‍

​

-P.M.I (Please More Information) 노트-​

컨설팅사업그룹 박영학 수석, 남재수 책임님과 이야기를 나눠보았습니다. SK쉴더스 구성원들의 이야기, 지금 바로 확인해 보세요!

‍

Q. 안녕하세요! 먼저 간단한 자기소개 부탁드립니다.

박영학 수석: 안녕하세요. 금융컨설팅담당 박영학입니다. 저는 주로 금융기관을 대상으로 하는 보안컨설팅의 프로젝트 매니저(PM)로, 고객의 니즈에 맞는 서비스를 제공하고 있습니다.

남재수 책임: 안녕하세요. 공공/기업컨설팅담당 남재수입니다. 저는 기업이나 공공기관을 대상으로 보안 위협을 분석하고 수준을 진단하는 등, 정보보호 관리체계를 수립할 수 있도록 지원하는 업무를 진행하고 있습니다.

‍

Q. 보안컨설팅이란 무엇이고, 필요한 이유는 무엇인가요?

박영학 수석: 법이나 제도 등의 변화에 따른 기관의 요구에 대응하고, 해킹이나 정보 유출 등 내∙외부 보안 위협으로부터 기업의 수준을 진단하여 대응 방안을 제시하는 업무입니다.

남재수 책임: 보안 컨설턴트는 인터뷰, 시스템 진단, 현장진단 등 다양한 방법으로 현황을 파악하고 솔루션을 제시하는데요. 전문가의 시각으로 현재 수준을 객관적으로 진단하고, 다양한 타사 사례들을 통해 적절한 솔루션을 제시한다는 점이 보안컨설팅이 필요한 이유라고 생각됩니다.

‍

Q. SK쉴더스 컨설팅사업그룹 및 현재 담당하고 계신 업무 소개 부탁드립니다.

남재수 책임: 다양한 분야의 보안컨설팅을 진행하고 있습니다. 기업과 기관들이 법이나 감독기관에서 요구하는 보안 요건들을 준수할 수 있도록 지원하는 ‘컴플라이언스 컨설팅’, 시스템의 보안 관련 문제점을 개선하도록 돕는 ‘취약점진단 컨설팅’, 보안 수준을 높이기 위한 중장기 계획을 수립해 드리는 ‘마스터플랜수립 컨설팅’, 보안 아키텍처를 설계하고 보안 요건들을 반영할 수 있도록 가이드 하는 ‘보안 아키텍처 수립 컨설팅’ 등이 있습니다.

이 중에서 저는 컴플라이언스 컨설팅을 진행하고 있으며, 주로 고객이 ISMS-P(정보보호 및 개인정보보호관리체계 인증) 인증을 획득할 수 있도록 고객사의 보안 수준을 파악하고, 개선방안을 가이드 하는 업무를 진행하고 있습니다.

​

‍

박영학 수석: 저는 금융감독기관이나 정부부처의 요구에 따른 ‘전자금융기반시설 취약점 분석 평가’, ‘주요정보통신기반시설 취약점 진단’ 등을 대응하는 ‘컴플라이언스 컨설팅’과 기업의 정보보호 수준을 강화하기 위한 국내 ‘ISMS-P 컨설팅’, 정보보호 국제표준인 ‘ISO27001 컨설팅’ 등을 수행하고 있습니다.

‍

Q. 보안 컨설턴트가 된 계기는 무엇인가요?

박영학 수석: 학창 시절부터 보안에 관심이 많아 교육기관에서 해킹 관련 공부를 하곤 했었습니다. 대학 졸업 후 프로그램 개발자로 첫 직장 생활을 하게 되었는데요. 우연히 한국인터넷진흥원에서 보안 관련 개발 관련 업무도 하고, 한국저작권위원회에서 디지털포렌식을 하는 등 공공기관에서 다양한 업무를 맡았어요. 그러다 컨설팅에 관심이 생겨서 평소 관심이 많던 보안 분야의 컨설턴트로 입사했습니다.

​

‍

남재수 책임: 학창 시절에 컴퓨터에 관심이 많았고, 보안 분야가 유망하다는 생각에 정보보안 관련 전공으로 대학을 입학했습니다. 이후 보안 담당자로 업무를 진행했는데요. 매번 같은 업무를 반복하는 것보다는 프로젝트마다 새로운 환경을 접하고, 저의 역량으로 고객의 문제를 해결해 준다는 것에 매력을 느껴서 입사하게 되었습니다.

‍

Q. 최근 개인정보보호법이 개정됐다고 들었는데, 주목해야 할 내용이 있나요?

남재수 책임: 지난 3월에 개정된 개인정보보호법은 주목할 만한 내용들이 많습니다. 눈에 띄었던 내용을 말씀드리자면, 금융∙공공기관 등 일부 분야에서만 제한적으로 가능했던 ‘마이데이터 서비스’가 의료∙유통 등 모든 영역에서 보편적으로 활용될 수 있는 기반이 마련됐다는 점입니다.

이는 기업들의 디지털 경제 성장을 촉진시키는 기반이 되기도 하지만, 반대로 관리가 소홀하면 개인정보 유출 위험이 커질 수도 있기 때문에 기업들은 서비스 설계 단계에서부터 ‘보안’을 고려해야 할 것입니다.

​

‍

박영학 수석: 남재수 책임님께서 충분히 설명해 주신 것 같습니다. 마이데이터 서비스의 확장은 ‘개인정보 전송요구권’이 신설되면서 그 기반이 마련됐습니다. 마이데이터 서비스를 제공하고 있던 금융기관의 경우, 서비스의 확장을 고려했을 때 해당 법령에 대한 지속적인 모니터링이 필요할 것으로 보입니다.

더불어 개인정보 수집∙이용 동의 시, 수집∙이용 동의의 예외 범위가 ‘정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우’로 확대되었습니다. 이는 정보주체의 요청에 따른 조치를 이행하기 위해서 필요한 경우라면, 정보주체의 동의 없이 개인정보를 수집할 수 있다는 것인데요. 이후 가이드라인이 나오면 개인정보 수집∙이용 동의서 개정 등의 조치가 필요할 것으로 보입니다.

‍

Q. 최근 금융기관이나 기업&공공기관에서 관심이 많은 보안 분야가 있나요?

박영학 수석: 제가 주로 담당하는 금융기관의 경우, 최근 비중요 서비스에 대해 클라우드 환경으로 이관하며 확대하는 추세인데요. 이에 따라 클라우드 보안을 위한 조직을 신설하거나 추진하는 금융기관들이 생겨나고 있습니다. 이뿐만 아니라 ESG 평가 항목에 반영되는 ‘정보보호 공시제도’ 공시 여부에 대해 관심을 가지는 기업도 늘어나고 있습니다.

남재수 책임: 기업 및 공공기관의 경우 많은 기업들이 클라우드 환경으로 이관했고, 공공기관도 2025년까지 클라우드 전환 계획을 발표하면서 클라우드 보안 문제가 대두되고 있습니다. 이에 기업과 공공기관들은 클라우드 기술에 대한 진입장벽과, 데이터 국외 이전 등의 관련 규정들로 인해 고민이 많다고 하는데요. 감독기관이나 인증∙평가기관에서는 기업과 공공기관을 대상으로 클라우드 보안에 대해 중점적으로 살피는 추세인지라, 이에 대응하기 위해 기업과 공공기관이 상담을 받고 있습니다.

‍

Q. SK쉴더스가 진행하고 있는 컨설팅은 어떤 것들이 있고, 강점은 무엇인가요?

박영학 수석: SK쉴더스가 진행하는 컨설팅은 다음과 같습니다.

​

• 컴플라이언스 컨설팅 금융감독기관 및 정부부처의 규제에 대응하기 위해 전자금융기반시설 취약점 분석 평가, 개인정보 상시평가, 주요정보통신기반시설 취약점진단, 수탁사 진단 컨설팅 등을 수행하고 있습니다.
• 정보보호 및 개인정보보호 관리체계 컨설팅 국내 대표적인 ‘ISMS-P(정보보호 및 개인정보보호 관리체계 인증)’와 정보보호 국제표준인 ‘ISO27001 인증’ 컨설팅을 주로 수행하고 있으며, 최근 금융권에서 관심을 가지고 있는 개인정보보호 국제표준인 ‘ISO27701 인증’ 컨설팅도 향후 수요가 늘어날 것으로 보입니다.

​

‍

이외에도 기업의 정보보호 활동의 중장기 계획을 수립하기 위한 마스터플랜수립 컨설팅, 보안 아키텍처 수립 컨설팅 등을 수행하고 있는데요. SK쉴더스는 금융분야 ISMS-P, ISO27001, 전자금융기반시설 취약점 분석 평가, 주요정보통신기반시설 취약점 진단, 개인정보 수탁사 진단 등의 국내 최대 실적을 기반으로 다양한 사례를 보유하고 있는 것이 강점이라고 생각합니다.

남재수 책임: SK쉴더스는 컨설팅뿐만 아니라 종합적인 보안 서비스를 제공함으로써 고객을 다방면으로 지원하고 있습니다. 국내 보안컨설팅 업계 1위라는 타이틀에 걸맞게, 다양한 기업의 사례들을 통해 기술력 높은 컨설팅 서비스를 제공하고 있습니다.

‍

Q. 보람찼던 업무 경험이 궁금합니다.

박영학 수석: 지난해 모 증권사에서 마이데이터 서비스 분야의 ISMS-P 인증을 국내 최초로 취득하게 되어 보람찼습니다. 새로운 분야를 처음으로 개척해 나갈 때 뿌듯했던 경험이 떠오르네요.

남재수 책임: 프로젝트가 끝날 즈음, 고객이 “SK쉴더스는 다르다”며 다른 사업도 함께 하고 싶다고 말씀해 주실 때 더 열심히 뛰게 되는 원동력을 얻는 것 같습니다.

‍

Q. 보안 컨설턴트가 되기 위해 필요한 역량은 무엇인가요?

박영학 수석: 세 가지 정도가 있습니다. 첫째, 신기술에 대한 지속적인 학습 및 문제해결 능력입니다. 고객의 다양한 요구에 대응하기 위해 클라우드나 빅데이터 등의 신기술을 학습하고, 고객에게 적절한 방안을 제시하기 위한 문제해결 능력을 길러야 합니다.

둘째, 커뮤니케이션 능력입니다. 고객과의 지속적인 인터뷰가 많고, 다양한 의견 교환이 필요하기 때문에 커뮤니케이션 능력이 중요합니다.

셋째, 문서작성 능력입니다. 결과물을 문서화하여 고객사나 인증기관 등에 제출하기 때문입니다.

남재수 책임: 컨설턴트는 문제에 대한 해결책을 제시하고 가이드 하는 직업이다 보니, 논리적 사고와 문제해결능력이 중요합니다. 문제점을 명확히 끌어내고 이에 대해 적합한 해결책을 제시하기 위해서는, 이러한 능력을 바탕으로 관련 지식과 경험을 얹어야 하기 때문입니다.

‍

Q. 두 분께서 생각하시는 ‘보안’을 하나의 키워드로 설명한다면?

박영학 수석: 보안은 ‘산소’와 같다고 생각합니다. 우리가 일상생활에서 산소의 중요성을 인식하지 못하듯이, 보안도 마찬가지입니다. 기업에게 너무나도 중요하지만, 문제가 생기면 그제야 보안의 필요성을 느끼기 때문입니다.

남재수 책임: 보안은 ‘야구’와 같다고 생각합니다. 타자가 공을 어디로 칠지 모르는 것에 대해 미리 전략적으로 수비를 배치하고 공이 날아오면 신속히 잡아내야 하는 점이 보안과 비슷하다고 생각해요.

​

‍

Q. 앞으로의 목표는 무엇인가요?

박영학 수석: 시시각각 변화하는 IT 환경에 맞는 컨설팅을 위해 신기술 영역에 대한 전문성을 강화하여, 고객의 보안 수준을 높이는 것이 저의 목표입니다.

남재수 책임: 고객의 보안을 강화하면서도 비즈니스를 효율적으로 운영할 수 있도록 돕는 것이 목표입니다. 고객 만족을 통해 보안컨설팅 글로벌 1위로 도약할 수 있도록 더욱 전문적인 컨설팅을 이어나가겠습니다.

​

<PMI 노트> 이야기, 어떠셨나요? 다음에도 우리의 안녕을 지키고 있는 SK쉴더스 구성원의 이야기와 함께 찾아오겠습니다. 😊