나눔로또




Q. 다니고 계신 회사, 직무와 함께 자기소개 부탁드립니다.

  다니는 회사는 나눔로또입니다. 국내 유일한 복권회사로써, 흔히 알고있는 온라인 복권, 연금 복권, 즉석 복권 3, 전자 복금 7종 등 우리나라에 있는 모든 복권을 우리 회사에서 담당하고 있습니다. 그리고 우리회사는 민간기업이긴 하지만 기획재정부 복권위원회 산하에서 수탁을 내리는 구조로 5년 단위 갱신 사업을 하고 있습니다. 5년 후에는 또 다른회사에서 나눔로또라는 이름으로 사업을 할 것입니다. 저는 이런 복권 회사에서 정보보안을 담당하고 있어요. 정보보안 규모는 기본적으로 외주인력 3, 나눔로또 인력 2명이 정보보안을 총괄하고 있습니다. 우리는 정보보호 팀이 아니라 저희 같은 경우에는 인프라 중심의 베이스 회사이기 때문에 인프라 운영팀의 보안 파트에서 대리로 있습니다. 정보보호를 한지는 8년 반정도 되었고, 현재 회사가 3번째 회사입니다.

 

Q. 나눔로또에서 일을 하게 된 계기

  채용공고가 있었고, 이 회사가 가장 저와 잘 맞다고 판단하였어요. 그 때 당시 붙었던 회사들 중에 이 회사가 거리적으로도 가장 가까웠습니다. 보안을 하게 된 계기는, 원래는 개발자로 일을 하다가 증권 쪽에서 인턴을 했었는데 실수로 2초만에 10몇억을 날려먹었어요그때 이후로 나와 이 일이 안 맞는구나 느꼈습니다. 인턴이 끝남과 동시에 취업을 알아보는데, 그 때 개발 말고 관심있었던 게 보안이었어요. 예전에 개발하면서 BOF (buffer overflow, 버퍼오버플로우) 때문에 고생했던 적이 있는데, 해킹과 예술이라는 책을 보고 이런 게 있구나 신선함(?)을 느끼고, 보안을 공부해 보기 시작했어요. 그래서 개발보다는 보안 분야에 더 많이 지원했던 것 같아요. 첫 회사는 보안 솔루션, 컨설팅 하는 업체였는데요. 누군가처럼 해커가 멋있고, 방어하는게 멋있고 보다는, 그때그때 삶에 충실하였던 것 같아요. 물론 지금은 생각이 많이 달라졌지만, 시작은 그랬습니다.

 

Q. 지금 회사에서 일하시면서 어떤 역량이나 능력이 필요하다고 생각하시나요?

  우리회사에서 가장 필요한 역량은 넓은 시야라고 생각해요. 기술, 관리, 물리를 다 해야 하는 것도 있지만 그 외에 인프라 까지도 다 알면서 일을 해야 하기 때문입니다. 장애가 생기게 되는 경우 상당히 민원이 많이 들어오고 이슈가 커요. 그래서 되게 꼼꼼해야 해요. 그리고 지금 하고 있는 업무가 협력 업체를 통해서 일을 지시하고 감독하는 업무이기 때문에 책임감이 있고 의사결정이 빨라야 합니다. 정리하자면 넓은 시야, 책임감과 꼼꼼함 있어야하고, 빠른 의사결정, 4가지 요소가 중요하다고 생각합니다.

 

Q. 대학생 때 이 직무를 위해 따로 초점을 맞추어 공부하고, 준비하셨던 부분이 있었나요

  대학교 때 따로 특별히 공부했던 거는 없었던 거 같아요. 오히려 회사에 취직하고 나서 네트워크 공부를 좀 많이 했어요. 초반에 회사에서 웹 보안 쪽으로 솔루션 시장이 열려서 그때부터 웹 보안 공부를 하고, 그 이후엔 컨설팅을 하면서 관리체계를 공부했고, 회사가 팀을 배정해줄 때마다 그때그때 필요한 것들을 그 자리에서 공부했던 거 같아요.

 

Q. 직무 쪽 일을 하면서 힘드신 점이 있으신가요?

  힘든 것은 보안이 보안 팀만의 리그가 되어서 우리끼리만 보안을 외치고 있는 것이 아닌가하는 의문이 드는 것입니다. 인프라 팀에 있다 보니 서버담당자, DB담당자, 네트워크 담당자에게 여러가지 의사결정을 해서 내려주고, 그에 따른 피드백을 받게 됩니다. 이 때, 내부 업무자 사용자들이 그냥 보안 팀에서 하라고 하니깐 하신다는 느낌이 들 때 두렵고 힘들어요. 나만 혼자 우리회사에서 보안을 외치고 있는게 아닐까하는 걱정이 듭니다. 보안이라는 것이 기술적으로는 제가 어느정도 하면 되지만, 관리적으로 가면 문화 형성 이라던지, 인식적인 문제가 필요합니다. 그러려면 모두가 어느 정도 공감을 해주시고 모두의 이해가 필요한데, 보안팀에서 시키니깐 해야지하는 생각들이나 반응들을 보이실 때마다 힘이 듭니다. 조금만 관심을 가져주시면 좋을텐데, 아무래도 그런 부분이 힘들죠.


Q. 반대로 만족스러운점은?

어느 직장이던, 회사를 다니면서 만족을 하진 않아요. 내 회사가 제일 힘들고 내 일이 제일 힘들고 ㅎㅎ 보안을 때려쳐야지 생각은 일주일에 한번씩 하는 거 같아요. 그렇지만 처음 보안을 시작했을 때를 생각해보면 되게 뿌듯했어요. 이 회사의 보안을 내가 책임지고 있다는 점과 그리고 뭔가 조금씩 변해가는 모습을 보았을 때 뿌듯했어요. 예전에는 SI나 컨설팅 쪽을 많이 했기 때문에 관리를 하면서 특별한 침해사고가 없고, 설령 침해사고가 나더라도 어느정도 분석을 해서 예방을 할 수 있을 때, 그런 결과들이 나왔을 때 스스로 뿌듯했습니다.

 

Q. 회사생활 노하우가 따로 있으신가요?

첫 번째 노하우는 상대방이 원하는 것을 해주는 척이라도 하자는 것이에요. 요청사항이 잘못되었다고 느껴지고, 상당히 귀찮고 여려운 사항이라고 판단되었는데, 마땅히 변명을 할 여지가 없으면 일단 다 해주자는 것이에요. 처음부터 불가능하다고 부정적인 표현을 하기보단 1차적으로 한다고 한 후 하려고 했으나이런이런 의사결정과 도움이 필요합니다.’ 식의 긍정적인 자세가 필요하다고 생각해요.

두 번째는 상사들이 제 일에 대해 꾸지람이나 지적을 할 때, 정말 답은 이건데 뭔가 다른 요인 때문에 A가 답인데 B가 답이라 할 때, 그냥 조용히 고개를 숙이고 있는 자세 ㅎㅎ 그 후에, 실질적으로 일을 진행함에 있어서는 그 사람이 절대적으로 반박할 수 없는 데이터들을 준비하는 것이에요. ‘그때 말씀해 주셨던 얘기에 대해 생각해봤는데~’ 하면서 제 의견이 맞는 거 같아요.’ 라고 말할 수 있는 그런 상황 판단 능력도 필요해요. 대부분 타 부서나 다양한 직급들과 대화를 하지만, 보안을 함에 있어서 내 아웃바운드에 있는 것들을 지켜야 하기 때문에, 물론 아닌 건 아니라고 맺고 끊음이 중요하지만, 많은 사람들 앞에서 그러면 상대방의 자존심이 상할 수도 있다는 이런 부분도 생각해야하죠. 그래서 회의 상에서는 고려해보겠습니다. 검토해보겠습니다라고 한 후에 끝나고 나서 일대일로 다시 말씀을 드리고, 다시 보고서를 건네서 상대방이 틀렸다라는 걸 철저하게 증명해 주되, ‘그 분이 잘못한 게 아니라, 그 분의 시야에서 보았을 땐 그렇지만, 보안에서 또한 여러 가지 방면에서 고려를 해보았을 때는 이쪽으로 가는 것이 더 나을 듯 합니다.’ 라는 제안하는 식의 보고서를 써주는 것이 중요하다고 생각해요. 그 누구도 다치지 않고 무시 받지 않게 의견을 표시할 줄 알아야하죠.

 

Q. 보안에서 갖춰야 할 점은 무엇이라고 생각하세요?

호기심이 필요합니다. 우리는 막아야 하고, 누군가는 공격을 하여 유출하려 하죠. 기업에서 보안을 담당하면 솔루션 운영, 관리체계 운영 이런 것들 인데, 유출되거나 외부에서 공격이 들어오는 알려진 것들은 솔루션에서 어느 정도 막아집니다. 하지만 대부분은 알려지지 않은 것, 내가 생각하지 못한 방법으로 공격이 시도되고 이러한 것들로 인해 사고가 많이 터지게 됩니다. 그래서 호기심이 많아야 된다고 생각합니다.

 

Q. 요즘 보안 분야에서 특별히 관심 가지고 계신 것이 있나요?

GRC (Governance, Risk, Compliance). 3가지가 다 이루어졌을 때 비즈니스를 고려한 보안을 할 수 있다고 생각합니다. GovernanceBusiness를 도와 IT가 통제할 수 있고 의사결정할 수 있게 하는 것들을 마련해주는 것입니다. 미시적인 시각이 아니라 거시적인 시각으로 기업자체에서, 기업은 돈을 벌기 위해서 비즈니스를 하는데, 보안이라는 것이 통제적 측면이 많습니다. Governance또한 통제가 중요하거든요. 그렇기 때문에 Governance가 중요합니다. 다음은 Risk, 위험이죠. , 내부의 위험이 기술이될수도 있고 관리적이 될 수도 있지만 그런 것들을 식별하고 계산해 나가는 활동이 중요합니다. 그리고 Compliance, 가장 바탕이 되는 부분입니다. 유출사고가 났을 때 법적으로 이야기해야되기 때문에 중요하다고 할 수 있죠. 3가지가 모두 합쳐져 있는 게 GRC, 그래서 이쪽으로 관심이 있습니다.

 

Q. 앞으로의 계획이나 목표가 있으시다면 말씀해주세요.

1년안에 논문을 한 편 쓰는 것. 그리고 두 번째로는 책 쓰는 것, GRC와 관련된 책을 써보는 것이 목표입니다.

 

Q. 마지막으로, 이제 진로를 고민하는 취준생들에게 해주고 싶은 말이 있으신가요?

우선 하고 싶은 게 무엇인지 뚜렷하게 정했으면 합니다. ‘나는 보안을 할거야라고 말하면서 모의 해킹 쪽으로, 포렌식쪽으로 뭐하고 하면서 이것저것 다 건드려 봤자 어차피 잘하는게 딱 없을 거에요. 몇 년 한다고 해서. 그러는 것보다 진짜 딱 하나만 잘하면 어차피 ITA라는것을 바탕으로 A가 변형이되서 B가 나오고 C가 나오는 것이기 때문에, 결론은 A를 잘하면 B를 잘하게 되고, B를잘하면 C가 잘할 수 있게 돼요. 처음 들어와서 일을 해야하는 사람의 입장에선 정말 기본적인 것, 이 사람이 관심있는 분야 그 하나만 잘하면, 나머지는 일하면서 충분히 메꿔 나갈 수 있을 거에요. 나도 신입사원을 뽑아봤지만 신입에게 많은 것을 기대하진 않아요. 하나만 정확하게 잘하고, 그 부분에 있어서는 그래도 막힘없이 잘할 수 있는, 그런 사람이 신입사원으로 들어왔으면 좋겠어요. 그리고 나도 못하고 잇는 것 중에 하나지만 영어는 제발 하세요!

Comments