회사에서 보안 담당자로서 성과를 인정받으려면?
회사에서 보안 담당자로서 성과를 인정받으려면?
일자
상시
주최자
강천수 정보보호 담당자
유형
아티클태그
이 아티클은 <내가 찾던 커리어 선배> 시리즈 12화입니다.
*본 아티클에서는 중소 기업이나 스타트업에서 보안 업무를 수행하는 보안 담당자 입장에서 내용을 다룹니다.
성과에 대한 상상과 현실
보안 담당자로서 내가 상상하는 성과란, 견고한 성벽을 구축하듯 다양한 보안 솔루션을 도입해 기업을 안전하게 보호하는 것입니다. 아래 그림처럼, WAF(Web Application Firewall), FW(Firewall), IPS(Intrusion Prevention System) 등 여러 보안 장비를 도입해 성을 더욱 견고하게 만들고, 이를 기반으로 내부를 보호하는 것이 이상적인 모습입니다. 보안 시스템이 갖춰진 후에는 보안 정책과 지침을 수립하고 내부 규정을 정비하면서 더욱 강력한 보안 체계를 완성해 나가겠죠.
*본 아티클에서는 중소 기업이나 스타트업에서 보안 업무를 수행하는 보안 담당자 입장에서 내용을 다룹니다.
성과에 대한 상상과 현실
보안 담당자로서 내가 상상하는 성과란, 견고한 성벽을 구축하듯 다양한 보안 솔루션을 도입해 기업을 안전하게 보호하는 것입니다. 아래 그림처럼, WAF(Web Application Firewall), FW(Firewall), IPS(Intrusion Prevention System) 등 여러 보안 장비를 도입해 성을 더욱 견고하게 만들고, 이를 기반으로 내부를 보호하는 것이 이상적인 모습입니다. 보안 시스템이 갖춰진 후에는 보안 정책과 지침을 수립하고 내부 규정을 정비하면서 더욱 강력한 보안 체계를 완성해 나가겠죠.
AI 툴로 제작한 상상의 성과를 표현한 이미지
그러나 현실은 이상과 다릅니다. 기업의 보안 환경과 투자 수준에 따라 담당자 역할과 업무 범위가 크게 달라집니다. 충분한 예산과 인력이 지원되는 경우라면 이상적인 보안 체계를 구축할 수 있지만, 그렇지 않은 경우 하나의 보안 장비만으로 모든 보안을 책임져야 하는 상황도 발생합니다. 물론, 단 하나의 장비만으로도 다양한 보안 설정을 적용할 수는 있지만 이것만으로는 명확한 성과를 보여주기 어려운 것이 현실입니다.
그러나 현실은 이상과 다릅니다. 기업의 보안 환경과 투자 수준에 따라 담당자 역할과 업무 범위가 크게 달라집니다. 충분한 예산과 인력이 지원되는 경우라면 이상적인 보안 체계를 구축할 수 있지만, 그렇지 않은 경우 하나의 보안 장비만으로 모든 보안을 책임져야 하는 상황도 발생합니다. 물론, 단 하나의 장비만으로도 다양한 보안 설정을 적용할 수는 있지만 이것만으로는 명확한 성과를 보여주기 어려운 것이 현실입니다.
AI 툴로 제작한 현실의 성과를 표현한 이미지
그렇다면, 보안 담당자로서 어떻게 하면 주어진 환경 안에서 최적의 성과를 만들고 이를 효과적으로 인정받을 수 있을까요?
회사에서 말하는 성과란?
기업에서 정보보호 투자의 성과를 명확히 측정하는 것은 쉽지 않습니다. 특히 그 효과를 경영진에게 설명하고 설득하는 일은 더욱 어려운 과제입니다.
또한, 보안 담당자의 성과는 단순히 주어진 업무를 수행하는 것만으로 인정받기 어렵습니다. '보안 사고나 데이터 유출이 없었다.'는 결과만으로는 충분하지 않으며, 아무리 목표를 달성했더라도 회사가 그 가치를 제대로 인식하지 못하면 의미가 없어집니다.
나아가 보안 관심도가 낮거나 그동안 별다른 사고 없이 운영되었던 조직일수록 보안 담당자의 역할이 눈에 띄지 않기 마련입니다.
보안 담당자로서 인정받으려면 단순히 시스템을 운영하는 데 그치는 것이 아니라, 회사가 원하는 보안 수준과 방향을 이해하고 이를 실질적인 개선으로 연결해야 합니다. 보안을 단순한 비용이 아니라 기업 성장에 필수적인 투자로 인식시키는 것도 중요한 역할입니다.
예를 들어, 정부 지원 사업을 활용해 외부 자금을 확보하거나, 기존 인프라에서 불필요한 리소스를 줄여 보안 투자 여력을 확보하는 것도 성과로 인정받을 수 있습니다. 주어진 예산 안에서 단순 운영에 머무르지 않고, 기회를 찾아 필요한 자원을 확보하며 보안을 강화할 전략을 마련하는 것이 중요합니다.
결국 보안 담당자의 성과는 '보안 사고가 없었다.'는 단순한 결과가 아니라, 회사 비즈니스와 함께 발전하는 보안 전략을 만들어가는 과정에서 나옵니다. 회사의 목표와 보안 운영을 효과적으로 연결하고, 예산과 자원을 최적화하며 그 과정과 가치를 조직 내에서 적극적으로 공유하는 것이 핵심입니다.
이런 과정이 쌓이면 자연스럽게 성과를 인정받게 되고, 앞으로의 정보보호 투자에도 긍정적인 영향을 미칠 수 있다고 봅니다.
그렇다면, 보안 담당자로서 어떻게 하면 주어진 환경 안에서 최적의 성과를 만들고 이를 효과적으로 인정받을 수 있을까요?
회사에서 말하는 성과란?
기업에서 정보보호 투자의 성과를 명확히 측정하는 것은 쉽지 않습니다. 특히 그 효과를 경영진에게 설명하고 설득하는 일은 더욱 어려운 과제입니다.
또한, 보안 담당자의 성과는 단순히 주어진 업무를 수행하는 것만으로 인정받기 어렵습니다. '보안 사고나 데이터 유출이 없었다.'는 결과만으로는 충분하지 않으며, 아무리 목표를 달성했더라도 회사가 그 가치를 제대로 인식하지 못하면 의미가 없어집니다.
나아가 보안 관심도가 낮거나 그동안 별다른 사고 없이 운영되었던 조직일수록 보안 담당자의 역할이 눈에 띄지 않기 마련입니다.
보안 담당자로서 인정받으려면 단순히 시스템을 운영하는 데 그치는 것이 아니라, 회사가 원하는 보안 수준과 방향을 이해하고 이를 실질적인 개선으로 연결해야 합니다. 보안을 단순한 비용이 아니라 기업 성장에 필수적인 투자로 인식시키는 것도 중요한 역할입니다.
예를 들어, 정부 지원 사업을 활용해 외부 자금을 확보하거나, 기존 인프라에서 불필요한 리소스를 줄여 보안 투자 여력을 확보하는 것도 성과로 인정받을 수 있습니다. 주어진 예산 안에서 단순 운영에 머무르지 않고, 기회를 찾아 필요한 자원을 확보하며 보안을 강화할 전략을 마련하는 것이 중요합니다.
결국 보안 담당자의 성과는 '보안 사고가 없었다.'는 단순한 결과가 아니라, 회사 비즈니스와 함께 발전하는 보안 전략을 만들어가는 과정에서 나옵니다. 회사의 목표와 보안 운영을 효과적으로 연결하고, 예산과 자원을 최적화하며 그 과정과 가치를 조직 내에서 적극적으로 공유하는 것이 핵심입니다.
이런 과정이 쌓이면 자연스럽게 성과를 인정받게 되고, 앞으로의 정보보호 투자에도 긍정적인 영향을 미칠 수 있다고 봅니다.
보안 담당자로서 성과를 인정 받는 접근법
1. 새로운 구축보다 기존 체계의 개선과 운영이 우선!
보안 담당자들은 종종 새로운 보안 솔루션을 도입하는 것이 성과로 이어질 것이라고 생각합니다. 하지만 실제로는 기존 시스템을 안정적으로 운영하고 지속적으로 개선하는 것이 더 중요합니다. 보안은 단순히 기술적인 문제를 해결하는 것이 아니라, 인적・물리적・관리적 요소까지 포함한 전사적 접근이 필요합니다.
- 사내에서 개인정보나 기밀 정보가 불필요하게 공유되고 있는지 점검하고, 보안을 강화할 방안을 제안합니다.
- 회사에서 관리되지 않거나 누락된 보안 자산을 파악하고, 이를 체계적으로 관리하는 것이 중요합니다.
- 내부 프로세스의 보안 취약점을 찾아 관련 부서와 협업해 개선하는 것도 좋은 방법입니다.
- 보안을 단순한 규제가 아닌 업무 효율성과 연결될 수 있도록 가이드라인을 마련해야 합니다.
2. 정부 지원 사업을 적극 활용하자
보안 예산이 충분하지 않은 기업이라면, 정부 지원 사업을 적극적으로 활용하는 것도 좋은 전략입니다.
예를 들어, ‘KISA 지역정보보호센터’, 대중소 농어업협력재단에서 운영하는 ‘기술보호울타리’와 같은 정부에서 운영하는 사이트에서 지원 사업 공고를 모니터링하며 회사 정보 보호에 필요한 부분을 지원받을 수 있다면 이를 활용해 업무에 적용하는 것입니다. 이는 단순한 비용 절감이 아니라, 보안 수준을 높이는 전략적인 접근 방식이 될 수 있습니다.
3. 비용 절감도 중요한 성과
보안 부서는 일반적으로 비용을 사용하는 부서로 인식되지만, 비용 절감 또한 성과로 인정받을 수 있는 중요한 요소입니다.
- 클라우드 및 인프라의 불필요한 리소스를 제거해 비용을 절감하면, 그만큼 다른 보안 투자에 활용할 수 있는 예산이 확보됩니다.
- 사용하지 않는 솔루션 라이선스를 정리하는 것도 좋은 비용 절감 방법입니다.
- 단순히 비용을 줄이는 것이 아니라, 비용 대비 보안 효과를 극대화할 수 있도록 최적의 운영 방안을 제안하는 것이 핵심입니다.
4. 성과를 드러내라 (티를 내자!)
보안 담당자들은 대부분 야간이나 주말에 주요 점검 및 작업을 수행하는 경우가 많습니다. 하지만 이러한 노력들이 보이지 않으면 회사 내에서 제대로 인정받기 어렵습니다.
- 작업 전후 공지를 통해 어떤 일을 하고 있는지 알리고, 그 효과를 공유하는 것이 중요합니다.
- 대표, 임직원이 자주 사용하는 사내 메신저나 이메일을 활용해 작업 내용과 개선점을 정리하면 자연스럽게 보안 업무의 중요성이 인식됩니다.
- 장애가 발생하지 않는 것이 최선이지만, 보안이 잘 운영되고 있다는 사실을 주기적으로 알리는 것도 중요합니다.
글을 마치며
현대의 직장 문화에서는 성과를 달성하는 것에 집중하기 쉽습니다. 하지만 진정한 성과란 단순히 회사에서 인정받는 성과를 넘어, 그 과정에서 스스로 배우고 성장하는 것이라고 생각합니다.
보안 측면에서도 단순히 사고를 예방하는 것에 그치지 않고, 회사의 보안 수준을 한 단계 끌어올리며 스스로도 전문성을 확장해 나가는 것, 회사가 성장하는 과정에서 보안이 걸림돌이 아닌 든든한 기반이 될 수 있도록 노력하는 것, 그리고 그 과정에서 나 역시 함께 성장할 수 있는 환경을 만드는 것이 보안 담당자로서의 진정한 성과가 아닐까요?
글 강천수 정보보호 담당자
발행일 25.03.24