43. 개인정보·정보보안 공부를 하면서 잡아본 나만의 방향

지금은 개인정보 보호 담당자나 보안 담당자를 목표로
관련 공부를 계속 하고 있다.

아직 현업에서 여러 회사를 거친 것도 아니고,
학계에서 연구를 오래 한 것도 아니라
“전문가”라고 말하기에는 거리가 멀다.

그래도 조금씩 공부하다 보니
어디에 더 집중해야 할지,
어떤 흐름으로 공부하면 좋을지에 대해
나름대로 생각이 정리되는 부분이 있어서
기록 차원에서 적어두고 싶었다.

법·제도는 “배경을 이해한다”는 느낌으로 계속 읽어보기

개인정보보호법이나 관련 고시, 가이드 문서를 보면
처음에는 용어도 어렵고 분량도 많아서
한 번에 이해하기가 쉽지 않았다.

그래도 계속 읽어보면서 느낀 건,
“어려운 조문을 외우자”보다는

• 왜 이런 조항이 생겼는지
• 어떤 사고나 이슈를 계기로 강화되었는지
• 사업자에게 무엇을 요구하려는 것인지

이 배경을 이해하려고 노력하는 게
조금 더 현실적인 방향 같다는 점이었다.

아직도 모르는 부분이 훨씬 많지만,
새로운 서비스나 이슈를 볼 때
“아, 이건 저 조항과 연결되는 내용이구나” 정도는
조금씩 보이기 시작하는 것 같다.

기술적인 부분은 ‘이론 + 손으로 해보기’를 같이 가져가기

정보보안은 이론만으로는 잘 안 남는 느낌이 있어서,
가능하면 작은 것이라도 직접 해보려고 하고 있다.

• 네트워크 구조와 패킷 흐름을 이해하려고
  간단한 가상 환경을 만들어 보거나
• 웹 취약점 관련 공부를 하면서
  테스트 페이지에 일부러 잘못된 설정을 해보기도 하고
• 로그를 어떻게 남기고 보는지 감을 잡으려고
  ELK나 단순 로그 수집 도구를 써보는 식이다.

물론 실무 시스템과는 차이가 크겠지만,
직접 손을 움직여 보니
문서로만 봤을 때보다 훨씬 잘 기억에 남는다는 걸 느꼈다.

“개인정보 보호”와 “정보보안”을 따로 보지 않으려고 하기

처음 공부를 시작했을 때는

• 개인정보 보호 = 법·제도, 동의서, 규정
• 정보보안 = 암호화, 해킹, 장비, 로그

이렇게 완전히 다른 영역처럼 느껴졌다.

그런데 관련 자료와 사례를 계속 보다 보니,
결국 두 영역이 서로 섞여 있다는 생각이 들었다.

• 법에서는 “적절한 기술적·관리적 보호조치”라고 쓰여 있고
• 기술에서는 그 보호조치를
  암호화, 접근통제, 로그, 망 분리 등으로 구현하고
• 현장에서는 그 둘을
  서비스와 조직 구조에 맞게 섞어서 적용해야 하기 때문이다.

그래서 요즘은
법·제도와 기술을 완전히 따로 보기보다는,
어떻게 연결되는지에 더 신경 쓰면서 공부하려고 하고 있다.

“나중에 무슨 역할을 하고 싶은지”를 가끔 떠올려 보기

아직 구체적으로 어느 회사, 어떤 직무라고 정해 둔 것은 아니지만,
대략 이런 질문은 가끔 스스로에게 던져보고 있다.

• 나는 주로 문서·정책·평가 쪽 일을 하고 싶은지
• 아니면 시스템·네트워크 같은 인프라 쪽에 더 끌리는지
• 둘을 적당히 섞어서
  실무와 컴플라이언스를 잇는 역할을 하고 싶은지

정답이 바로 나오지는 않지만,
관심이 가는 뉴스나 공부할 때 더 재밌는 분야를 보면서
조금씩 방향을 잡아가는 중이다.

이걸 자주 떠올리다 보니
자격증이나 책을 고를 때도
“당장 유행하는 것”보다는
내가 가고 싶은 방향에 맞는 걸 고르게 되는 것 같다.

마무리

개인정보와 정보보안을 함께 공부하다 보면
배워야 할 것도 많고,
속도도 빠르게 변해서
가끔은 뒤처지는 느낌이 들 때도 있다.

그래도 정리해 보면,

• 법·제도는 배경과 방향을 이해하려고 하고
• 기술은 이론과 실습을 같이 가져가고
• 개인정보 보호와 정보보안을
  가능한 한 연결해서 보고
• 내가 하고 싶은 역할을 가끔 떠올려 보면서
  공부 방향을 조정하는 것

이 네 가지가
지금 단계에서 제가 붙잡고 있는 기준들이다.

아직은 지망생에 가까운 위치지만,
이 과정을 꾸준히 쌓아두면
언젠가 “개인정보 보호 담당자”나 “보안담당자”라는 이름을
조금은 자연스럽게 사용할 수 있는 날이 오지 않을까 기대하고 있다.