2014.12.18

강은성의 Security Architect | Software Architect? Security Architect!

강은성 | CIO KR
미국의 CNN Money에서 발표한 ‘2013년 미국의 100대 좋은 직업’(Best Jobs In America 2013)에 따르면 3위가 소프트웨어 아키텍트(Software Architect), 7위가 소프트웨어 개발자, 8위가 IT 형상관리자(Configuration Manager)다. 이 밖에도 IT 관련 직업이 50위 안에 다수 포진하고 있어서 IT 산업으로 엄청난 부를 벌어 들이는 미국 산업의 특징을 반영한 것 같다. 특히 2012년 발표에서도 소프트웨어 아키텍트가 3위에 선정된 것을 보면 이 직업은 미국에서 정말 최고의 직업 중 하나로 꼽히는 듯하다.

소프트웨어 분야에서는 소프트웨어 아키텍트가 최고의 기술 직책이라고 생각한다. 소프트웨어의 스펙 작성과 설계를 주도하면서 개발자의 실질적인 리더 역할을 하기 때문이다. 상세한 설계를 담당하기도 있지만 주로 시스템의 식별, 구조 정의, 상호 연계, 시스템 내 모듈의 식별, 구조 정의, 상호 연계 등 설계의 큰 그림을 그리는데 주력한다. 물론 모듈 내의 세부적인 내용에 정통해야 할 수 있는 일이다. 따라서 적절한 경력과 경험, 뛰어난 설계 역량 없이 아키텍트의 역할을 맡을 수 없다.

<CIO>에 보안 관련 칼럼을 쓰기로 하면서 제목을 ‘Security Architect’로 잡았다. 정보보호 대책을 수립할 때 주요 보안 시스템의 식별, 구조 정의, 상호 연계, 시스템 내 보안 모듈의 식별, 구조 정의, 상호 연계 등 큰 그림이 필요하고 그것을 주도할 아키텍트가 핵심적인 역할을 한다고 보기 때문이다.

그런데 Security Architect는 소프트웨어 아키텍트의 역할을 넘어 선다. 정보보호 대책은 기술적인 것만으로 가능하지 않기 때문이다. 이미 보안 분야에서는 기술적 영역을 넘어서서 관리적 영역의 중요성이 부각된 지 오래되었다. IT 영역뿐 아니라 인사 제도, 구매 지침 등 비IT 영역에서의 보안 역시 중요하다. 법규 변화에도 민감하다. 따라서 Security Architect는 관리적 영역이나 비IT 영역에서의 정보보호 대책 설계를 책임지는 역할도 포함하는 직책이어야 한다. Security Architect의 역할을 기술한 내용을 찾아 봤더니 PayScale에서 작성한 직무기술서에 보안시스템을 설계할 뿐 아니라 임직원들이 그것을 사용할 때의 정책과 지침도 작성한다는 내용이 있었다(http://www.payscale.com/research/US/Job=Security_Architect,_IT/Salary). 아직 일반화 된 것은 아니지만, 나와 비슷한 생각을 하는 사람이 있어서 반가웠다.

2011년 3월, 국내 약 320여 보안 조직이 가입해 있는 한국침해사고대응팀협의회(CONCERT)에 따르면 정보보안 인력 217명에게 설문 조사한 결과 53.9%는 기회가 된다면 다른 업무로 이동하기를 바랬다고 한다. 2012년 11월에도 280여 명의 보안담당자들을 대상으로 비슷한 조사가 있었는데, 그 때에는 45.9%가 그렇게 희망했다. 두 조사에서 업무 변경을 바라는 주된 이유는 부서의 낮은 위상과 비전을 발견하지 못해서였고, 사고에 대한 스트레스, 과도한 업무가 뒤를 이었다.

앞에서 인용한 ‘2013년 미국의 100대 좋은 직업’에 정보보증 분석가(17위), 컴퓨터 포렌식 분석가(36위), 컴퓨터 보안전문가(38위) 등 정보보안 분야의 직업이 여럿 포함된 것과는 대조적인 결과다. 게다가 CONCERT에 참여하는 보안실무자라면 팀이나 파트 정도의 정보보안 조직이 있는 회사에서 근무할 텐데 낮은 위상과 비전의 부재로 업무 변경을 희망하고 있다니 정말 안타까운 일이 아닐 수 없다. 적은 인력으로 다양한 보안 이슈를 대응하면서 잦은 야근과 휴일 근무 등 과도한 업무를 수행함에도 불구하고 회사 경영진이 정보보안 업무의 중요성을 제대로 평가 및 지원해 주지 않음으로 인해 발생하는 모습이 아닐까 싶다.

하지만 5~10년 전을 생각해 보면 사회적으로 정보보호에 관한 인식이 좋아진 것 역시 사실이다. 특히 금융과 통신 등 국가 기간산업에서 대형 보안 사고가 터진 작년과 올해 상당한 변화가 있었다. 정보보호최고책임자(CISO)의 임명과 요건 강화, 개인정보 유출 사고 발생 기업에 대한 과징금의 부과 요건의 완화와 과징금 상한 200% 증가, 법정 손해배상제 도입, CEO 및 책임 임원 징계 권고 등의 내용으로 관련 법률이 개정되어 기업의 경제적, 사회적, 법적 보안 위험이 매우 커졌고, 올해 카드 3사나 기존 보안사고 발생기업의 비용을 추정한 연구 결과에 따르면 손실 금액이 수백억 원에서 1천억 원 대에 이르렀다.

이제 올해부터 금융과 통신 기업을 중심으로 본격적으로 전담/전문 CISO를 영입하고, 시장에서 보안 실무인력의 품귀 현상이 생길 정도로 정보보호 조직을 보강하려는 움직임이 일어났다. 보안 위험을 기업 차원의 위험으로 인식하기 시작했기 때문인 것 같다. 아직 충분하지는 않지만, 보안 인력의 근무 환경에 중요한 변화가 생기고 있는 것으로 보인다.

또한 정보보안은 나이가 있더라도 일할 수 있는 분야다. 기업 보안에는 전사적인 추진과 조정 업무가 많아서다. 다른 조직의 업무와 프로세스를 이해하고 협의할 수 있는 사람이 필요하므로 오랜 경력과 다양한 경험이 충분히 장점이 될 수 있다. 물론 보안 실무의 전문성은 갖춰야 한다. 보안 분야에서 일하고 있는 많은 실무자에게 좋은 분야에서 일하고 있다는 말을 꼭 전하고 싶다.

그럼에도 사회 제도적인 개선이나 기업 최고경영층의 인식 변화, 그에 따른 근무환경 개선 등 보완해야 할 점이 많이 있다. 개별 기업의 문제이기도 하지만 보안 분야에 먼저 몸 담고 있는 이들이 감당해야 할 일이기도 하다. 올해 국가직 공무원의 기술직군 전산직렬에 정보보호직류를 신설한 것이 좋은 사례다. 이 자리를 빌어 이를 위해 애쓰신 분들께 감사의 말씀을 드린다.

<강은성의 Security Architect>는 보안 실무자가 자신이 담당하는 보안 영역에서 기술적, 관리적인 큰 그림을 조망하고 세부 설계를 해 나갈 수 있는 데 도움이 되고자 한다. 가끔은 지친 마음, 어려운 근무 환경, 계속 나오는 새로운 기술을 보안 관점에서 어떻게 해석하고 대응해 나갈지도 탐구할 것이다. 궁금한 사항, 다뤘으면 하는 주제 등에 관한 의견이 있으면 편하게 보내 주시기 바란다. 우리 보안 식구들, 올해도 고생 많이 하셨다. 한 해 잘 마무리하고 새해에 좋은 일이 많이 생기길 빌어 마지 않는다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 보안위협의 변화뿐 아니라 기업의 조직적 변화, 법ㆍ규제와 같은 기업 환경의 변화에 대응하여 CEO, 정보보호최고책임자(CISO), 개인정보보호책임자(CPO) 등이 해야 할 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)가 있다. ciokr@idg.co.kr



2014.12.18

강은성의 Security Architect | Software Architect? Security Architect!

강은성 | CIO KR
미국의 CNN Money에서 발표한 ‘2013년 미국의 100대 좋은 직업’(Best Jobs In America 2013)에 따르면 3위가 소프트웨어 아키텍트(Software Architect), 7위가 소프트웨어 개발자, 8위가 IT 형상관리자(Configuration Manager)다. 이 밖에도 IT 관련 직업이 50위 안에 다수 포진하고 있어서 IT 산업으로 엄청난 부를 벌어 들이는 미국 산업의 특징을 반영한 것 같다. 특히 2012년 발표에서도 소프트웨어 아키텍트가 3위에 선정된 것을 보면 이 직업은 미국에서 정말 최고의 직업 중 하나로 꼽히는 듯하다.

소프트웨어 분야에서는 소프트웨어 아키텍트가 최고의 기술 직책이라고 생각한다. 소프트웨어의 스펙 작성과 설계를 주도하면서 개발자의 실질적인 리더 역할을 하기 때문이다. 상세한 설계를 담당하기도 있지만 주로 시스템의 식별, 구조 정의, 상호 연계, 시스템 내 모듈의 식별, 구조 정의, 상호 연계 등 설계의 큰 그림을 그리는데 주력한다. 물론 모듈 내의 세부적인 내용에 정통해야 할 수 있는 일이다. 따라서 적절한 경력과 경험, 뛰어난 설계 역량 없이 아키텍트의 역할을 맡을 수 없다.

<CIO>에 보안 관련 칼럼을 쓰기로 하면서 제목을 ‘Security Architect’로 잡았다. 정보보호 대책을 수립할 때 주요 보안 시스템의 식별, 구조 정의, 상호 연계, 시스템 내 보안 모듈의 식별, 구조 정의, 상호 연계 등 큰 그림이 필요하고 그것을 주도할 아키텍트가 핵심적인 역할을 한다고 보기 때문이다.

그런데 Security Architect는 소프트웨어 아키텍트의 역할을 넘어 선다. 정보보호 대책은 기술적인 것만으로 가능하지 않기 때문이다. 이미 보안 분야에서는 기술적 영역을 넘어서서 관리적 영역의 중요성이 부각된 지 오래되었다. IT 영역뿐 아니라 인사 제도, 구매 지침 등 비IT 영역에서의 보안 역시 중요하다. 법규 변화에도 민감하다. 따라서 Security Architect는 관리적 영역이나 비IT 영역에서의 정보보호 대책 설계를 책임지는 역할도 포함하는 직책이어야 한다. Security Architect의 역할을 기술한 내용을 찾아 봤더니 PayScale에서 작성한 직무기술서에 보안시스템을 설계할 뿐 아니라 임직원들이 그것을 사용할 때의 정책과 지침도 작성한다는 내용이 있었다(http://www.payscale.com/research/US/Job=Security_Architect,_IT/Salary). 아직 일반화 된 것은 아니지만, 나와 비슷한 생각을 하는 사람이 있어서 반가웠다.

2011년 3월, 국내 약 320여 보안 조직이 가입해 있는 한국침해사고대응팀협의회(CONCERT)에 따르면 정보보안 인력 217명에게 설문 조사한 결과 53.9%는 기회가 된다면 다른 업무로 이동하기를 바랬다고 한다. 2012년 11월에도 280여 명의 보안담당자들을 대상으로 비슷한 조사가 있었는데, 그 때에는 45.9%가 그렇게 희망했다. 두 조사에서 업무 변경을 바라는 주된 이유는 부서의 낮은 위상과 비전을 발견하지 못해서였고, 사고에 대한 스트레스, 과도한 업무가 뒤를 이었다.

앞에서 인용한 ‘2013년 미국의 100대 좋은 직업’에 정보보증 분석가(17위), 컴퓨터 포렌식 분석가(36위), 컴퓨터 보안전문가(38위) 등 정보보안 분야의 직업이 여럿 포함된 것과는 대조적인 결과다. 게다가 CONCERT에 참여하는 보안실무자라면 팀이나 파트 정도의 정보보안 조직이 있는 회사에서 근무할 텐데 낮은 위상과 비전의 부재로 업무 변경을 희망하고 있다니 정말 안타까운 일이 아닐 수 없다. 적은 인력으로 다양한 보안 이슈를 대응하면서 잦은 야근과 휴일 근무 등 과도한 업무를 수행함에도 불구하고 회사 경영진이 정보보안 업무의 중요성을 제대로 평가 및 지원해 주지 않음으로 인해 발생하는 모습이 아닐까 싶다.

하지만 5~10년 전을 생각해 보면 사회적으로 정보보호에 관한 인식이 좋아진 것 역시 사실이다. 특히 금융과 통신 등 국가 기간산업에서 대형 보안 사고가 터진 작년과 올해 상당한 변화가 있었다. 정보보호최고책임자(CISO)의 임명과 요건 강화, 개인정보 유출 사고 발생 기업에 대한 과징금의 부과 요건의 완화와 과징금 상한 200% 증가, 법정 손해배상제 도입, CEO 및 책임 임원 징계 권고 등의 내용으로 관련 법률이 개정되어 기업의 경제적, 사회적, 법적 보안 위험이 매우 커졌고, 올해 카드 3사나 기존 보안사고 발생기업의 비용을 추정한 연구 결과에 따르면 손실 금액이 수백억 원에서 1천억 원 대에 이르렀다.

이제 올해부터 금융과 통신 기업을 중심으로 본격적으로 전담/전문 CISO를 영입하고, 시장에서 보안 실무인력의 품귀 현상이 생길 정도로 정보보호 조직을 보강하려는 움직임이 일어났다. 보안 위험을 기업 차원의 위험으로 인식하기 시작했기 때문인 것 같다. 아직 충분하지는 않지만, 보안 인력의 근무 환경에 중요한 변화가 생기고 있는 것으로 보인다.

또한 정보보안은 나이가 있더라도 일할 수 있는 분야다. 기업 보안에는 전사적인 추진과 조정 업무가 많아서다. 다른 조직의 업무와 프로세스를 이해하고 협의할 수 있는 사람이 필요하므로 오랜 경력과 다양한 경험이 충분히 장점이 될 수 있다. 물론 보안 실무의 전문성은 갖춰야 한다. 보안 분야에서 일하고 있는 많은 실무자에게 좋은 분야에서 일하고 있다는 말을 꼭 전하고 싶다.

그럼에도 사회 제도적인 개선이나 기업 최고경영층의 인식 변화, 그에 따른 근무환경 개선 등 보완해야 할 점이 많이 있다. 개별 기업의 문제이기도 하지만 보안 분야에 먼저 몸 담고 있는 이들이 감당해야 할 일이기도 하다. 올해 국가직 공무원의 기술직군 전산직렬에 정보보호직류를 신설한 것이 좋은 사례다. 이 자리를 빌어 이를 위해 애쓰신 분들께 감사의 말씀을 드린다.

<강은성의 Security Architect>는 보안 실무자가 자신이 담당하는 보안 영역에서 기술적, 관리적인 큰 그림을 조망하고 세부 설계를 해 나갈 수 있는 데 도움이 되고자 한다. 가끔은 지친 마음, 어려운 근무 환경, 계속 나오는 새로운 기술을 보안 관점에서 어떻게 해석하고 대응해 나갈지도 탐구할 것이다. 궁금한 사항, 다뤘으면 하는 주제 등에 관한 의견이 있으면 편하게 보내 주시기 바란다. 우리 보안 식구들, 올해도 고생 많이 하셨다. 한 해 잘 마무리하고 새해에 좋은 일이 많이 생기길 빌어 마지 않는다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 보안위협의 변화뿐 아니라 기업의 조직적 변화, 법ㆍ규제와 같은 기업 환경의 변화에 대응하여 CEO, 정보보호최고책임자(CISO), 개인정보보호책임자(CPO) 등이 해야 할 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)가 있다. ciokr@idg.co.kr

X