-
[직무 things] 비전공자 개인정보보호 업무하기 - 업무와 친해지기공부하는 직장인 2025. 1. 26. 16:44
우연한 기회로 개인정보보호 업무를 시작하게 되면서 비전공자 및 무경력자의 한계를 극복하기 위해 고민이 많았다.
전공과 관련된 업무를 3년하고 개인정보보호 업무를 하게 된지도 8년이 된 이 시점에서 비전공자와 무경력자분들의 두려움과 고민을 나누고자 작성하려고 한다.
업무 시작 계기와 동기 같은 내용은 서서히 이야기 하기로 하고 우선 개인정보보호 업무에 도움이 됐던 것들을 소개한다.
포스팅 순서
1. 업무와 친해지기
2. 애로사항 해결하기
3. 자료얻기
4. 기타 - 개인정보보호 업무의 단계
우선 개인정보보호 업무를 아무것도 모르는 상황에서 맡게 되면 회사에서도 운영적인 업무를 주로 맡기게 된다.
협력업체 교육 관리, 입퇴사 관리, 캠페인 운영과 같은 누구든 할 수 있을 듯한 업무들이다.
개인정보 관련해서 자문이나 법적인 검토를 하는 상사들을 보며 혹시 나에게 이런 업무가 맡겨진다면 할 수 있을까? 라는 고민을 계속하며 하루하루를 보내게 된다.
또 개인정보보호와 관련된 마인드 장착에 시간이 오래 걸리는데, 이렇게 하면 편한데 정보보호라는 이름으로 업무를 방해하는 것 같고, 타부서에게 비난 아닌 비난을 받는 것도 스트레스다.
위 상황들을 극복(?)하기 위한 힘을 준 것들을 소개한다.
내 무식이 탈로 나지 않을까?
IT를 전혀 모르는 상태에서 시작한 업무인데다가 인하우스 담당자였기 때문에 무식이 탈로날까 고민을 젤 많이 했다.
하지만 고민을 해도 어디서부터 어떻게 시작해야 할지 전혀 모르겠고, 방향이 잡히지 않아 개인정보보호, 정보보안과 관련된 카페들을 가입했다.
1. 개인정보보호, 정보보안 관련 커뮤니티 가입
국가기술 정보보안기사/개인정보 관리사... : 네이버 카페
시스템보안, 네트워크보안, 정보보안자격증, 개인정보관리 정보보안기사, 정보보안산업기사,개인정보자격증
cafe.naver.com
대화가 활성화된 디씨인사이드나 IT 관련 포럼 커뮤니티도 있었지만, 관련 분야에 인풋(input)이 필요했기 때문에 정보를 꾸준히 올려주고 실용적인 대화를 하는 카페에 주로 들어갔다. 거의 매일 정보보안, 개인정보보호 관련 이슈들이 올라오고
카페장님의 컬럼들도 보안인의 마인드 장착에 큰 도움이 되었다.
무엇보다도 맨땅에 헤딩 중에 카페장님께서 진로 상담을 해주시는데, 전화는 부끄러워 메일로 신청하여 도움받았다. 코멘트대로 다 하진 못했지만 그래도 큰 도움이 되었다.
2. 자격증 공부
위에서 말했다시피 input을 늘리려고 했는데 유튜브에 "개인정보보호"를 검색하면 요즘이야 개인정보보호위원회가 열일하면서 다양한 눈높이의 정보가 많았지만, 업무를 시작한 당시에는 어려운 이야기 하는 영상 밖에 없었고, 그들만의 용어들로 가득 차있었다.
이곳저곳 정보를 얻는데 이걸 내 머리 속에 붙잡기 위한 방법으로 자격증 취득을 맘먹었다.
1년에 1개 씩 5개만 취득해보자
요즘은 1년에 여러개씩 취득하는 경우도 많은데 나는 이직을 위한 목적이 아니었기 때문에 1년에 1개 씩을 목표로 취득했다.
고민만 하면 시간이 그냥 간다. 주변에 이 계획을 이야기 했을 때 실무에 도움이 안된다는 의견이 많았는데 도움이 되지 않더라도 결국 자격증은 남을거란 위로를 하며 하나씩 취득해갔다.
업무 시작 첫해에 CPPG를 시작으로 총 6개의 자격증을 가질 수 있게 되었다.
CPPG → CISA → ISO27001 심사원
→ 정보처리기사 → PIA → ISMS-P 인증심사원
운이 좋게도 교육비 일부는 회사에서 지원을 해줬는데 CISA 시험료는 지원해주지 않아 손을 벌벌 떨면서 시험봤다.
시험비도 그렇고 교육비도 그렇고 돈이 많이 드는 것들이 있었지만, 나를 위한 투자고 멍청비용들을 아끼면 충분히 커버 가능하다고 생각해서 아낌없이(?) 투자했었다. 그 덕에 운좋게 한 번에 합격할 수 있었다.
각 시험에 대한 수기는 다른 포스팅에서 풀어나가고자 한다.
자격증 준비의 순서도 나름대로 이유가 있다.
CPPG와 CISA는 비전공자들이 가장 도전할 만한 시험이라고 생각한다. 정보처리기사나 정보보안기사는 쿼리나 시스템 명령어 등 정말 무슨 말을 하는지 모르겠고 상상에서만 공부하기엔 벅찼다.
하지만 위 두 시험은 암기의 영역이고, 개인정보보호나 IT 감사의 시야를 가지면 그나마 쉽게(?) 접근할 수 있었다.
물론 쉬운건 아니었다. 이과생이었고 수학수식이 편하고 긴 글을 머리속에서 정리하고 하는게 너무 어려웠었다.ISO27001 심사원은 심사원보로 연장하지는 않았지만, 실제 인증을 받고 있기도 했고 인증 기준을 읽는 방법을 알 수 있었다. 팀활동을 하면서 왜 인증심사원이 이렇게 물어볼 수 밖에 없는지, 무엇을 원하는지 알 수 있었고
업무를 수행하는 것도 중요하지만, 관리체계가 PDCA에 맞게 잘 운영될 수 있도록 유지하는 것이 무엇보다도 중요하다는 것을 CA의 피드백을 수용하고 발전시키는게 업무적 역량에 중요하다는 것을 ISO 심사원 공부를 하면서 깨달았다.
다만, 회사 교육비로 갔기 때문에 취득했지 아니였으면 안했을거다^^
위 시험들을 보고 나니 시간이 지나 개인정보보호 검토 업무를 시작하면서 개발자들과 이야기 할 일들이 생겼다.
또 한 번 무식이 탈로 날 위기에 봉착한 것이다.
이를 극복하고자 정보처리기사 시험을 보았다. 18년도에 정보처리기사의 큰 변화가 있었는데 실기시험의 보기가 없어진 시기었다. 빨리 볼 걸 땅을 치고 후회했었다.
정보처리기사가 업무하는 데 무슨 도움이 됐었냐..고 하면 쿼리를 몇가지 외울 수 있게 되었고, 운영체제, 데이터베이스 공부를 할 수 있었던 것이 큰 도움이었다. 게임 좀 한다면 아는 dxdiag나 cmd 조차 한 번도 입력해보지 않았던터라 공부하면서 뭔가 컴퓨터와 좀 더 친해진 느낌..?
무엇보다도 개인정보보호 업무를 하면서 데이터베이스를 빼놓을 수가 없는데 기초적인 부분을 알 수 있었다. 물론 지금도 기초에 머물러 있는게 문제다.
PIA(개인정보 영향평가사)는 사실 있는지도 잘 모르는 자격증이었는데 알아보니 강의 신청하는 것부터 쉽지 않은 인기가 많은 자격증이었다.
엄청 두꺼운 책을 2~3권 나눠주며 이걸 5일 동안 다 수업한다고 해서 심리적 압박이 대단했다. CPPG를 공부해서 법을 좀 읽었다고 생각했는데 헌법부터 시작하는 첫 강의에 기죽었었다. 수 많은 가이드라인과 가깝게 된 계기가 된 시험이었다.
지금은 신청도 어렵고 심지어 25년부터 시험 횟수가 3회에서 2회로 줄어들어 더 취득하기 어려운 자격증이 되었다.
영향평가 가이드라인 자체가 아주 세세하기 때문에 개인정보보호 정책 수립에 많은 도움이 되었다.
PIA까지 취득하고 3년 정도 공백기가 있었다. 방송대를 다니고, 정보보안기사를 준비해보고 쉬었다.
(정보보안기사는 비전공자에 개인정보보호 업무만 하는 사람에게는 너무 어려운 자격증이다!!)
경력이 6년이 넘어 만 7년차가 되면서 주변의 권유로 ISMS-P 인증 심사원 시험을 준비하게 되었다. 무료이기도 했고 주변에서 많이들 도전하기도 하고, ISMS 심사도 계속 받아왔기 때문에 호기심도 있었다.
하지만 초반 진입 장벽이 대단했다.
방화벽 검토나 시스템 구성 검토는 IT 담당자들의 영역이였고 Inbound, Outbound가 뭐며 네트워크 구성도에 방화벽, 스위치 모양도 제대로 몰랐던 상태에서 도전했기 때문에 너무 쉽게 생각했다고 후회했다.
시험 준비는 김00기술사의 자료로 했는데, 1월부터 시작했기 때문에 설연휴에 집에 양해를 구하고 네트워크와 클라우드쪽 강의를 들어가며 준비했다.
1월~11월까지 긴 호흡을 가지고 공부해야했기 때문에 동기도, 체력 관리도 중요했었다.
ISMS-P 심사원 관련해서는 다른 포스팅에서 더 이야기 하겠다.
심사원은 준비 과정에서 다양한 산업군의 정책과 법령들을 볼 수 있었고, 미루고 미뤘던 IT 인프라를 공부할 수 밖에 없었다. ISO27001보다 더 실무자의 시야를 벗겨내고 심사원의 관점으로 볼 수 있었다.
공부하다보면 회사에 부족한 것들이 떠오르면서 스트레스도 많이 받았다.업무와 친해질 수 있냐고 묻는다면 그럴 수 없다.고 답할 것이다.
이 포스팅에서는 많은 시행착오를 통해 자격증을 취득해가며 업무 역량을 올리고, 업무에 익숙해지는 방법에 대해 이야기했다.
나중에 기회가 된다면 실제 수행하고 있는 업무들도 소개해보고자 한다.
