1.2억 폴라리스오피스 유저의 개인정보지킴이, 정보보호팀 Ronald 직무인터뷰
Q. 안녕하세요 Ronald, 자기소개 부탁드립니다.
안녕하세요, 정보보호팀 Ronald 입니다. 팀 이름에 맞게 폴라리스오피스에서 발생하는 정보보호 관련 업무를 담당하고 있습니다. 팀장님이 피플팀과 정보보호팀 겸직을 하고 계셔서, 사실상 정보보호 관련 업무는 제가 전담하고 있습니다.
Q. Ronald는 피플팀 바로 앞자리에 있어서 굉장히 반가운데요! 가까이 있어도 정보보호라는 직무가 생소해서 그런지 무슨 일을 하는지 잘 모르겠더라구요 (농담) 어떤 일을 하고 계신가요?
패트릭 말에도 공감이 되는 게 저도 누군가에게 제 직무를 소개하다가 포기할 때가 많아요😊. 일단은 회사의 정보보호 관련된 업무들을 하는데요, 먼저 ISMS 인증심사에 대해서 말씀드리면 좋을 거 같아요. ISMS는 (Information Security Management System) 의 약자로 특정 요건에 해당하는 국내 기업은 의무적으로 받아야 하는 정보보안 인증심사인데요, 제가 하는 대부분의 업무들이 ISMS 인증기준에 회사의 정보보호 수준을 맞추는 일이라고 보면 될 것 같아요.
좀 더 자세하게 말씀드리면, 예를 들어 부서마다 처리하는 개인정보와 활용 방법이 다 다릅니다. 마케팅 팀에서는 고객의 개인정보를 활용하는 반면, 채용담당자는 지원자의 개인정보를 활용하는 것 처럼요. 물론 현업에서도 1차적으로 개인정보 유출에 주의를 하지만, 저는 각 부서의 업무가 전반적인 회사의 정보보호관리체계에 따라 운영될 수 있도록 업무 프로세스를 개선하거나 기술적인 부분에서 고도화 하는 일을 하고 있습니다.
같은 맥락에서 임직원 정보, 소스 코드, 대외비와 같은 정보들도 외부로 유출되지 않도록 안전하게 관리하는 일도 하고 있다고 보면 이해가 쉬울 것 같아요.
또한 임직원들의 정보보안에 대한 인식개선이 무엇보다 중요하기 때문에, 1년에 2번 정보보안 이슈사항과 관련된 리포트도 배포하고 있고, 악성메일 모의훈련처럼 실제로 접할 수 있는 여러가지 방법들도 같이 진행하고 있습니다.
[다양한 주제로 발행되는 사내 정보보호소식지]
Q. 폴라리스오피스 사용자가 글로벌로 1.2억명이 있는데, 특히 개인정보보호 관련해서는 업무에 어려움이 많지 않나요?
맞아요. 우리나라에서 개인정보보호법을 준수해야 하는 것처럼 글로벌 가입자는 각 국가의 정보보호 정책을 준수해야 하거든요. 유럽연합은 GDPR 이라는 개인정보보호 규정이 있고, 미국 캘리포니아주만 따르는 CCPA 라는 규정이 따로 있기도 해요. 이런 규정들이 크게 바뀔 때마다 내용 검토해서 저희 서비스에도 적용하고 있습니다. 그리고 각국의 해외 규정을 검토하는 것과 함께 ISO27001이라는 국제표준 정보보호 인증도 받고 있습니다. 국내는 ISMS 인증, 글로벌로는 ISO27001 인증을 받고 있는 거죠.
Q. 정보보호 직무를 어떻게 알고 시작하게 된 건가요?
사실 대학교에서 신소재공학을 전공했는데 취업하기가 쉽지 않더라구요. 그래서 정말 생계 걱정으로 취업관련 IT학원에 가게 되었는데, 교육과정에 모의해킹 이라는 직무가 있었고 그때 처음으로 정보보호 직무에 대해서 알게 됐습니다. 자세히 알아보니 희소성도 있고 특히 ‘보안 전문가’ 라는 타이틀이 유니크 해 보여서 정보보호 컨설턴트로 첫 커리어를 시작했습니다.
Q. 벌써 입사한지 1년이 조금 넘었는데, 폴라리스오피스 다녀보니 어떤 회사 같나요?
폴라리스오피스에 입사하기 전에 정보보호 컨설팅 업무를 하면서 전국의 회사들을 경험했는데요, 대부분의 회사들이 정보보호 담당자와 현업 부서들 간의 사이가 별로 안 좋았어요. 정보보호 담당자들은 항상 정보보호 정책을 내밀면서 “이거 해라, 저거 해라” 요청 하는게 많고, 현업분들은 이 부분을 귀찮게 생각하거든요. 그런데 폴라리스오피스에 와보니 모든 분들이 다 협조적이어서 놀랐어요. 기본적으로 다들 정보보호인식 수준이 높고, 다들 빠르고 적극적으로 도와 주셔서 이부분이 가장 인상적이었습니다.
담당자에게 높은 수준까지 권한을 위임하는 업무 방식도 좋은 것 같아요. 제가 정보보호 업무를 전담하는 만큼 저에게 많은 결정권이 있어서 어떤 이슈가 발생해도 빠르게 대처할 수 있어요. 가끔은 이 부분을 내가 결정해도 될까’ 라는 걱정이 들 때도 있지만, 그 만큼 더 고민하고 공부해서 결국에는 제가 성장하게 되더라구요. 그리고 자유로운 분위기 자체도 좋은 것 같아요. 동료들도 좋고 최근에는 탁구동아리에 가입해서 일도 열심히 하고 회사활동도 열심히 하고 있습니다.
[일잘러의 필수아이템 트리플모니터!]
Q. 정보보호 담당자로서 좋은 점과 힘든 점은 무엇이 있을까요?
일단 정보보호 담당자로서 좋은 점은 직무 희소성이라고 생각합니다. 정보보호는 일반적인 사무직, 개발직에 속하지 않고 특수 직군으로 들어가다 보니까 채용 시장에서의 메리트가 큰 것 같아요. 그리고 인하우스가 아니더라도 심사원 자격을 취득해서 프리랜서로 자유롭게 일할 수도 있어서 직무 확장에 다양한 선택지가 있는 것 같습니다.
반대로 힘들다고 생각하는 부분은, 제가 일을 소홀히 하면 예상치 못 한 곳에서 회사와 고객에게 엄청난 피해가 갈 수도 있어서 작은 부분이라도 쉽게 지나갈 수가 없다는 점이에요. 그래서 부담될 때도 많지만, 그만큼 더 책임감을 갖게 되고 이 점이 정보보호라는 직무를 더 가치 있게 만든다고 생각합니다.
Q. 말씀하신 대로 채용시장에서 예전보다 정보보호 담당자 채용이 많이 보이는데요, 정보보호 담당자로서 꼭 필요한 역량이 있다면 무엇일까요?
가장 중요한 역량은 커뮤니케이션 스킬이 아닐까 싶어요. 업무 특성 상 부서 간 커뮤니케이션이 정말 많습니다. 특히나 인증 심사 때에는 각 부서와 인터뷰를 하며 조치사항을 어떻게 적용해야 할지 논의해야 하는데, 저는 “이 부분이 잘못되었으니까, 이런 조치해 주세요!” 라고 강압적으로 요구하는 건 올바르지 않다고 생각해요. 각 부서의 상황을 이해하고 존중하면서도 결과적으로는 일을 풀어나가는 능력이 필요하다고 생각합니다.
그리고 정보보호 관련 자격증이 있다면 더 좋을 것 같아요. 물론 자격증이 있다고 해서 업무능력이 뛰어나다고는 볼 수 없지만, 정보보호 직무 특성 상 개정되는 관련 법규를 지속해서 검토하고, 계속해서 나오는 정보보호 이슈 사항들에 대응해야 하거든요. 그래서, 정보보호 관련 부분에 대해 공부하고, 그 결과로 전문성을 입증할 수 있는 자격증을 보유했다면 이런 능력이 문서로 입증되었다고 볼 수 있으니까요. 그리고 평소에도 보안 관련 트렌드에 관심을 갖고 다양한 사례들을 분석하는 사람이라면 좋을 것 같습니다.
[정보보호 담당자에게 커뮤니케이션과 협업 능력은 필수!]
Q. 마지막으로 정보보호 담당자로서 이루고 싶은 목표를 말씀해주세요!
폴라리스오피스에서 이루고 싶은 첫 목표는 ‘무사고’ 입니다. 마음속으로 제가 입사한날부터 무사고 D-day를 세고 있는데요. 적어도 재직하는 동안에는 무사고 기록이 깨지지 않게 노력하려고 합니다.
두번째는 임직원 모두가 보안 관련 이슈를 중요하게 생각하고 관심을 갖는 문화를 만들고 싶어요. 정기적으로 교육자료를 직접 만들어서 전사에 배부하고, 정보보호 피해사례도 자주 공유하는데, 이런 일들은 의무는 아니지만 미루지 않고 오히려 야근까지 하면서 더 열심히 하고 있어요. 아직은 초반이지만, 노력한다면 임직원 모두가 저만큼 정보보안에 대해 경각심을 높일 수 있지 않을까 하는 기대감이 있습니다.
마지막으로, 비록 정보보호 담당자는 저 혼자지만 여러 부서와 잘 협동해서 정보보호 인증을 매년 유지해오고 있습니다. 저희 직원분들 뿐만 아니라 폴라리스오피스 유저분들도 이 인터뷰를 보신다면 “열심히 정보보호를 위해 노력하고 있구나” 라고 생각해주시면 감사드리겠습니다.
🙆 폴라리스오피스 OurStory 더 보기
👉 다채로운 이벤트가 가득한 곳, 폴라리스오피스
👉 폴라리스오피스의 새로운 보금자리를 소개합니다.
👉 가족 같은 회사 NO! 가족에게 추천해도 좋은 회사! 폴라리스오피스 남매 인터뷰
👉 야근 없는 회사 여기 있어요! 워라벨 누리는 폴라리스오피스 개발자 인터뷰
