35. 정보보안 커리어를 막연하게 생각해 보면서 적어본 메모

정보보안 커리어를 어떻게 가져가야 할지는
아직 저도 잘 모르겠다.

주변에서 일하는 선배들, 동기들 얘기를 듣다 보면
길이 정말 제각각이라
“이게 정답이다”라고 말하기가 쉽지 않은 것 같다.

그래도 몇 년 정도 현장에서 일하다 보니
머릿속에서 대략 이렇게 나뉘어 보이는 부분이 있어서,
어디까지나 개인적인 메모 느낌으로 한 번 정리해 본다.
(틀릴 수도 있고, 상황마다 많이 다를 수 있다는 전제를 깔고 보고 봐 주면 좋겠다.)

1. 초반 단계 – 운영·관제 쪽에서 “현상을 먼저 익히는 시기” 같았다

저 포함해서 주변 얘기를 들어보면
경력 초반에는 운영이나 관제 쪽에서 시작하는 경우가 꽤 있는 것 같다.
• 시스템·네트워크 로그를 직접 보는 경험
• 장애나 알람이 났을 때 선배들이 어떤 순서로 확인하는지 옆에서 배우는 시간
• 개발팀, 인프라팀이 어떤 말로 상황을 설명하는지 듣는 것

이런 것들이 조금씩 쌓이면서
학교나 자격증 공부로 배운 개념들이
“아, 저게 이 상황이었구나” 하고 연결되는 느낌이 있었다.

이 시기에는
• 완벽한 설계나 정책을 고민하기보다는
• 눈앞에서 실제로 벌어지는 일들을 많이 보고,
• 왜 이런 장애·알람이 생겼는지 이해하려고 계속 질문해 보는 것

만 해도 꽤 도움이 되는 것 같았다.

2. 중간 단계 – 설계·평가·프로젝트 쪽으로 “조금씩 구조를 건드려 보는 시기”

시간이 조금 지나면
운영·관제만 하기보다는
조금씩 설계나 평가, 프로젝트 일을 함께 맡는 경우가 생기는 것 같다.

예를 들면,
• 신규 서비스 보안 검토나 개인정보 영향평가를 옆에서 도와본다든지
• 방화벽, WAF, NAC, DLP 같은 솔루션 도입/개선 프로젝트에 일부 담당으로 참여한다든지
• 클라우드 전환이나 사옥이전 같은 인프라 변경 작업을 지원하는 역할로 들어가는 식

아직 전체를 총괄할 정도는 아니고,
일부 구간을 맡아서 챙기는 정도지만
그래도 운영만 할 때랑은 시야가 조금 달라지는 느낌이 있었다.

이때 개인적으로 신경 쓰려고 했던 부분은
• 요구사항을 그냥 듣고 끝내지 않고,
정리해서 문서로 한 번 써보는 것
• 여러 팀이 같이 얽힌 이슈일 때
누구 입장만 너무 강하게 보지 않으려고 하는 것
• 보안 요구사항을 “무조건 안 됩니다”보다는
“이 정도는 최소로 필요해 보인다” 정도로 설명해 보려고 하는 것

정도였던 것 같다.

잘하고 있다고 말하기는 어렵지만,
이렇게 의식하고 움직이면
조금씩은 “보안을 막는 역할”이 아니라
“리스크를 설명하는 역할”에 가까워지는 것 같다는 느낌은 있었다.

3. 그다음 – 거버넌스·컴플라이언스 쪽을 “조금씩 맛보는 시기”

경력이 아주 오래된 건 아니지만,
그래도 몇 년 하다 보니
ISMS-P, ISO 27001/27701 같은 인증이나
내부 규정·지침 개정, 교육·가이드 작성 같은 일도
조금씩 접할 기회가 생겼다.

이 단계에서는
• 법·규정에 나오는 용어
• 심사 체크리스트
• 리스크 관리 관점에서 쓰는 표현들

이런 것들이 익숙하지 않아서
처음에는 꽤 버거운 느낌이 있었다.

그래도 현장에서 겪었던 사례들
(예: 로그가 부족해서 고생했던 경험, 계정 회수 누락 등)을
정리해서 규정이나 교육 내용에 녹여보려고 하다 보니,

“정책 문서도 결국 현장에서 있었던 일들을
조금 더 일반화해서 적어놓은 거구나” 하는 생각이 들기도 했다.

아직 이쪽은 배우는 단계라
조언을 할 입장은 전혀 아니고,
그냥 이렇게 연결하려고 노력하고 있다는 정도로 봐 주면 좋겠다.

4. 가끔 스스로에게 던져보는 질문들

정확한 로드맵이라기보다는,
요즘 가끔 생각해 보는 질문 몇 가지를 같이 적어본다.
• 지금 내가 주로 하고 있는 일은
운영/관제 쪽에 더 가까운지,
설계/평가 쪽인지,
아니면 거버넌스/정책 쪽인지
• 앞으로 해보고 싶은 역할은
이 가운데 어느 축에 조금 더 가까운지
• 그 역할을 위해
당장 회사 안에서 시도해 볼 수 있는 일이나 프로젝트가 있는지
• 이직이 꼭 필요한 시점인지,
아니면 지금 자리에서 더 배울 수 있는 여지가 아직 남아 있는지

이 질문들에 선명한 답이 나오는 건 아닌데,
그래도 한 번씩 적어보면
내가 너무 흐름에만 떠밀려 가고 있는 건 아닌지
점검하는 데는 조금 도움이 되는 것 같다.

5. 마무리

정보보안 쪽 일은
기술, 인프라, 프로세스, 규정,
사람과의 커뮤니케이션까지 다 섞여 있어서
“이 길이 맞다”라고 단정 짓기가 쉽지 않은 것 같다.

그래서 요즘은
• 내가 어떤 형태의 일을 할 때 상대적으로 덜 지치고,
• 어떤 환경에서 더 많이 배우는 느낌이 드는지,
• 조직 속도와 내 속도가 어느 정도 맞는지

이런 것들을 천천히 확인해 보면서
조금씩 방향을 조정해 나가는 게
지금 단계에서는 현실적인 방법이 아닐까 하는 생각이 든다.

여기 적은 내용들은
누군가에게 조언하려고 쓴 글이라기보다는,
저 스스로를 정리해 보려고 적어본 기록에 가깝다.
비슷한 고민을 하는 분이 있다면
“아, 저 사람은 저렇게 생각하고 있구나” 정도로
가볍게 참고만 해 주시면 좋겠다.