62. 보안 문서 작성의 시행착오와 사내 보안담당자의 성장

보안 담당자로 일하면서 각종 문서 작성을 피할 수 없는 일이 되었습니다. 개인정보 영향평가 보고서, 정보보호 대책 계획서, 보안 감사 대응 자료... 처음엔 이런 문서를 쓸 때마다 막막했고, 솔직히 몇 년 전 제 자신이 쓴 보고서를 돌이켜보면 부끄러운 부분도 많습니다. 그러나 반복되는 문서 작성 업무를 통해 많은 시행착오를 겪고 배우면서 조금씩 요령도 생기고 제 나름의 원칙도 갖추게 되었습니다. 이번 글에서는 제가 영향평가 등의 보안 문서들을 작성하며 겪었던 실수들과 깨달음, 그리고 사내에서 일 잘하는 보안담당자란 어떤 사람인가에 대한 개인적인 생각을 공유드리려고 합니다. 부족한 점이 많은 사람이지만, 같은 길을 걷는 후배 실무자분들께 작은 참고가 되길 바라며 겸손한 마음으로 적어봅니다.

반복되는 보안 문서 작성, 그 속에서 배운 것들

제가 처음 보안 문서를 작성할 때 가장 큰 착오였던 점은, 읽는 이를 고려하지 않고 쓰기 일쑤였다는 것입니다. 기술적인 디테일에만 몰두한 나머지 현업 부서 사람들이 알아보기 어려운 전문용어를 나열하거나, 반대로 경영진 보고용 문서에 지나치게 상세한 기술 설명을 넣기도 했죠. 돌이켜 보면 문서는 커뮤니케이션 수단이라는 당연한 사실을 간과한 것입니다. 보안 문서도 독자에 따라 형태와 깊이를 달리해야 하는데, 초기에는 모든 문서를 동일한 톤으로 작성했던 시행착오가 있었습니다. 예를 들어 영향평가 보고서를 쓸 때 개발자들과 공유할 부분은 기술적 취약점과 개선방안 중심으로, 경영진에게 보고할 때는 리스크의 비즈니스 영향과 우선순위 위주로 재편집하는 식의 맞춤형 커뮤니케이션이 필요합니다infosecinstitute.com. 지금은 문서를 착수할 때 "누가 이 문서를 볼 것인가?"를 먼저 생각하면서 개요를 잡습니다.

또 하나의 시행착오는 복사해둔 옛 문서를 맹신하는 것이었습니다. 보안 담당자라면 과거에 만든 정책집이나 체크리스트, 보고서 템플릿 등을 활용하기 마련입니다. 저 역시 선배가 남긴 템플릿을 소중히 여기며 활용했는데, 가끔은 오래된 양식이라 최신 상황에 맞지 않는 내용이 있을 때도 있고, 심지어 예전 회사 기준의 문구가 남아있는 실수를 하기도 했습니다. 한 번은 영향평가 보고서에 다른 서비스명을 그대로 넣었다가 지적받은 적도 있었죠. 이 일을 계기로 템플릿을 사용할 때 반드시 최신 법규나 회사 상황에 맞게 검토·수정하는 습관을 들였습니다. 자동완성에 의존하지 말고, 한 문장 한 문장 직접 읽어보고 검수하는 것이 중요함을 뼈저리게 느꼈습니다.

반복 작성의 피로감도 만만치 않은 도전이었습니다. 영향평가 보고서를 프로젝트마다 쓸 때, 매번 비슷한 취약점과 개선권고 사항을 적다 보면 창작의 고통(?)이 밀려오곤 합니다. 처음엔 “또 이 내용이야” 싶어 복사 붙여넣기를 많이 했는데, 그렇게 생성된 문서는 왠지 제 자신도 만족스럽지 않고 품질도 떨어지더군요. 그래서 생각을 바꿨습니다. “어차피 써야 한다면, 쓸 때 한 가지씩이라도 새로 배우자.” 라는 마음으로 임하니 같은 주제도 더 깊이 찾아보게 되고, 자연스레 글의 깊이가 더해졌습니다. 예를 들어 “HTTPS 적용”이라는 식상한 권고를 적을 때도, 그 배경에 최근 등장한 보안사고 사례나 표준의 변화를 조사해서 덧붙였습니다. 그 결과 문서도 풍부해지고, 저도 공부가 되는 선순환을 맛볼 수 있었습니다. 반복되는 문서 작업을 학습 기회로 삼은 셈이지요.

마지막으로 문서 작성에서 깨달은 핵심은 “결국 사람을 설득하는 내용이어야 한다”는 점입니다. 보안 문서는 단순히 사실을 기록하는 것이 아니라, 상대방이 받아들여 행동을 취하도록 설득하는 역할을 합니다. 영향평가서라면 개발팀과 경영진이 보안 개선에 동참하도록, 보안정책 문서라면 임직원들이 해당 지침을 지키도록 설득해야 합니다. 그러려면 너무 강압적이기보다 이해를 구하는 어조, 그리고 문서 내 논리의 일관성과 근거 제시가 중요하더군요. 처음엔 “~해야 한다” 식의 명령조로 많이 썼지만, 이제는 가능하면 “~하는 것이 바람직합니다(이러이러한 이유로)” 식으로 부연설명을 달고 있습니다. 이러한 접근이 실제 현업 부서의 수용성을 높이는 데 효과적이었습니다. 때로는 제가 작성한 위험 평가에 대해 타부서에서 반대를 제기할 때도 있었는데, 문서에 관련 법 규정이나 통계 자료를 출처와 함께 제시해 둔 경우 훨씬 원만하게 합의되곤 했습니다. 객관적인 근거를 인용하는 습관은 시행착오를 통해 얻은 소중한 팁입니다.

제가 생각하는 ‘일 잘하는’ 보안담당자의 모습

보안 문서 작성 이야기에 이어서, 자연스럽게 ‘사내에서 일 잘한다는 평을 듣는 보안담당자란 어떤 사람인가’ 제 개인적인 생각을 말씀드리고 싶습니다. 사실 이 질문에 저도 명확한 답을 갖고 있진 않습니다만, 여러 실무를 겪으면서 느낀 몇 가지 자질을 공유해 봅니다.

첫째는 소통과 협업 능력입니다. 보안 부서는 때로는 갈등의 한가운데 서게 됩니다. 보안을 강화하려면 현업의 불편을 초래하기도 하고, 때로는 개발팀과 일정 문제로 충돌하기도 하지요. 이럴 때 상대방의 언어로 설명하고, 공감대를 이끌어내는 소통 역량이 아주 중요합니다infosecinstitute.com. 제가 존경하는 선배 중 한 분은 기술적 문제도 비즈니스 언어로 풀어서 설명하는데 능했습니다. 예컨대 “이 취약점을 방치하면 고객 신뢰에 타격을 줄 수 있다”, “이 보안 개선은 장기적으로 비용을 절감한다” 등으로 말하면 경영진이나 다른 부서도 훨씬 진지하게 듣습니다. 기술을 사업 맥락에 맞게 번역해내는 능력이 곧 보안담당자의 설득력이라고 생각합니다. 이러한 소통능력 덕분에 Tripwire 설문에서 보안 채용 시 60%가 가장 중요하게 보는 역량이 커뮤니케이션이었다는 결과도 있지요infosecinstitute.com. 문서 작성 경험도 사실 이 소통능력을 키워주는데 큰 도움을 줬습니다. 글로 이해하기 쉽게 설명하는 훈련이 말로 설득하는 데에도 응용되더군요.

둘째는 끊임없는 문제해결 노력과 꼼꼼함입니다. 보안 업무는 회사의 새로운 서비스 출시부터 사고 대응까지 두루 관여하는 경우가 많습니다. 매일 예측 못한 문제가 터지기도 하고요. 이럴 때 스스로 동기부여하여 끝까지 파고드는 태도가 필요합니다. “이 정도면 됐다” 하고 넘기지 않고, root cause를 분석하고 재발 방지책까지 고민하는 사람이 결국 두각을 나타냅니다. 물론 혼자 모든 답을 알 수는 없기에, 팀워크도 중요합니다. 개발팀, 서버팀 등과 협업하며 타인의 전문성을 존중하고 도움을 구할 줄 아는 자세도 실력자의 덕목이라 생각합니다. 문제 해결을 위해 여러 부서와 조율하고, 때론 외부 전문가 의견도 구하면서 솔루션을 찾아가는 집요함이야말로 보안담당자의 핵심 역량이지요.

셋째는 겸손하고 배우는 자세입니다. 보안 분야는 워낙 방대하고 변화무쌍해서, 한 사람이 모든 것을 알 수 없습니다. 모른다고 솔직히 인정하고 시작하는 게 오히려 신뢰를 줍니다. 저 역시 새로운 기술이나 규정을 접하면 모른다는 것을 인정하고 하나하나 배우려 합니다. 그렇게 해야 다른 부서와도 허심탄회하게 소통할 수 있고, 실수를 줄일 수 있더군요. 가끔 보안팀이 “그건 왜 몰라요?” 식으로 다른 부서를 대하면 관계가 경직되는 걸 봅니다. 사내에서 일 잘하는 보안담당자는 오히려 스스로 낮추고 타부서의 어려움을 이해해주는 사람이라고 느꼈습니다. 예컨대 개발팀이 일정 압박을 토로하면 “충분히 이해한다, 대신 최소한 이 정도 선에서 보안을 타협하자” 식으로 현실적 합의를 이끌어내는 식입니다.

넷째는 업무 관리와 문서화 습관입니다. 앞서 언급한 문서 작성과 연결되는 부분인데요. 제 경험상, 체계적으로 일 잘하는 분들은 기록을 잘 남기고 공유합니다. 보안 점검 결과나 회의록, 정책 변경사항 등을 꼼꼼히 문서화해두면 업무 인수인계도 원활하고, 팀 내 지식도 축적됩니다. 이러한 투명한 업무 스타일이 신뢰를 쌓는 기반이 됩니다. 그리고 일을 체계적으로 한다는 평가는 곧잘 리더십 자질로 이어지기도 하고요. 저도 초기엔 메모 없이 머릿속으로만 일처리하다 몇 번 놓친 일이 있었는데, 요즘은 작은 일도 티켓이나 노션 페이지로 정리하려고 합니다.

마지막으로

사명감과 주인의식을 들고 싶습니다. 뻔한 말이지만, 보안담당자는 회사와 고객의 중요한 정보를 지키는 수문장입니다. 때로는 보안 이슈를 두고 고민을 집에까지 가져가기도 하고, 밤새 모니터링 알람에 깨어나기도 합니다. 이런 일들을 겪으면서 “왜 이렇게까지 해야 하나” 회의감이 들 때도 있지만, 한편으로는 내가 이 조직의 보안을 책임지는 사람이다라는 사명감이 버티게 해주는 힘이 됩니다. 스스로 일을 단순히 직장인이 아닌 보안 책임자라는 마음으로 임할 때 일의 질이 한 단계 올라감을 느낍니다.

글이 길어졌는데요. 결국 ‘일 잘하는 보안담당자’에 정해진 공식은 없겠지만, 위에 열거한 소통, 문제해결, 겸손한 태도, 체계적 업무습관, 사명감 등이 두루 조화를 이루는 분들이 제 눈에는 뛰어났습니다. 저 역시 그분들을 롤모델로 삼아 제 역량과 태도를 늘 돌아보고 있습니다.

보안 업무는 눈에 띄지 않게 공들여도 티가 안 나지만, 문제가 터지면 가장 먼저 불려가는 역설적인 자리입니다. 그래서 더욱 정신적 보람과 성취감이 중요한 직무이기도 합니다. 문서를 밤새 만들어도 아무도 안 알아줄 때가 있지만, 가끔 “덕분에 사고 예방했다”는 말을 들으면 큰 보상을 받은 기분이죠. 모든 보안 실무자 분들이 자신의 역할에 자부심을 갖고, 동시에 계속 배우면서 성장해 나가시길 바랍니다. 저도 부족하지만 같은 길에서 끝까지 정진해보려고 합니다. 긴 글 읽어주셔서 감사합니다.