안녕하세요 엑스게이트입니다!

지난번 현직자 인터뷰 11탄에 이어

저희 엑스게이트의 생생한 직무탐구 12탄을 소개해보려고 합니다.

​

지금 바로 만나 보실까요?

____________________________________________________________________________________

Q. 안녕하세요 이사님. 간단한 자기소개 부탁드립니다.

​

안녕하세요. 기술연구소에서 인증팀 팀장을 맡고 있는 이수연이라고 합니다.

2000년대 초반, IT 닷컴이 붐일 때 부터 커리어를 시작해서, 전체 업력은 23년정도 되었습니다. 이곳에는 작년 하반기에 입사하여 딱 1년 정도 되었어요.

Q. 20년 넘게 쌓아오신 커리어 이야기를 조금 해주실 수 있으실까요?

​

제가 이과를 나왔고, 당시에 IT 붐이 일어나서, 관련 개발 쪽 업무를 알아보던 중에 IT 벤처기업의 테크니컬 라이터(TW)로 사회생활을 시작했어요.

기술 문서와 함께 메뉴얼도 작성하고, 관련 인증도 받는 업무였거든요. 거기서 처음 '인증'이라는 업무를 접했습니다.

그때는 CC 인증 없던 시절인데, 우리나라가 CCRA(국제CC인증 관장 포럼)에 가입하게 되면서,

가입을 위해 KISA와 함께 사전 인증을 진행하기도 했습니다.

​

이후에 육아로 잠깐 쉬는 때에 CC 인증 평가 기관에서 컨설팅 업무를 수행 하기도 했고, 제가 ISMS 인증 심사원 자격증이 있어서

정보보호 컨설팅 업체에서 컨설턴트로 일하기도 했습니다. 정보보호 컨설팅은 취약점 진단이나 모의 해킹을 통해,

공공기관의 정보보호 상황과 실태에 대한 감사 대응이라고 보시면 될 것 같아요.

​

이후에 다시 네트워크 보안 업체에서 인증 업무와 정보보호 컨설팅 업무를 수행했는데

컨설팅 업무보다는 인증 업무가 제게는 조금 더 맞는 옷이었던 것 같아요.

Q. 인증팀에서 팀장으로 근무하고 계시는데요. 주로 어떤 업무를 하시는지 자세하게 설명 부탁드립니다.

​

보안제품이 개발되고 나면 여러 검증을 거치게 되는데요. 그중에서 우리팀은 해당 제품에 대한

보안성과 신뢰성을 외부 기관으로부터 검증받기 위한 작업을 하고 있습니다.

​

개발된 제품의 성능 구현이 보안성이 제대로 갖춰져 있는지, 기능에서는 보안과 신뢰성이 고려되어 개발되었는지 등을 확인하고 검증하며, 외부 기관에 대응하는 업무인데요. 우리팀에서 제일 많이 신경 쓰는 검증 기준은 국가용 보안 요구 사항이에요. 국가에서 만들어 놓은 보안성과 관련된 기준인데,

이 기준에 대한 문구 해석과 함께, 자사 제품에 적용하여 정상 기능할 수 있는지를 면밀히 확인하고 있습니다.

Q. 업무 수행 중 소통해야 할 이해관계자는 누구인가요?

​

우리 회사 연구소의 개발자분들과 외부 평가기관 평가자분들과 소통을 많이 합니다. 저희는 이분들 사이에서 중간자 역할을 잘 해야 하는데요.

단순히 서로의 요구사항을 전달하는 것에 그치지 않고, 제품의 개발 목표와 회사의 방향, 국가의 요구사항이 서로 잘 맞아떨어질 수 있도록,

문구에 대한 해석과 설득, 서로 간 조율의 과정을 거치고 있습니다.

​

인증을 제품 단위로 받다 보니 제품과 관련된 개발팀 모든 분과 자주 소통하는 편이에요.

특히 대표님께서도 개발을 담당하고 계시다보니, 저희의 요청 사항이나 논의 필요한 부분을 빠르게 피드백 주시는데, 제일 든든하고 감사한 부분입니다.

Q. 해당 직무만의 매력은 무엇일까요? 그동안 업무를 수행하시면서 가장 의미 있었던 순간과 함께 설명해주시면 감사하겠습니다.

​

현재 보안 제품의 인증은 국제 표준을 따르고 있거든요. 그래서 이 인증 업무를 하다 보면 표준과 관련돼서 대외적으로 소통을 할 때가 많아요.

내부에 속한 분들 외에도 대외적으로 다양한 분들을 만나볼 기회가 많이 있습니다.

​

국정원 CC 인증을 예로 들면, KCCUF(한국 CC 사용자포럼) 라는 협의체가 있어요. 경쟁 업체를 포함한 국내 보안제품 제조사의 실무진분들은 물론,

정책 및 평가기관인 국정원, IT 보안인증 사무국 분들과 함께 정기적으로 모여 정보 공유 및 협력을 의논하는 자리입니다.

​

제 개인적으로는 국제 표준화 학회 활동도 하면서 산업계와 학회 등 다양한 분들과 소통하는 편이거든요.

다양한 전문가분들을 많이 만나다 보니 배울 점도 많고, 자극도 많이 됩니다. 특히 제가 하고 있는 업무에서 신뢰성과 보안성을 확보하기 위한

다양한 기술들이 있고, 정보를 취득하기 위한 많은 통로가 있다는 것에 재미를 느끼고 있습니다.

Q. 그럼 혹시 가장 힘들었던 순간은 언제인가요?

​

회사 입사 후로 얘기를 한다면, 올 초에 검증필 암호모듈 관련 이슈가 조금 있었거든요.

저희는 VPN 업체이다 보니 인증 제도상의 검증 필요 암호 모듈을 필수로 탑재해야 하는데,

저희가 예전 사용하던 타사의 암호모듈이 연장 인증이 나오지 않으면서 전 제품에 대한 인증이 유지될 수 없는 상황이 생길 뻔했는데, 정말 아찔한 순간이었어요.

​

다행히 보안 기능 확인서나 추가 인증 등, 나와 있는 제도로 관련 문제에 대응하며 인증 효력은 계속 가져갈 수 있었습니다.

평가 기관과 협의체를 통해서 아이디어를 얻은 부분도 있었고요. 상황이 굉장히 복잡했고, 자세하게 얘기 드릴 수 없는 부분도 많은 터라 조금 조심스러운데요.

앞으로 재발 방지를 위해서는 정책기관과 지속적으로 소통하면서 사례를 모으고 대비하는 것에 더 집중할 생각입니다.

Q. 인증 업무에서 가장 필요한 직무 역량은 무엇인가요?

​

의사 소통 능력!

앞서 말씀드린 것과 같이 사내 개발자분들은 물론이고, 때에 따라 사업부와 기술 지원부와도 소통해야 하고요.

외부 평가기관과도 지속적으로 의논해야 합니다.

때로는 단순한 '전달'의 소통도 있을 수 있지만, 저희 쪽에서 적극적인 '요청'의 소통도 필요하거든요.

불필요한 요청이 되지 않도록, 똑똑하게 요청하기도 해야 하고, 개발자가 이해하기 쉬운 언어로도 요청해야 하고요.

단순히 말을 잘하는 것이 아니라, 상황을 충분히 이해하고, 자신의 언어로 잘 정리하며 표현할 수 있는 능력이 중요하다고 생각합니다.

​

그리고 문서 작업이 상대적으로 많은 편이다 보니, 자료 해석 능력과 그것을 문서화하는 능력도 중요한 것 같아요.

기술 문서화도 시켜야 하고, 인증 기준에서 요건으로 제시하는 기본 문서 종류들도 잘 살펴봐야 합니다. 소위 '문과적'인 소양이 필요한 부분인데,

요구사항 분석과 기능 구현에 대한 이해까지, 문과 이과 소양이 종합적으로 필요한 업무인 것 같습니다.

Q. 팀장으로서 인증팀의 비전이 있다면? 큰 줄기의 계획은 어떻게 되시나요

​

보안 아키텍처라고 하면 조금 거창하게 들릴 수 있는데요. 현재는 제품 개발이 다 끝나고 난 후에 저희 팀에서 검토하는 프로세스다 보니,

인증 단계의 요구사항이 미흡했을 때는 수정과 보안을 다시 거처야 하고 리소스도 더 투입되는 경우가 많거든요.

보안성에 대해서는 설계 단계부터 어느 정도 반영이 될 수 있게끔 제품 개발 초기에 같이 참여하는 것을 단기 목표로 잡고 있습니다.

물론 그만큼 저희 팀이 초기 단계부터 원활히 의사소통할 수 있는 역량도 부지런히 키워야 합니다.

​

장기적인 목표로는, 보안 아키텍처는 결국 보안성에 대해 판단할 수 있는 역량이 필요합니다.

예를 들면 '어떤 기능이 들어가야 보안성이 높아진다'와 같은 것들이요. 지금의 보안성 기준은 국가용 보안 요구사항 한가지라고 한다면,

앞으로는 각종 취약점이나 위험 요소들이 워낙에 많이 보고되고 있다 보니, 단순히 한 기준만을 가지고 판단하기는 힘들어질 것으로 보여요.

종합적이고 입체적으로 보안성에 대해 판단할 수 있는 역량까지 끌어올리는 것을 최종 목표로 삼고 있습니다.

Q. 앞서 말씀하신 KCCUF 외에도, 한국정보보호학회 활동도 주도적으로 하고 계십니다.

보통 연구소분들은 외부 노출되는 것을 꺼리는 분위기가 조금 있다고 생각하는데, 특별히 외부 활동에 대한 거부감은 없으신 것 같아요.

​

학회 활동은 표준화 활동의 일환으로 하고 있는데요. 제가 20년 넘게 이 업계에 있다 보니 아시는 분들도 많아지고,

CC 인증이 국제 표준에 등록되어 있다 보니 관련 표준 개정 업무에 참여해 달라는 요청에서 시작하게 되었어요.

관련 컨퍼런스도 열리게 되고, 세미나에도 참석하면서 학회 활동 자체가 조금씩 커지게 되었습니다.

​

외부 회의는 1년에 4번 정도 있는 편으로 많지는 않습니다. 사실 제대로 학회 활동을 하려면 훨씬 더 많은 시간을 투자해야 해요.

국제 표준화 회의도 참석해야 하는데, 회사 업무에 지장을 받을 정도로 리소스를 쏟을 수는 없기에 지금은 관련 활동을 최소화하고 있습니다.

Q. 사업부는 흔히들 “숫자”로 평가받는다고 하는데요. 연구소는 “연구 실적”이 평가의 잣대가 될 것 같은데,

인증 및 연구 일정이 딜레이(Delay)되거나 중단될 때에 대한 부담감은 어떠신가요?

​

부담 굉장히 많이 됩니다. 하하

인증은 판매하기 '직전' 단계에 많이 논의되는 부분인데요. 저희가 인증 계획을 수립해 놓고 '이때 인증이 나올 겁니다'라고 얘기하는 순간,

사업부도 거기에 맞춰 판매 계획과 매출 시기를 조율합니다. 그런데 그 일정이 딜레이 됐을 때 회사 매출에 직접적인 영향을 미칠 수도 있다 보니,

예민해지고 부담감도 상당합니다. 그래서 일정이 딜레이되지 않도록 정말 체크를 많이 하고 신경을 많이 쓰고 있어요.

​

그럼에도 조금씩 일정들이 딜레이되는 부분이 생기는데, 현재 저희 회사가 사업을 굉장히 다각도로 확장하고 있는 상황이다 보니 어쩔 수 없는 부분도 존재합니다. 그래도 최대한 계획대로 될 수 있도록 노력하고 있어요. 올해 인증 계획 목표도 거의 달성할 것 같습니다.

Q. AI가 기술 현장에서 대세로 떠오르고 있습니다. AI 시대에 인증 업무에서 느끼시는 특별한 이슈는 없으신가요?

​

인증의 입장에서 보자면, 신뢰성이 제일 중요하거든요. 기술의 보안성과 신뢰성 확보가 중요하다 보니, AI와 같은 신기술이 나왔을 때,

인증 제도에 들어가기까지 시간이 조금 걸리는 편이에요. 반대로 기술의 발전 속도는 워낙 빠르다 보니,

인증기관과 관계당국이 어떻게 정책적으로 풀 것인지 고민을 많이 하고 있습니다.

​

꼭 AI 때문은 아닌데, 여러 가지 제도들이 최근에 많이 생겼거든요. 대표적으로 신속확인제 제도도 그렇고요.

물론 이 신속확인제도는 CC인증을 완전히 대체하기 힘들지만, 급변하는 상황에서 유연하게 대처하기 위한 제도라고 이해하는 것이 중요하다고 생각합니다.

조금씩 수정하고 개선하는 방향으로 가고 있는데, 관련 흐름을 놓치지 않으려 하고 있습니다.

Q. 조금 민감한 부분일 수도 있는데요. 최근 쿠팡의 대규모 정보 유출과 관련하여, 여러 인증 절차를 거쳤음에도 불구하고 관련 보안 사고가 터진 것에 대해,

까다로운 인증 절차가 실효성이 없다는 기사도 나오고 있습니다.

​

ISMS-P인증을 받았는데도 보안 사고가 터진 것에 대한 문제 제기인데요. 제가 ISMS 심사원 자격도 있는 터라 조금 민감한 얘기일 수 있지만,

인증이 모든 것을 100% 보증할 수는 없습니다. 이것은 CC 인증도 마찬가지고, ISMS 관리 체계 인증도 마찬가지예요.

해당 보안을 관리하고 있는 체계가 잘 잡혀있고, 관리자 또는 사용자가 얼큼 잘 활용하고 사용하느냐도 굉장히 중요한 역할을 차지합니다.

그런 의미에서 본다면, 까다로운 인증 절차에 대한 회의론이 나올 수도 있다고 생각해요.

​

다만, 그렇다고 해서 인증이 아예 소용없는 무용지물이라는 부분은 동의하기 힘들어요. 최소한의 기준 절차라는 측면에서 본다면

오히려 더 필요한 부분이라고 생각하고요. 꼭 인증에서뿐만 아니라, 사용자, 관리자, 기술, 개발, 도덕성 등

다각도에서 관련 보안 사고를 막으려는 지혜가 필요하다고 생각합니다.

Q.현재 2명의 팀원을 매니징(Managing)하고 계시는데, 팀원들을 대하는 본인만의 철학이나 철칙이 따로 있으신가요?

팀원들에게 하고 싶은 말씀이 있다면 자유롭게 해주셔도 괜찮습니다.

​

저는 예전부터 관리 업무를 하면서 '서포트' 입장이 되려고 많이 노력했어요. 제가 주도하기보다는 이 친구들이 업무를 할 수 있게 해주고,

거기서 필요한 것들을 제가 지원해주는 식의 관리자가 되려고 했거든요.

​

지금은 저와 나이나 경력에서 차이가 조금 나다보니, 제가 조금 더 주도적으로 해야 되는 부분이 많긴 하지만,

주도성을 가지고 담당을 맡아 빠르게 성장할 수 있도록 계속 지원할 생각입니다. 사실 이 분야에서 주도성을 갖고 자신 있게 업무하기 위해서는

최소 5년의 시간은 필요한 것 같더라고요. 지금도 너무 잘하고 있으니, 지금처럼 잘 따라와 준다면 충분히 본인 역할 이상을 할 수 있을 거라고 말해주고 싶습니다.

​

Q. 인증팀 입장에서 엑스게이트 경쟁력과 기술적 주요 이슈는 무엇인가요?

​

아마 다른 분들께서 많이 말씀해 주셨는데, 제품 이해도가 높은 숙련된 개발자를 많이 보유하고 있다는 것!

비율로 따진다면 다른 경쟁사들보다 월등하게 높은 부분입니다. 대표님께서 개발자이신 것도 굉장히 큰 장점이고요.

​

사업부도 굉장히 유연하게 잘 대처하시면서, 열정적으로 시장을 공략하시는 것 같아요. 사실 VPN 1위 업체라고 하면 조금 안주하면서,

들어오는 인바운드 콜만 처리할 수도 있는데, 역동적으로 사업 수주를 위해 움직이시는 모습들이 되게 좋아 보였어요.

​

사업의 테마로 본다면, 저희가 오랫동안 준비해 오고, 강점으로 내세우고 있는 양자 부분은 내년에 제도권에서 인증받을 수 있는 길이 열릴 것 같아요.

기술의 발전 속도에 맞게 빠르게 인증 제도가 되지 않는 부분이 늘 아쉬웠지만, QRNG를 포함해 PQC와 같은 양자 기술이 내년에는

의미 있는 인증 기준으로 자리매김할 것으로 보고 있습니다. 당장 사업적으로 크게 활용하기는 힘들 수도 있지만,

양자 신기술로 의미 있는 연구개발과 사업을 하는 저희에게는 큰 도움이 될 것으로 생각합니다.

Q. 마지막으로, 이 기업에 다니는 이유와 앞으로의 성장 계획이 궁금합니다.

​

사람이 좋아서인 것 같아요.

제가 나이도 조금 있고, 경력도 있다 보니, 예전 직장에서 퇴사하고 휴식기를 갖는 동안 재취업에 관한 생각은 안 하고 있었어요.

그런데 현재 엑스게이트 연구소장님께서 첫 직장에서 같이 일을 했었고, 계속 연락을 주셨어요. 또 여기 계신 분들 몇몇은 오랫동안 알고 지냈던

예전 직장 분들이고 했고요. 다시 함께 업무를 하기로 결정하게 된 가장 큰 동기는 좋은 사람이었습니다.

​

또, 휴식기 동안 조금씩 프리로 일을 했었는데, 프리는 혼자 하는 업무잖아요. 물론 고객사와 관계자들을 만나긴 하지만,

한 조직에서, 직장에서, 팀에서 동료들과 같이 소통하면서 하는 업무가 제게는 굉장히 재미있어요.

​

다시 불러주신 이곳에서, 감사한 마음을 갖고, 지금 있는 동료 및 팀원들과 더 재밌게, 더 잘하면서 지내는 것이 제 목표입니다.

_______________________________________________________________

엑스게이트의 보안성과 신뢰성을 책임지는 인증팀!

이수연 이사님과의 인터뷰 어떠셨나요?

​

고객에겐 회사 제품의 신뢰성을,

업계에센 인증 분야의 전문성을,

회사에선 팀원들에게 든든한 서포팅을 제공하는

이사님의 이야기를 들을 수 있었습니다 :)

다음에도 또 다른 현직자 인터뷰를 통해 생생한 실무 현장의 이야기를 전달해 드릴게요 !!

​

감사합니다.