2024-03-29 18:35 (금)
[취중진담③] 홍성권 컨설턴트…왜 마흔에 프리를 택했나?
상태바
[취중진담③] 홍성권 컨설턴트…왜 마흔에 프리를 택했나?
  • 길민권
  • 승인 2013.06.30 05:53
이 기사를 공유합니다

일과 삶의 밸런스까지 무너지고 있는 고단한 보안담당자의 일상
컨설턴트로서, 현업 보안담당자로서 그가 경험하고 느낀 이야기들
“정보보호 전담 인력 한 명 뽑았으니 모든 보안관련 일을 시키면 되겠다고 생각하시는 경영자들이 있다. 물론 없는 것 보다야 낫지만 정보보호체계도 유지하고 보안감사하고 장비 운영에 보안교육, 각종 기안처리 등등 과연 버틸 수 있을까?”
 
“보안장비는 최초 설계 당시의 목적에 충실했으면 좋겠다. 트렌드를 쫓아 이 기능도 넣고 저 기능도 넣고, 언론에 나와 마치 자사 장비를 도입하면 다 되는 것처럼 이야기하고 막상 해보면 이러저러한 이유로 안되는 기능이 더 많은…”
 
홍성권 컨설턴트가 얼마전 자신의 페이스북 담벼락에 올린 글들이다. 그가 어떤 생각을 가지고 있는지 궁금했다. 그래서 취중진담 3번째 주자로 그를 택했다. 6.25 사이버공격이 있기 얼마전 그와 북창동 근처 생고기집 우대가에서 회동을 했다. 그가 술을 즐기는 편이 아니라 많은 술이 필요하진 않았다. (아래 대화 내용은 녹취후, 오프더레코드 내용은 빼고 편집한 내용이다.)

 
-보안컨설턴트로 일은 언제부터 시작했나요?
2006년부터 에이쓰리시큐리티에서 5년 정도 컨설턴트로 일했죠. 이후 현장 경험이 필요하다는 것을 느껴 금융권 보안담당자로 일하게 됐죠. 3.20 사이버공격을 직접 경험하고 나서 올해 5월말에 퇴사를 했죠.   
 
-3.20 때 고생하셨겠어요?
네. PC가 꺼지기 시작하는데 당황스럽더라구요. 컨설팅할 때 항상 유사시를 대비해 훈련을 잘 해야 한다고 항상 말했었는데 막상 사고가 터지니 무엇부터 해야 할지 막막하더라구요. 회사에서도 1년에 한 두 번 훈련은 하지만 훈련과 실제 상황은 다르죠. 훈련을 한 기업들도 그런데 사고 대응 훈련을 하지 않은 기업들은 아마 더 할거라고 생각해요.
 
-컨설턴트 생활을 오래 하시다가 기업으로 가셨는데 컨설팅과 기업 현장은 어떤 차이가 있어요?
컨설팅 일 할 때 몰랐던 것을 현장에서 많이 경험했죠. 이상과 현실은 달라요. 예를 들어 컨설턴트들은 로그분석을 철저히 해야 한다고 말하지만 막상 담당자가 돼 보니 하루에 APT 장비에 쌓이는 로그만 1.5~2테라 정도 쌓여요. 방화벽 로그도 10기가가 넘어요. 이를 분석한다는 것은 현실적으로 불가능하죠. 지금 생각하면 컨설턴트 초기에 담당자들이 얼마나 힘들어 했을까란 생각이 들어요. 기업 현실도 모르고 이상적인 이야기만 하니 말이죠. 그래서 컨설턴트는 다양한 컨설팅 경험과 현장 경험이 필요하다고 봐요.
 
-그럼 정보보안 컨설팅이 어떻게 변화해야 할까요?
우선 컨설팅 받는 기업들도 변해야 해요. 컨설팅 받으면 당장 보안수준이 높아진다고 생각해요. 컨설팅은 문제점을 알려주고 가이드를 제시해 주는 것 뿐이에요. 이를 실제로 꾸준히 이행해야 보안수준이 높아져요. 컨설팅 자체가 보안수준을 높여준다고 생각하고 컨설팅 받는 것에 그쳐서는 안되죠. 실천을 해야 수준이 높아지는 거죠.
그리고 컨설턴트는 의뢰 기업이 정말로 고민하고 답을 못 찾는 부분에 대해 같이 고민하고 해법을 같이 찾아가는 것이죠. 보안장비 설치해 주는 거와는 차원이 달라요. 이게 컨설팅의 매력이죠.
그런데 문제는 비즈니스와 연계점을 찾지 못하는게 문제죠. 경영컨설팅은 대표와 대화를 하지만 보안컨설팅은 보안담당자와 이야기해요. 이제 보안 컨설팅도 비즈니스와 연계할 수 있는 부분에 대해 고민해야 할 것 같아요. 보안도 회사가 잘돼야 보안이죠. 회사 어려운데 보안하라고 하면 누가 하겠어요. 그러려면 보안이 비즈니스에 영향을 준다는 것을 컨설턴트부터 인식하고 경영진에게 보안이 기업 비즈니스에 중요한 부분임을 컨설팅을 통해 알려줘야 해요.
 
-그러려면 컨설턴트들이 꾸준히 컨설팅 기업에 남아 있어야 하는데 그게 잘 안되는 것 같아요.
맞아요. 컨설턴트들이 경력이 좀 쌓이면 갑으로 가든 다른 기업으로 가버려요. 그러다보니 그들의 노하우가 후배들에게 제대로 전달이 안되요. 보통 힘든 프로젝트 끝나면 월급 많이 주는 곳으로 가거나 창업을 해요. 노하우가 전수가 안되는 거죠. 산출물만 컨설팅 기업에 남게 되는데, 더 중요한 것은 컨설턴트가 왜 그런 결과물을 만들어 냈는지 그 과정이 중요해요. 히스토리가 남지 않기 때문에 초보 컨설턴트들이 기업의 비즈니스와 보안을 연계하려는 고민까지 하기는 힘든거죠. 그래서 기업의 현실도 잘 모르고 원론적인 이야기만 담당자들에게 하게 되요. 컨설팅은 경험이 중요해요. 처음부터 끝까지 여러 번 해봐야 해요. 그래야 전체 그림을 그릴 수 있고 단계별로 뭘해야 하는지, 이 기업에서 뭘 요구하는지 알고 거기에 맞는 컨설팅을 할 수가 있어요. 그래서 컨설팅 업체가 좀 커져야 할 것 같아요. 규모가 큰 기업이 나와 컨설턴트들에 대한 대우도 좋아져야 이 부분이 해결될 것 같아요. 지금은 일반 기업과 연봉 수준이 너무 차이가 나기 때문에 해결하기 힘든 부분이죠.
 
-후배 컨설턴트들 보시면 어때요?
잘하는 친구들도 많아요. 다만 기술적인 베이스는 좋은데 부족한 부분은 글쓰기 부분이에요. 대부분 이공계 출신이라 논리적 글쓰기 공부를 좀 더 해야 할 것 같아요. 또 기업 특성을 잘 이해하고 컨설팅을 하려고 노력해야 하고 최신 트렌드도 공부해야 해요. 또 IT컨설팅과 경영컨설팅에서 문제 해결 프로세스도 보안컨설팅에 접목하려는 노력도 필요하죠. 그래서 저도 요즘 보는 책들이 대부분 경영컨설팅이나 빅데이터, 클라우드 등 비즈니스 관련 서적과 최신 IT 트렌드 관련 책들을 많이 봐요. 보안컨설팅이 궁극적으로 비즈니스에 영향을 주고 경영진의 사고방식에 변화를 주려면 그런 부분에 대한 공부가 꼭 필요하다고 봐요.
 
-너무 컨설팅 이야기만 했네요. 그런데 적지 않은 나이(40)에 안정적인 생활을 버리고 프리랜서 보안컨설턴트가 돼야겠다는 생각은 왜 하신거죠? 와이프 반대는 없었나요?
와이프 반대는 없었어요. 1년 정도 금융권 보안담당자로 일했는데 보안장비 운영, 인력 운영 등 총괄책임 역할을 했죠. 그런데 너무 힘들었어요. 장애 발생하면 휴일이든 밤이든 새벽이든 언제든 출동해야 해요. 저 뿐만 아니라 운영하는 직원들은 대부분 그렇죠. 한번은 원주로 가족 캠핑을 갔는데 그 때도 계속 연락이 와서 결국 새벽에 철수해 서울로 올라와 회사에 출근한 적이 있죠. 이렇게 사는 건 아니다라는 생각이 들었어요. 일과 삶의 밸런스 유지가 안되는 상황이죠. 그래서 3.20이 끝나는 시점에 와이프한테 퇴사 결심을 이야기하고 프리랜서 생활을 해야겠다고 말했는데 와이프도 그 동안 마음고생이 심했는지 퇴사에 반대하지 않았어요. 그래서 시작하게 됐죠. 이제 한 달이 좀 지났네요.  
 
-정말 힘드셨겠어요. 프리랜서 생활은 어떠세요?
이제 한 달 됐는데 바로 컨설팅 업무를 하고 있어요. 향후에 해 보고 싶은 것 마음대로 해 볼 수 있는 회사를 만들어 보고 싶어요. 타이거팀이나 SSR이 요즘 잘하고 있잖아요. 그런 것처럼 마음 맞는 친구들과 재미있게 해 봤으면 좋겠어요. 혼자 일 할 때는 문제가 없는데 같이 일하게 되면 직원들을 책임져야 하는데 그런 부분 잘 준비해야죠. 보통 컨설팅 끝나면 바로 비용이 들어오는 게 아니라 뒤로 밀리는 경우가 많아요. 여러 소규모 업체들이 연말에 못 받은 돈 들어오면 그걸로 빚 갚고 1분기 직원들 월급 챙겨놓는 식이죠.
하지만 더 늦어지면 못할 것 같았어요. 마흔이란 나이가 스타트업하기 늦을 수도 있지만 컨설팅은 어린 나이에 시작하기는 힘든 분야에요. 많은 경험이 필요한 직업이라 40대가 적절하다고 생각해요. 그리고 프리랜서 생활하면서 1년에 9개월 정도 일하고 나머지 시간은 휴식과 교육에 투자하고 싶어요. 인맥도 넓혀가야 하구요. PM을 할 수 있을 정도면 괜찬은데 팀원으로 활동하면서 프리랜서를 생각하는 것은 위험할 것 같아요. 아무래도 프리랜서는 한계가 있거든요.
 
-금융사에 1년 정도 정보보안 총괄로 일하셨는데 금융분야 문제점은 뭘까요?
아웃소싱의 장점도 있지만 단점도 있어요. 보안 운영을 여러 금융사들이 계열사에 도급을 주고 있어요. 전문가들에게 맡기는 것도 좋다고 보는데 제대로 맡겼으면 해요. 개선해야 할 부분에 대해 의견을 제시하면 윗 선까지 잘 올라가지 않아요. 거기서 갑과 을을 관계가 생기는 거죠. 유리벽 같은게 막고 있는 느낌이에요.
 
또 순환보직도 문제로 보여요. 3년 주기로 돌아가는데 그래서 장기적 플랜을 가지고 보안을 하기가 힘든 실정이죠. 대부분 단기적 성과만 보고 일하기 때문에 장기적으로 전체 그림을 그리며 단계적으로 보안수준을 높이는 것이 힘든 것 같아요. 또 관리자가 보안을 모르는 경우가 있어요. CISO와 실무자 사이에 관리자가 보안전문가가 아니면 일이 상당히 힘들죠. 중간에서 단절돼 버려요. 그리고 금융권은 IT예산의 5%를 무조건 보안에 사용해야 하는데 그래서 웬만한 장비는 다 보유하고 있어요. 그런데 중요한 것은 기존 장비를 잘 활용하기 보다 무조건 예산을 써야 하기 때문에 장비를 도입하는 경우가 있어요. 감사 나오면 문제가 되기 때문이죠. 장비 보다는 사람에 투자하는게 맞다고 봐요. 기존 장비를 잘 활용할 수 있는 사람에 투자하는 것이 필요해요.
 
또 자체적으로 모의해킹 팀을 운영하는 경우도 있지만, 주로 웹과 모바일 두 분야에 대해서만 테스트하죠. 이를 잘 활용했으면 좋겠어요. 대부분 외부 모의해킹은 정해진 경로로 정해진 영역만 보고 나가라는 식으로 운영되기 때문에 실효성이 떨어져요. 내부 모의해킹팀을 최대한 활용해 제한을 주지 말고 마음껏 문제점을 찾아 내 보안할 수 있도록 지원하는 것이 필요해요.
 
그리고 어느 기업이든 마찬가지겠지만, 보안팀이 경영진과 가깝게 지낼 수 있는 방법을 모색해야 해요. 평소 경영진이 고민하는 부분, 보안에 대해 어떻게 생각하는지, 보안이 비즈니스에 어떤 영향을 미치는지 평상시에 대화가 필요해요. 사고나면 대응만 하는 보안팀이 되면 안되요. 평소 경영진과 관계를 가지고 꾸준하게 대화해야 해요. 실제로 현실적으로는 어려운 일이죠. 그래도 노력해야 해요.
 
또 금융권 내 보안팀이 계약직이 많아요. 정원을 늘리기 힘든 실정도 이해되지만 계약직이 보안을 전담할 수 있을까요. 우수한 인력을 계약직으로 채용한다 하더라도 계약직은 한계가 있어요. 중요한 정보를 다루고 기업의 보안사고에 대비하는 사람들을 계약직 보다는 정규직으로 채용하는 것이 맞다고 생각해요.
 
-보안인력 채용할 때 문제는 없나요?
채용공고를 보면 한 숨이 나오죠. 외국 기업 채용공고를 보면 잡 스킬이 상세하게 나와요. 즉 어떤 일을 할 사람을 구하는지 명확해요. 하지만 국내 보안담당자 채용공고는 기획, 인증, 취약점 진단, 모의해킹, 정책, 장비운영 등 만능을 뽑아요. 모든 것을 잘하는 사람은 없어요. 보안분야는 세분화해서 채용해야 해요. 그래야 지원하는 사람도 내가 할 수 있는 일인지 아닌지 보고 지원할 수가 있는거죠. 서로 시간낭비를 하고 있는 것 같아요. 이는 관리자가 보안을 모르기 때문에 어떤 사람을 뽑아야 하는지 모르는 거에요. 비효율적인 부분이죠.
 
-보안장비 운영도 직접 해보셨을 텐데 어떤가요?
국내외 장비 별 차이는 없는데, 기본에 충실하냐 그렇지 않냐의 차이는 있어요. 특히 하드웨어 보다는 보안SW들은 한국 제품들이 본연의 기능보다는 부가적 기능에 더 신경을 쓰는 것 같아요. 특히 APT장비들을 보면, 하루 1.5테라씩 쌓이는 로그를 어떻게 분석하겠다는 것인지. 비정상 행위도 설정된 카운팅 이하로 들어오면 막을 수 없는 상황인데 어떻게 정확하게 탐지하고 방어할 수 있다는 것인지 의문이 들어요. 보안에서 빅데이터 대응이 가장 필요한 부분이라고 생각돼요. 기존 관제로는 한계가 있죠.  
 
-관제는 어떻게 바뀌어야 할까요?
현재 관제는 출입구만 보고 있는 상황이죠. 내부 비정상 행위를 모니터링하는 내부관제가 필요해요. 실제 비정상 행위는 내부에서 일어나죠. 해커들은 정상으로 들어와서 내부에서는 비정상 행위를 하는데 현재 관제는 출입문만 보고 있기 때문에 효과가 없는 거죠. 하지만 내부 관제는 기업들에게 부담이죠. 내부 시스템도 많고 그걸 원격 관제업체에 맡긴다는게 쉬운 일이 아니죠. 하지만 보안사고 터진 기업들 대부분이 내부에서 문제가 발생하기 때문에 내부관제가 필요해요.
가끔 컨설팅하다 보면, 우리는 뚫어봐야 가져갈 것이 없다고 하는 분들도 있어요. 하지만 가져갈 것이 없어도 해커들은 그 곳을 공격서버로 이용할 수도 있고 그곳을 기점으로 내부 다른 계열사로 타고 들어갈 수도 있죠. 해커들이 내부에 들어가긴 어려워도 일단 들어가면 무주공산이죠. 내부 시스템뿐만 아니라 연결되는 계열사까지 모두 침투할 수 있어요. 그래서 해커들은 직접 타깃을 뚫는 것이 아니라 취약한 협력사를 통해 본진에 침투하는 경우도 많죠. 이제는 보안이 우리 회사만 잘해서 될 일이 아니라 우리 회사와 연결된 계열사, 협력사 등 모든 연결고리에 대한 보안까지 신경써야 할 것 같아요. 정말 어려운 문제죠.
 
-보안담당자도 힘들고 보안기업들도 힘드네요. 앞으로 어떤 계획을 가지고 계세요?
우선 정보보안 전문업체들이 국내 한계를 뛰어 넘어 해외로 나가길 바래요. 컨설팅이나 장비는 힘들 수 있지만 모의해킹은 해외 진출이 가능하다고 봐요. 모의해킹은 실제로 이렇게 한다는 것을 그림으로 보여주는 것이기 때문에 문서작성 위주 컨설팅 보다는 모의해킹이 유리하고 우리나라에 실력있는 분들도 많아 해외 진출을 많이 했으면 좋겠어요.
그리고 보안업무는 가족들의 희생과 도움 그리고 이해가 필요한 분야에요. 회사가 가족을 챙겨주면 자기의 역량을 극대화시킬 수 있다고 봐요. 연봉도 중요하지만 직원들의 가족까지 챙길 수 있는 그런 회사를 만들어 보고 싶죠.
그래서 프리랜서 기간만이라도 그동안 고생한 가족들과 시간을 많이 보내고 싶어요. 요즘 주말마다 거의 캠핑을 가요. 오늘도 들어가서 내일 출발할 캠핑 준비를 해야 해요. 특히 컨설턴트는 사람을 상대하는 직업이기 때문에 스트레스가 많이 쌓여요. 그래서 스트레스 푸는 방법도 잘 개발할 필요가 있어요.
 
홍성권 컨설턴트는 취중진담을 마치고 다음날 가족과 떠날 캠핑 준비를 위해 서둘러 자리를 떴다. 그가 추천하는 캠핑장소는 강원도 고성에 위치한 송지호 오토캠핑장이었다. 7~8월 동안에는 예약하기도 힘들다고 한다. 캠핑장 사용객들에게만 해수욕장을 개장하기 때문이라는 그의 설명.
그가 유능한 컨설턴트로 그리고 가족 같은 정보보안 컨설팅 기업 CEO로 승승장구하길 바라며 시청역에서 손을 흔들었다. 
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★