지금까지의 커리어를 돌아보면
크게 세 단계로 나눌 수 있을 것 같다.
원격 보안관제,
인하우스 정보보안,
그리고 지금 하고 있는 개인정보 영향평가.
각 단계에서 배운 것들이 달라서,
앞으로는 이 세 가지를 어떻게 엮어갈지
조금씩 그림을 그려보고 있다.
보안관제에서 배운 것 – “이벤트를 보고 상황을 상상하는 힘”
보안관제 센터에 있을 때는
여러 고객사의 이벤트를 동시에 보면서
경보를 분류하고,
필요한 경우 대응을 이어가는 역할을 했다.
직접 시스템에 접속해 설정을 바꾸는 일보다는
로그와 이벤트를 기반으로
- 이 현상이 일시적인 것인지
- 반복되는 패턴인지
- 실제 사고로 이어질 가능성이 있는지
를 빠르게 가늠하는 일이 많았다.
지금 생각해 보면
이때 익힌 건 “이벤트를 보고 상황을 상상하는 힘”이다.
이 경험 덕분에
지금도 로그나 구조도를 보면
머릿속에서 그림을 먼저 그리려는 습관이 남아 있다.
인하우스 정보보안에서 배운 것 – “결정을 끝까지 가져가는 과정”
이후 인하우스 정보보안 담당자로 옮겼을 때는
장비를 직접 운영하고,
정책을 만들고,
현업과 조율하는 비중이 훨씬 커졌다.
관제에서는
“이상 징후를 발견하고 알리는 것”이 주요 역할이었다면,
인하우스에서는
- 어떤 정책을 만들지 결정하고
- 그 정책을 시스템에 적용하고
- 현업의 반응과 불편을 조정하고
- 다시 개선하는
전 과정을 직접 겪어야 했다.
그 과정에서
“보안 관점에서 맞는 말”과
“조직이 실제로 따라올 수 있는 말” 사이의 간격을
조금씩 체감하게 됐다.
개인정보 영향평가에서 배우는 것 – “법·서비스·기술을 한 번에 보기”
지금 맡고 있는 개인정보 영향평가는
관제와 인하우스에서 하던 일과는
다른 종류의 고민을 요구한다.
- 서비스·시스템이 무엇을 하려고 하는지
- 그 과정에서 어떤 개인정보가 처리되는지
- 법·가이드라인에서 요구하는 보호조치는 무엇인지
- 실제 인프라와 운영이
그 보호조치를 어느 정도 충족하는지
이 네 가지를 한 번에 보면서
“이 구조가 합리적인지”를 판단해야 하기 때문이다.
이전 경험 덕분에
문서에 적힌 내용만 보는 것이 아니라,
실제 운영 화면과 로그·장비 구성을 떠올리면서
조금 더 현실적으로 검토하려고 노력 중이다.
앞으로 그리고 싶은 커리어 방향
아직 커리어가 길다고 말할 수 있는 단계는 아니지만,
지금까지 경험을 정리해 보면
한 가지 방향은 분명해지는 것 같다.
보안관제에서 시작해
인프라 보안, 개인정보 영향평가로 이어진 경험을
“따로따로” 쌓는 것이 아니라,
- 기술·인프라의 현실을 이해하고
- 법·제도와 컴플라이언스를 읽을 수 있고
- 서비스·조직의 맥락 안에서 조율할 수 있는 사람
쪽으로 커리어를 가져가고 싶다.
결국 조직 입장에서는
“하지 말자”가 아니라
“이 정도 방식이라면 할 수 있다”를
현실적으로 제안해 주는 역할이 필요하다고 느낀다.
마무리
보안관제, 인하우스 보안, 개인정보 영향평가는
겉으로 보면 전혀 다른 일처럼 보이지만,
- 이벤트와 로그를 통해 상황을 상상하고
- 정책과 장비를 실제 운영에 녹여보고
- 법·서비스·기술을 함께 보면서 구조를 점검하는 경험
이 세 가지를 합치면
조직 내에서 꽤 넓은 관점을 가진 보안·개인정보 담당자로
성장할 수 있을 거라고 믿고 있다.
아직은 “가는 중”이지만,
이 흐름을 잘 살려서
언젠가는 조직에서 편하게 상의할 수 있는
보안 파트너에 가까운 사람이 되고 싶다.
'커리어·일하는 방식' 카테고리의 다른 글
| 56. 영향평가 반복 업무, 내부 기준으로 정리하는 습관의 힘 (0) | 2025.12.22 |
|---|---|
| 52. 실무 내용을 블로그에 남기기로 한 이유, 그리고 기대하는 것들 (0) | 2025.12.19 |
| 46. 개인정보 보호 요구사항을 현업에 설명할 때 스스로 지키려는 태도들 (1) | 2025.12.17 |
| 40. 개인정보 영향평가 실무를 하면서 느낀, 일의 난이도보다 “조율”의 난이도 (0) | 2025.12.15 |
| 35. 정보보안 커리어를 막연하게 생각해 보면서 적어본 메모 (1) | 2025.12.12 |