나는 보안 컨설턴트라는 직업을 가지고 싶다. 그럼 무엇을 해야할까?

2026. 4. 23. 19:21카테고리 없음

나는 왜 보안 컨설팅을 희망하게 되었는가?

이번에는 기술 블로그와는 다르게 내가 가고자 하는 분야에 대해서 생각해본 글로써 돌아왔다. 얼마 전 MJSEC 내에서 CT반을 시작하면서, 본격적으로 정보보안이라는 분야 내에서 내가 어떤 길을 향해 갈지를 선택해보았다. 이전부터 오직 기술에 국한된 직무보다는, 전체적인 구조를 다루거나, 법과 관련된 분야까지 아우르는 직업을 가지고 싶다는 느낌을 가졌었다. 이 외에도 네트워크 분야도 나름 유망해 보이기도 하고, 이전에 전공 수업 때 들었을 때 나름 흥미가 갔었던 기억이 있어서 고민했었지만, 결국 더 끌리는 쪽은 보안 컨설턴트 직무였기 때문에, 나는 보안 컨설턴트라는 직무를 희망하게 되었다. 

 

매우 운이 좋게도, CT반에는 이미 현직에서 보안 컨설팅 분야에서 활동하는 분이 계셨다. 온라인이었지만 첫 만남이 지나고 난 뒤에 느낀 감정은... 상당히 혼란스러웠다. 나이는 나보다 한살 혹은 두살 정도 많은 걸로 알고 있는데, 이미 BOB(Best of Best)와 같은 활동을 통해 수많은 포트폴리오를 쌓고, 여러 자격증 또한 갖춰진 상태였기 때문이다. 대학교 3학년에 올라오면서 겨우 관심을 가지고 목표를 설정하게 된 사람으로써 너무 많은 격차가 느껴져서 약간은 걱정되었다. 자격증도 중요하지만 대외활동도 중요하다는 그런 모든것이 중요하다는 말들 들으니 대체 무엇을 단기적인 목표로 우선 잡아야 하는지도 감이 오지 않았다. 이번 글을 작성하면서, 내가 가려는 길이 정확히 무엇인지, 가기 위해서는 어떤 행적을 밟아야 하는지에 대해서 한번 알아보겠다. 

 

정확히 어떤 세부 분야가 있고, 어떤 일을 할까? 


멘토분과의 첫 만남을 가질 때 , "어 그게 뭐지" 싶었던 부분인데, 바로 보안 컨설팅 직무 내에서도 세부적인 파트가 갈린다는 것이다. 흔히 '관리 파트' 와 '기술 파트'로 구분이 되는 것 같았다. 뭐라고 검색해야 그 이외의 분류에 대해서도 알아볼 수 있을까 싶어서 AI한테도 물어봤다. 

물리 보안 파트: 실제 현장의 출입통제나 시설물 보호 등 눈에 보이는 위협을 차단하는 영역
개인정보 보호 파트 : 관리 파트에 포함되기도 하지만, 법적 규제가 강력해짐에 따라 별도의 전문 파트로 분리되는 경우가 다수
클라우드 보안 파트: 기존 온프레미스(직접구축) 방식과 다른 클라우드만의 보안 모델을 전문적으로 다루는 영역
융합 및 신기술 보안 파트: IT 기술이 다른 산업과 결합된 특수 분야를 다룸

라고는 하는데, 개인정보 보호 파트를 빼면 이 중에서는 내가 고려할 부분은 크게 없을 것 같다.

https://m.blog.naver.com/skinfosec2000/221367091097

https://m.blog.naver.com/skinfosec2000/221360724589

정확히 무슨 일을 하는지 매우 잘 소개된 인포섹의 게시물이 있어서 참조하여 설명해보겠다.

 

참여하고자 하는 사업에 제안서를 작성하여 제출하고, 경쟁입찰을 통해 계약을 따내서 사업을 하는 방식의 업계이다. 기간이 매우 중요한 모양이다. 공공부문의 경우에는 지방 출장이 잦은 편이라고 하는데 이 부분은 나에겐 크게 중요하진 않을 것 같다. 

 

기본적으로, '고객이 위험으로부터 지켜야할 것이 뭔지 전문적으로 도와주는 직업' 이라고 정의될 수 있다. 

실제로 진행하는 업무는 무엇일까? 

Compliance 컨설팅

멘토님이 자주 '컴플라이언스'라는 단어를 언급하셨던 기억이 있다. 사실 뭔지 잘 모르는데 일단 후달려서 아는척 했다. AI는 이 컴플라이언스 컨설팅에 대해서 이러한 설명을 내렸다. 

Gemini : 우리말로 '법규 준수' 라고 번역한다. 쉽게 말하자면, "나라에서 정한 법이나 업계에서 정한 규칙을 우리 회사가 잘 지키고 있는가?"를 확인하고 관리하는 여역이다. 주로 갭 분석(Gap Analysis), 정책 및 지침 수립, 증적(Evidencce) 관리, 인증 심사 대응 등의 역할을 수행한다. 
비유:
기술 컨설턴트 = 건물의 창문이 깨졌는지, 문 잠금장치가 고장났는지 직접 고침
컴플라이언스 컨설턴트= 이 건물이 소방법에 어긋나지 않는지, 비상구는 제대로 있는지 확인하고 건물 전체의 안전관리 수칙을 세움

오호.. 비유를 들어보니 나름 이해가 된다. 이 분야는 나름 수요가 많고 정기적인 수요가 발생해서 신입을 나름 뽑는다고 하셨던 멘토님의 말씀이 약간은 이해되는 듯 하다. 

인증 컨설팅 

고객사의 인증 획득 및 유지를 목적으로 하는 업무라고 한다. ISMS-P를 인증받기 위해서 세워야 하는 '정보보호 및 개인정보 관리체계'를 수립하는 것을 도와주는 것 같다. 클라우드 인증 또한 나와있는데 이 부분은 아직 잘 모르겠다. 

아마 2019에 인증통합 예정이라고 쓰여있는걸 보니, 이 글도 꽤나 이전의 글인듯 하다. 

그러네

관리 기술 진단 컨설팅

회사의 개인정보를 보호하기 위해 상시/ 테마 점검을 수행하는 일을 의뢰받는 분야이다. IT 인프라 장비와 관련해서 진단하며, 보통 OS인 Unix, Windows, DB, 네트워크 장비, 정보보호 시스템 진단등이 있으며 매년 1회 정기적으로 진행된다고 한다. 

 

모의 해킹 컨설팅

기업이나 기관의 외부망에 오픈되어 서비스하는 웹, 모바일 앱등이 주 대상이다. IT 인프라 장비 진단처럼 컴플라이언스 기반의 취약 점검 시 대상이 되는 웹 및 모바일 앱이 있기 때문에 포함한다. 따릉이같은 공공 사업부문도 아마 이 분야에 포함될것 같은데 대체 왜 그렇게 허술하게 정보를 탈취당했는지 싶다. 

 

말고도 개발보안 컨설팅, 종합 컨설팅, 4차산업 관련 컨설팅까지 다양하게 있는데, 전부 알아볼 필요까진느 없을 것 같아서 여기까지만 하겠다. 

인터넷에서 말하는 역량

인터넷에 '보안 컨설턴트가 되기 위해서' 라는 키워드를 이용해서 검색을 해본다면, 다양한 요건들을 제시한다. 

https://share.google/3v74CJOX8JNN7v2BX

이건 중앙대학교의 한 교수님이 작성하신 문서같다. 크게 요약해보자면, 

컴퓨터 기초 : 네트워크의 기본적인 지식/ 운영체제/PPT, 엑셀등 MS 오피스 프로그램
보안 관리 과목 : ISO27001, ISMS-P의 정의 및 세부적인 항목 이해

등을 알아야 한다는 것 같다. 중앙대 학생들을 위해서 제작한 문서이니만큼 어떤 과목들이 도움이 되는지 또한 적어놓으신 것 같다. 쭉 살펴보니 '정보통신기술', '개인정보활용과 보호' , '보안시스템의 운영' 과 같은 느낌의 과목들이 중요하게 다루어지는 것 같다. 적다보니 보이는 부분인데, 중앙대에는 아예 산업보안학과가 따로 있는 모양이다. 하지만 교수님이 적어놓은 마지막 종합 의견에서도 알 수 있듯이, 배우고 익히며 공부하려는 열정과 열의가 필요하다고 하셨으니, 비록 내가 그 과는 아니지만 열심히 해보자. 

 

 

이 블로그 글에서도 앞선 교수님의 문서와 비슷한 내용들을 기본기로써 요구한다. 

IT 기본지식: 윈도우(OS를 말하는듯), DB, WEB, WAS, 네트워크)
IT 인프라장비에 대한 보안조치 방안
개발의 세부적인 부분까지 알기보다는 보안의 공통 영역을 이해하고 커뮤키케이션 가능한 정도의 수준을 요구

이 글을 통해서 우선 당장에 신경을 써야하는 부분들이 대략 윤곽이 잡힌다. 일단 운영체제와 네트워크, 웹의 전반적인 작동 원리와 보안 대책에 대해서 알아야 하겠다. 이 부분은 아예 공부하지 않았던 부분은 아니니까 조금 더 내실을 다지면 되지 않을까 생각해본다. 이후에는 전반적인 보안 대책에 대해서 공부를 해야할 것 같다. 

인포섹에서는 이 외에도 인재상 때문인지 갖추면 좋을 역량을 몇개 더 써놓았는데, 문제해결 역량과 커뮤니케이션, 보고서 작성 역량 및 자기관리 역량이다. 

자기관리라고 해서 설마 외적인 관리를 말하는건가 했는데 역시 그런 부분은 말하진 않는 듯 하다. 

 

현업에서 일하는 사람을 링크드인에서 찾아보면 어떤 길을 걸어야 할까에 대해서 알아볼 수 있다고 했으니, 우선 이따가 이 분의 이름을 먼저 검색해보도록 하자. 

https://eggsmong.tistory.com/133

 

정보보안 컨설턴트 신입 1차면접 후기

한 달쯤 이전에 보고 온 정보보안 컨설턴트 1차 면접후기를 남겨보려고 한다지원자가 70-80명 정도라고 하는데 감사하게도 서류 통과를 했다면접 장소는 회사 사무실이 아니라 서울시 중구에 위

eggsmong.tistory.com

역량에 대해서 직접적인 말이 나온 것은 아니었지만, 이 글을 보면서 뭔가 느낄 수 있는 바가 있었다. 글의 내용은 정보보안 컨설턴트의 면접 후기에 관한 내용이었다. 면접때 질문으로 

1. 자기소개
2. 멀리서 왔는데 어떻게 출퇴근할지
3. 자격증이 없는데 그 이유는?
4. 화이트햇 스쿨에서 진행했던 프로젝트 설명
5. 컨설팅 영역중에 특정 분야를 고른 이유
6. 해당 분야 컨설팅 분야에 대해 아는 지식을 자유롭게 말해보라
7. 유학 다녀온 전후에 어떻게 시간을 보냈는지
8. 관리 인프라/ 모의해킹/ 정책 각 분야에 대해 아는거 말해보라
9. ISMS 에 대해서 아는 것들
10. 이전 활동 내용이 모의해킹쪽에 가까워보이는데 다른 분야를 선택한 이유는?
11. 아직 4학년인데 졸업 시기는? 
12. 희망 연봉

들이 있었다고 한다. 뭐 테크닉적인 질문을 하는 회사가 있기도 하겠지만 어쨌든 이 회사는 그렇지 않은가보다. 일단 질문에서부터 생각해 볼 수 있는 점들은, 이분은 이전에 모의해킹 하셨고 자격증은 따로 없으셨나보다. 그럼에도 70명 이상의 면접자 가운데에서 1차 면접 마치자마자 합격 통보를 받았다고 하니, 공부를 엄청 많이 했다는 것이 심사관들 눈에도 보였나보다. 

이런 분들은 어떤 느낌으로 공부하실까 싶어서 티스토리를 들어갔는데, 

우왓. 티스토리 8천개? 

최신 내용들만 봐도 뭔가 진짜 공부하는 느낌이 물씬 든다. 내 티스토리는 그에 비하면... 초라하군. 뭔가 더 자극을 받게 되는 지점인것 같다. (이렇게 하지 않으면... 탈락해버리는 나머지 60명에 속해버릴지도 몰라..!) 

 

 

그 외에도 이런 저런 글을 찾아보았으나, 뭔가 미묘하게 원론적인 이야기만 하는 듯 한 느낌을 받아서 직접 채용 공고를 찾아보았다. 

신입 보안 컨설턴트에게 요구되는 것들

현재 공고가 올라온 상태인 기업 중 하나인 [메가존클라우드] 라는 기업의 모집 공고를 찾아보았다. 

제미나이 피셜, 이 업무들은 기술 컨설팅 내의 관리/컴플라이언스의 목적을 가진 업무들이라고 한다. 멘토님이 말씀하신대로 컴플라이언스 분야가 가장 많은 신입 수요를 가지는 것일까? 이어서 보자면, 

학습에 능동적이고, 성장가능성, 문제해결능력, 커뮤니케이선 등등 기존에도 나오는 내용이 주를 이룬다. 클라우드 쪽에 특화된 보안인 듯 하다. 

정보보안기사, CISA, CISSP 등의 자격증 우대하는 것을 볼 수 있다. CPPG는 개인정보 관련이라 그런지 업무와 크게 무관해서 딱히 우대사항은 없는 듯 하다. 

시나리오 기반 모의해킹/ 모의침투 테스트 등등의 수행 경험을 우대하는데, 이 부분은 아마 멘토님이 이야기했던 부분과 연관지어서 생각해 볼 수 있을 듯 하다. 가상의 기업을 만들어서 시스템을 설계해본 뒤, 어느 흐름에서 어떤 보안 대책을 수립할지를 계획하는 프로젝트가 나름 유의미하다고 하셨던게, 이와 비슷한 느낌인게 아닐까 싶다. 

 

관리 분야는 대체 뭐라고 검색해야 나오나 싶어서 '관리 보안 컨설턴트 채용' 이라는 키워드로 몇개 검색해봤다. 

확실히 정보보호나 관리 쪽을 검색을 하니 CPPG가 우대사항으로 나오는 것을 볼 수 있다. 그나저나 하나도 빠짐없이 문서 작성 능력을 중요하게 보고 있다. 

https://cpptest.or.kr/new/privacy/cpp7.php

 

▒▒ CPPG 개인정보관리사

 

cpptest.or.kr

참고로 CPPG 홈페이지에서는 어느 회사들이 CPPG를 우대사항으로써 쳐주고 있는지를 보여주고 있다. 

 

그럼 오늘의 결론을 요약해보자. 

결론

1. 정보보안 컨설턴트는 분야가 있다. 대체로 더 많은 수요는 컴플라이언스 관련 분야이다.

2. 자격증은 정보보안기사, CISA, CISSP 등이 취급되고, 경우에 따라서 CPPG 와 ISMS-P 인증심사원 또한 우대사항에 존재한다. 

3. 커뮤니케이션 능력, 문서 작성 능력, 도메인 지식, 정보보안 자체의 지식 등 다양한 부분들을 갖춰야 한다. 

 

남들과 대화를 못한다고 생각한 적은 없지만, 회사에서 요구하는 커뮤니케이션 능력이 단지 그런 것만을 말하는 건 아닐거라고 생각한다. 회사가 말하는 커뮤니케이션 능력은 무엇인지 생각해보겠다. 또한 문서 작성 능력을 키우기 위해 더 정기적인 티스토리를 써나가야겠다. 아까 그 티스토리가 8천개였다. 단순 계산으로 생각해봐도, 하루에 10개씩 올려도 2년을 올려야 내가 따라잡을 수 있는 수준의 숫자다. 대체 얼마나 공부를 많이 하셨을까. 우선 나도 하루에 하나씩 티스토리를 올리는 것을 목표로 해야겠다. 물론 당연히 티스토리를 올린다는게 속알맹이 없이 빈 내용을 올린다는건 아니니깐.