68. 보안 실무자의 '지속 가능'한 일하는 방식

정보보안 현장에서 오래 일하다 보면, 이 분야에서 오랫동안 건강하게 일하는 법에 대해 진지하게 고민하게 됩니다. 보안 업계는 하루가 다르게 변화하고 항상 긴장감을 요구하기에, 자칫 잘못하면 몇 년 못 가 지쳐버리기 쉽습니다. 저를 비롯한 많은 보안 실무자들이 겪는 어려움으로 과도한 경계심으로 인한 스트레스, 누적되는 업무 피로, 미래에 대한 경력 불안 등을 꼽을 수 있습니다. 이 글에서는 이러한 문제들을 솔직하게 짚어보고, 제가 생각하는 지속 가능하게 일하는 방식에 대해 이야기해보려고 합니다. 정답은 아닐지라도, 비슷한 길을 걷는 분들과 고민을 나누는 마음으로 제 경험과 배운 교훈들을 공유합니다.

과도한 경계심이 부르는 스트레스

보안 담당자는 직업 특성상 항상 최악의 시나리오를 가정하고 살게 됩니다. 작은 시스템 오류나 이상 징후에도 “해킹 당한 것 아니야?” 하고 긴장하게 되고, 때로는 동료들의 사소한 실수에도 혹시 내부자 위협은 아닌지 의심의 눈초리로 보게 될 때가 있습니다. 이러한 과도한 경계심은 어느 정도 필요악일지 모르지만, 지나치면 정작 자기 자신을 옥죄는 스트레스가 됩니다. 실제로 보안 사고의 대부분은 악의가 아닌 실수로 발생하는데도, 늘 주변을 의심하며 일하다 보면 보안 담당자 스스로 극심한 압박감을 느끼게 된다는 지적이 있습니다m.boannews.com. 저도 한때 모든 직원이 잠재적 위험으로 보이는 병에 걸렸던 적이 있는데, 그때 느낀 건 이렇게 계속 경계 태세로만 지내서는 내가 먼저 무너질 수 있겠다는 것이었습니다.

그래서 의식적으로 경계심의 균형을 잡으려 노력하고 있습니다. 보안 책임자로서 허술함 없이 대비는 하되, 모든 것을 내 눈으로 통제하려고 하지 않는 것입니다. 예를 들어, 임직원의 악의적 행위를 막는 건 과도한 의심이 아니라 시스템과 절차의 역할이라고 생각합니다. 평소 직원들을 잠재적 범죄자 취급하기보다는, 접근 권한 관리나 로그 모니터링 시스템을 통해 문제가 생기면 탐지하도록 합니다. 사실 100명의 행동을 보안 담당자 한 명이 일일이 감시하는 것은 불가능하거니와, 그렇게 하면 조직 내 불신만 커집니다. 차라리 신뢰 기반의 보안 문화를 만들고 기술적인 통제로 보완하는 편이 낫습니다. 보안팀도 경찰이 아니라 돕는 파트너라는 인식을 심어 협력 관계를 만들면, 제 일도 훨씬 수월해졌습니다. 사람을 완전히 믿지 못해서 생기는 불안감을 기술과 프로세스가 대신 맡아주니 제 마음도 조금은 편해졌습니다.

또 한 가지, 실수에 대한 관용을 배우려 하고 있습니다. 늘 의심하며 일하면 사소한 실수도 용납 못 하게 되는데, 사실 누구나 실수는 합니다. 최근 한 기사에서 “2020년 발생한 데이터 유출 사고의 17%는 악의 아닌 순수한 실수 때문”이라는 통계를 봤습니다m.boannews.com. 이런 사례에서 보듯, 보안 담당자의 역할은 실수를 저지른 사람을 색출해 벌주는 것이 아니라, 어떻게 하면 그런 실수가 큰 사고로 이어지지 않도록 시스템적으로 막을까를 고민하는 거란 생각이 들었습니다. 그러려면 모든 걸 사람의 의식에만 맡길 게 아니라, 사전에 안내하고 교육하여 실수를 줄이고, 만에 하나 실수하더라도 이중 삼중 안전장치로 피해를 최소화하는 데 집중해야겠지요. 이렇게 사고를 대하는 마인드를 “누굴 의심하고 찾아내야겠다”에서 “어떻게 같이 개선할까”로 바꾸니, 저 자신도 마음이 한결 편해졌습니다. 경계심을 완전히 내려놓을 순 없지만, 그것에 짓눌리지 않도록 심리적 여유를 찾으려 노력중입니다.

피로와 번아웃을 피하기

피로와 번아웃은 보안 업계에서 흔히 볼 수 있는 그림자입니다. 사이버 공격은 시간과 장소를 가리지 않고, 보안 사고는 예고 없이 터지기 때문에 보안 담당자는 24시간 긴장 상태로 지내기 쉽습니다. 저 역시 야간에 긴급 전화를 받고 노트북을 켜 대응에 나선 횟수를 헤아릴 수 없습니다. 많은 보안팀이 교대 근무나 온콜(on-call) 체제로 운영되는데, 이로 인한 신체 리듬 불균형과 만성 수면 부족을 호소하는 동료들도 있었습니다. 한 설문 결과를 보니 보안 담당자들이 꼽은 가장 큰 스트레스 요인 중 하나가 잦은 야근과 업무 과중이었다고 합니다dailysecu.com. 이처럼 지속적인 과로는 결국 업무 효율을 떨어뜨릴 뿐 아니라 심각한 번아웃을 불러올 수 있습니다.

저 개인적으로 번아웃을 예방하기 위해 가장 중요하게 생각하는 것은 휴식과 재충전입니다. 보안 업무의 특성상 항상 긴장해야 하고 사고가 나면 바로 투입돼야 하니, 보안팀엔 “쉬면 안 된다”는 묘한 사명감 문화가 있는 듯합니다. 하지만 그런 인식 때문에 제때 쉬지 못하면 오히려 더 큰 사고를 부를 수 있습니다. 실제로 “보안 담당자는 24시간 깨어 있어야 한다”는 고정관념 때문에 정당한 휴가조차 마음 놓고 못 쓰는 경우가 많다는 지적이 있습니다itworld.co.kr. 저는 이러한 잘못된 문화는 바뀌어야 한다고 믿습니다. 휴식은 사치가 아니라 필수입니다. 상사가 눈치를 준다면 회사의 보안정책부터 바꿔야 할 문제겠지요. 다행히 저희 팀은 서로 "충분히 쉬어야 일도 잘한다"는 공감대가 있어, 일이 없을 때는 푹 쉬고 퇴근 후 업무 연락은 지양하려 애쓰고 있습니다. 저 자신도 쉬는 시간엔 보안 뉴스를 잠시 끄고 가족이나 취미 생활에 집중하면서 의식적으로 머리를 식히려 합니다. 그렇게 한발 떨어져야 다시 현안에 돌아왔을 때 더 날카로운 판단을 할 수 있었습니다.

두 번째로 중요한 건 업무 분담과 우선순위 설정입니다. 모든 것을 다 잘 지키고 싶고, 모든 경고에 반응하고 싶지만 그건 인력과 시간의 한계상 불가능합니다. 그래서 팀 내에 역할을 분담하고 서로 신뢰하는 게 필수입니다. 저는 혼자 부담을 다 짊어지려 하지 않고, 동료들과 업무를 나누고 협업하려고 노력합니다. 예를 들어 한 사람이 인프라 보안을 책임진다면 다른 이는 애플리케이션 보안을 맡는 식으로 전문 분야를 분리합니다. 그리고 긴급 사건이 터지면 각자 가장 잘 아는 분야를 리드하고 나머지는 지원하는 구조로 일합니다. 이렇게 하면 한 사람에게 과부하가 걸리지 않고 팀 전체로 볼 때도 대응 속도가 빨라집니다. 또한 우선순위를 명확히 정하는 것도 번아웃 예방에 중요했습니다. 모든 보안 이슈를 다 잡으려 하면 끝이 없으니, 회사에 치명적인 위험이 무엇인지 평가해 상위 몇 개에 집중하고 나머지는 정해진 룰에 따라 처리하거나 때로는 과감히 수용합니다. 이는 스스로와의 타협이기도 한데, 일을 하다 보면 “이것도 해야 하고 저것도 해야 한다”는 압박이 몰려옵니다. 그럴 때 우선순위를 되새기며 “지금 당장 안 해도 되는 일은 조금 미뤄두자”고 마음먹으면 한결 숨이 쉬어집니다. 결국 모든 위험을 0으로 만들 수 없다는 현실을 받아들이고, 가장 중요한 것부터 차근차근 대응하는 것이 지속적으로 일하기 위한 지혜라고 생각합니다.

마지막으로, 번아웃 징후를 미리 알아차리고 대처하는 용기도 필요합니다. 저도 어느 순간 일에 의욕이 떨어지고 냉소적으로 변하는 제 자신을 발견한 적이 있습니다. 그때 “아, 이게 번아웃이 오는구나” 직감했고, 혼자 끙끙대지 않고 주변에 솔직하게 털어놨습니다. 다행히 회사에서도 이를 심각하게 받아들여 일정 조정을 해주고 휴가를 쓰게 배려해줬습니다. 또 선배와 대화를 하며 스스로를 너무 몰아붙였다는 것을 깨달을 수 있었습니다. 때론 환경을 바꾸는 결정도 필요할 수 있습니다. 팀 내에서 역할을 조정한다든지, 일정 기간 다른 프로젝트에 참여해 새로운 자극을 받는 식으로 변화를 주면 망가져가던 동력이 다시 살아나기도 합니다. 중요한 건, 나 자신을 돌보는 것이 결코 이기적인 게 아니다라는 점입니다. 보안 현업은 장기전이기에, 꾸준히 달려가기 위해서는 제 컨디션 관리가 곧 회사의 보안을 지키는 길이라는 마인드 전환이 필요했습니다.

경력 불안과 성장 압박

보안 실무자들에게 경력에 대한 불안감도 큰 고민거리입니다. 기술 변화 속도가 워낙 빠르다 보니, 늘 새로운 지식을 따라잡지 못하면 뒤처질 것 같은 압박을 받습니다. 하루가 멀다 하고 등장하는 신기술, 새로운 해킹 기법, 보안 솔루션들을 보면 “내가 과연 이 흐름을 따라가고 있는 걸까?” 불안해집니다. 주변 동료나 후배들 중에는 각종 국제 자격증을 취득하거나 해킹 대회에서 두각을 나타내는 사람들이 있어, 상대적으로 초라하게 느껴질 때도 있습니다. 또한 보안 사고가 터졌을 때 그 책임을 지고 자리에서 물러났다는 소식을 들으면, “나도 언젠가 큰 사고를 겪으면 어떻게 하나” 하는 직업적 불안이 엄습하기도 합니다.

이러한 불안은 어떻게 보면 전문성 향상을 위한 동기 부여가 되기도 하지만, 지나치면 스트레스로 작용해 오히려 성장에 걸림돌이 될 수 있습니다. 그래서 저는 몇 가지 마음가짐을 스스로 다지며 불안을 관리하고 있습니다:

• 한계 인정하기: 모든 것을 다 잘할 수 없음을 받아들이기로 했습니다. 보안 분야도 세부적으로 들어가면 너무나 방대하기에, 한 사람이 모든 영역의 최신 지식을 섭렵하는 건 불가능에 가깝습니다. 그래서 전략적인 선택과 집중을 합니다. 제 역할과 밀접한 영역, 예를 들어 인프라 보안을 담당한다면 네트워크와 시스템 위주로 깊게 파고듭니다. 반면에 다른 분야(예컨대 앱 보안)는 기본 개념과 흐름 정도만 따라가되, 필요할 때 그 분야 전문가의 도움을 받거나 협업하는 식으로 합니다. 이렇게 하니 마음의 부담이 줄었고, 한 우물에서 전문성을 쌓아가는 성취감이 생겼습니다. 모르는 부분이 있을 땐 솔직하게 동료에게 배우면 됩니다. 협업을 통해 서로의 부족함을 메우는 팀이 결국 효과적인 보안을 구현한다고 믿습니다.
  
  
• 학습에 우선순위 두기: 예전에는 막연히 “공부해야 한다”는 압박에 휩싸여 있었습니다. 하지만 이제는 학습에도 우선순위를 둡니다. 현재 업무에 가장 유용한 것부터 배우자는 것입니다. 예를 들어, 제가 웹 서비스 보안을 주로 담당한다면 최신 웹 취약점 동향이나 보안 개발 방법론에 집중 투자합니다. 클라우드 쪽이 당장 업무에 영향 크지 않다면 관련 교육은 조금 미뤄두기도 합니다. 물론 장기적으로 다 알아야겠지만, 한꺼번에 모든 걸 하려 하면 금세 지치니까요. 그리고 새로운 지식을 습득할 때도 프로젝트화해서 배우려고 합니다. 단순히 책만 보는 게 아니라, 작은 실습이나 PoC를 해보면 더 재미있고 기억에도 잘 남습니다. 이렇듯 목적의식을 갖고 공부하다 보면 불안감이 조금씩 성취감으로 대체되는 것을 느낍니다.
  
  
• 커뮤니티와 멘토 활용: 혼자 끙끙대지 않고 외부로 눈을 돌리는 것도 큰 도움이 되었습니다. 보안 커뮤니티 모임이나 세미나, 컨퍼런스에 나가보면 나와 비슷한 고민을 하는 사람들이 정말 많습니다. 그들과 이야기 나누다 보면 “나만 힘든 게 아니구나”라는 안도감도 생기고, 선배들의 커리어 조언을 들으며 방향성을 얻기도 합니다. 저도 처음엔 업무 바쁘다는 핑계로 이런 교류를 소홀히 했는데, 막상 시간 내서 해보니 얻는 게 많았습니다. 사내에서도 멘토를 찾는 걸 권장합니다. 저는 운 좋게도 업계 경력이 훨씬 많은 선배와 멘토-멘티로 인연을 맺어, 가끔 커피챗을 하며 커리어 고민을 상담하곤 합니다. 멘토 분께서 “나도 네 때 그랬어” 하며 공감해주실 때 큰 위로가 되고, 구체적인 스킬 트렌드나 경력 개발 방향에 대한 조언을 들으면 막연한 불안이 구체적 계획으로 바뀌기도 합니다. 같이 고민할 사람이 있다는 것만으로도 심리적 안정감이 커집니다.
  
  
• 현재의 성취를 인정하기: 불안감에 시달릴 때 우리는 흔히 못 한 것, 부족한 것만 바라보게 됩니다. 그래서 의식적으로 내가 이루어낸 것들을 돌아보는 습관을 들이고 있습니다. 보안 업무는 사고를 미연에 방지하는 일이 많아 눈에 띄는 성과가 드러나지 않을 때가 많지만, 가만 보면 크고 작은 성취들이 있습니다. 예컨대 올해 우리 회사에 큰 보안 사고가 없었다면 그 자체로 엄청난 성과입니다. 그런 일은 뉴스에 나오지 않지만, 저는 팀원들과 “올 한 해도 큰 탈 없이 지나갔네요, 우리 잘해냈어요”라며 자축합니다. 그리고 과거의 저와 지금의 저를 비교하며 성장한 점을 찾아보려고 합니다. 몇 년 전엔 몰랐던 기술을 지금은 다룰 줄 알게 되었다든지, 예전엔 당황했을 상황을 이젠 침착히 대응한다든지 하는 자기 성장 포인트를 인정하는 것입니다. 이렇게 작은 승리들을 스스로 챙겨주면 “나도 꽤 잘하고 있어”라는 자신감이 생기고, 막연한 미래에 대한 두려움이 줄어듭니다. 결국 자신에 대한 긍정이 경력 불안을 이기는 힘이 되는 것 같습니다.

맺음말: 오래 함께 가기 위해

정보보안 업무는 실수나 방심이 용납되지 않고, 늘 새로운 위협에 맞서 싸워야 하는 분야입니다. 하지만 역설적으로 보안 분야에서 오래 일하려면 스스로를 다독이고 아껴야 한다는 생각이 듭니다. 조직의 보안을 지키는 것도 중요하지만, 그 역할을 수행하는 사람이 지속 가능해야 진짜 장기적으로 기업 보안이 유지될 수 있기 때문입니다.

저는 완벽과 철저함을 추구하는 보안 업계의 문화 속에서도, 조금은 여유와 균형을 찾으려는 노력이 필요하다고 느꼈습니다. 과도한 경계심을 내려놓는다고 보안에 구멍이 생기는 게 아니듯, 가끔은 긴장 속에서도 한숨 돌릴 줄 알아야 더 멀리 갈 수 있습니다. 휴식을 취하고, 동료에게 의지하고, 스스로를 믿어주는 태도가 결국에는 더 튼튼한 멘탈로 업무에 임하게 해주었습니다. 실제로 행복한 보안팀이 업무 성과도 좋다는 조사 결과도 있습니다. 직원이 행복해야 오래 근무하고, 그것이 보안 리더의 번아웃도 줄여준다는 지적처럼요itworld.co.kr.

돌이켜보면, 제 커리어의 위기 순간마다 도움이 된 것은 같이 일하는 사람들과의 관계였습니다. 힘들 때 서로 털어놓고 공감하면서 “우리 함께 해나가자”는 용기를 얻었고, 윗분들의 지원과 이해가 있을 때 다시 일어설 수 있었습니다. 그래서 이제는 저도 후배들에게 그런 버팀목이 되어주려고 합니다. 혼자 애쓰지 말고 어려울 땐 주변에 손 내밀기, 보안 업계 전체가 서로 지식뿐 아니라 마음도 공유하는 문화가 되었으면 하는 바람입니다.

끝으로

이 글을 읽는 동료 보안인 여러분께 “우리 완벽하지 않아도 괜찮다”는 말을 전하고 싶습니다. 스스로를 믿고, 자신의 페이스대로 한 걸음씩 나아가다 보면 분명 꾸준한 성장과 보람을 얻을 수 있을 것입니다. 우리 모두 지속 가능하게, 건강하게 오래도록 함께 보안을 지켜나갔으면 합니다. 감사합니다.