이나 인증 요구사항이 달라지면 문서를 개정하고
- 우리 조직이 감당할 수 있는 수준에 맞게 세부 기준을 다듬는 일들이 반복됩니다.
겉으로 보면 문서 작업처럼 보이지만,
실제로는 조직의 습관과 기준을 조정하는 작업에 가깝습니다.
너무 이상적인 기준만 적어 두면
현장과 문서 사이의 거리가 멀어지고,
반대로 기준을 너무 낮추면
사고나 점검이 발생했을 때 방어 논리가 약해집니다.
그 사이에서 균형을 찾는 것이
항상 고민이 되는 부분이었습니다.
- 신규 서비스·시스템 보안·개인정보 검토
새로운 서비스를 만들거나
기존 시스템을 크게 변경할 때는
기획서, 화면 설계서, API 명세 등을 보면서
여러 가지 질문을 던지게 됩니다.
- 어떤 정보를 수집하는지
- 어디에 저장하는지
- 누가 어떤 경로로 접근하는지
- 암호화, 접근권한, 로그, 가명처리 등 어떤 조치가 필요한지
- 개인정보 영향평가 대상에 해당하는 수준인지
이 과정에서 기획, 개발, 인프라 담당자들과
협업을 많이 하게 됩니다.
보안 요구사항만 일방적으로 전달하면
현실과 맞지 않는 경우가 많기 때문에,
서비스 일정과 인력 상황을 함께 고려하면서
“지금 이 상황에서 적용 가능한 가장 현실적인 조합이 무엇인지”
같이 찾아가는 쪽에 가깝습니다.
저 역시 이 과정에서 다른 직무의 시각을 많이 배우고 있습니다.
- 점검, 감사, 인증 대응
조직마다 정도는 다르지만,
보통 다음과 같은 일들을 접하게 됩니다.
- 내부 보안·개인정보 자체 점검
- 외부 감사나 규제기관 점검 대응
- ISMS-P, ISO 계열 같은 인증 심사 준비
대부분의 점검은
우리가 정해 둔 기준을 실제로 지키고 있는지 확인하는 과정입니다.
그래서
- 평소에 프로세스를 어떻게 운영해 왔는지
- 로그, 회의록, 보고서 같은 증적을 어떻게 남겨두었는지
에 따라 대응 난이도가 많이 달라집니다.
개인적으로는 점검과 심사를
완전히 별도의 이벤트라기보다는
평소 운영 상태를 한 번 점검받는 과정이라고 생각하려고 합니다.
현실에서는 늘 여유롭지만은 않지만,
이렇게 생각하려고 노력하면
정신적인 부담이 조금 줄어드는 느낌은 있었습니다.
- 사고 대응과 재발 방지
아무리 대비를 하더라도
의심스러운 상황이나 사고에 가까운 일들은 가끔 발생합니다.
- 이상 로그인이나 의심스러운 접근, 비정상 트래픽 모니터링
- 계정·권한 설정 오류로 인한 노출 가능성 점검
- 실제 유출이나 오남용이 확인된 경우 영향 범위 분석
이 단계에서는 기술적인 분석과 함께
관련 부서와의 소통도 동시에 필요해집니다.
- 어떤 사실을 언제, 누구에게 알릴지
- 어떤 수준에서 재발 방지 대책을 정리할지
를 함께 정리해야 하기 때문입니다.
문제를 숨기는 것보다는
어디서부터 개선을 시작할지에 초점을 두는 편이
결국 조직에도, 담당자에게도 더 도움이 된다고 느꼈습니다.
이 부분은 지금도 계속 배우는 영역입니다.
- 교육, 문의 응대, 작은 상담들
보안·개인정보 담당자는
회사 안에서 일종의 상담 창구 역할을 하게 되는 경우가 많습니다.
- 임직원 대상 보안·개인정보 교육 기획과 진행
- “이렇게 처리해도 될까요?” 같은 일상적인 문의 응대
- 수탁사·협력사와의 보안 요구사항 협의
법령과 규정은 아무래도 표현이 딱딱하다 보니,
그 내용을 현장의 언어로 풀어서 설명해야 할 때가 많습니다.
왜 이런 요구사항이 생겼는지,
어떤 사고를 막기 위한 장치인지
배경까지 같이 설명해 드리면
협업이 훨씬 수월해지는 경우가 많았습니다.
- 이 업무를 하면서 느낀 점
보안·개인정보 업무의 장점을 꼽자면,
- 회사 전체 서비스와 시스템 구조를 넓게 볼 수 있고
- 기술과 제도를 함께 다루면서 시야가 넓어지고
- 눈에 띄지 않는 위험을 줄이는 데 기여했다는 조용한 보람이 생기고
이런 부분들이 있습니다.
동시에
- “안 된다”라는 메시지를 대신 전달해야 할 때의 부담
- 빠른 출시와 리스크 관리 사이에서의 줄타기
- 계속 바뀌는 법·기술을 따라가야 하는 압박감
도 분명히 존재합니다.
저 역시 아직 시행착오를 겪으면서 배우는 입장입니다
'커리어·일하는 방식' 카테고리의 다른 글
| 23. 보안 직무 이직을 고민할 때 스스로에게 던져본 세 가지 체크 질문 (0) | 2025.12.08 |
|---|---|
| 20. 보안·개인정보 일을 하면서 번아웃을 피하려고 했던 시도들 (0) | 2025.12.08 |
| 16. 보안팀과 개발팀이 덜 부딪히는 방법에 대해 생각해 본 적이 있습니다 (0) | 2025.12.08 |
| 13. 보안 교육, 어떻게 해야 덜 욕먹고 더 전달될까 (0) | 2025.12.08 |
| 1. 보안 실무 기록을 시작합니다 (0) | 2025.12.08 |