나는 이런 일을 합니다
박 상 영 EBS 정보보호단 정보보호 담당
방대한 EBS 웹사이트의 정보보호와 개인정보보호를 담당하는 EBS 정보보호단은 정보보호를 위한 다양한 역할을 수행하고 있다. 최신 기술을 바탕으로 사이트의 취약점을 보완하고, 보안 강화와 점검, 관련 정책과 법률, 인증 준수 그리고 직원 교육까지 폭넓은 업무 영역을 특징으로 한다. 이렇게만 보면, 보통의 방송국 업무와는 약간은 다르기도 하고, 낯설기까지 하지만 디지털 세상을 살고 있는 현실에서는 아주 중요하며, 필수의 일들이기도 하다. 정보보호에 대한 사람들의 관심과 이해가 더 높아졌으면 한다는 EBS 정보보호단의 박상영 정보보호 담당자를 만나 업무와 삶에 대해 인터뷰하였다. 세쌍둥이의 아빠이기도 한 그는 일과 육아로 단편화된 하루를 보내지만, 아이들이 주는 만족감과 행복감은 말로 표현하기 힘들다고 한다. 정보보호와 세쌍둥이 육아에 대한 이야기를 함께 살펴보자.
자기소개
안녕하세요. (구)나이로 불혹에 접어든 한국교육방송공사 정보보호단 박상영입니다. 대학에서 정보통신공학을 전공하였고, 대학생 때 로망이었던 항공사를 지원하는 그룹사 IT 회사에서 5년간 근무하다가 운 좋게도 2018년에 EBS에 경력공채로 이직하였습니다. 이곳에 입사해서는 이전 회사의 경력을 살려서 클라우드, CDN 등과 같은 인프라 업무를 담당하였으며 이런저런 부서 이동 끝에 현재는 정보보호 업무를 담당하는 정보보호단에서 근무 중입니다.
정보보호 직무 소개
정보보호와 개인정보보호를 들으면 마치 영화에서 보는 것 같이 해커들이 검은색 바탕에 이런저런 코딩을 하면서 공격하고 막고 그런 긴박하고 드라마틱한 장면을 떠올리거나, 법령해석과 같은 딱딱한 생각을 하실 것 같은데, 그렇지만도 않습니다. 축구에 빗대어 설명해 보면, 정보보호는 마치 축구 경기에서의 수비수나 골키퍼와 비슷한 역할을 합니다. 상대편 공격진이 우리 골대에 골을 넣지 못하게 방어하고, 이를 위해 정보보호 정책은 마치 감독이 팀에 전략을 전하는 것과 같이 축구 규칙 내에서 담당자들에게 어떻게 수비해야 하고 대비를 해야 하는지 가이드합니다. 또한, 외부 해커의 공격이 들어오면 마치 골키퍼처럼 다이빙해서 유효슈팅을 막아내고 골대를 지키는 역할을 수행합니다. 이런 방식으로 EBS 정보보호단은 민첩성과 전략적인 판단력을 결합하여 외부 위협으로부터 안전하게 지키는 중요한 역할을 하고 있습니다.
상세 업무 설명
크게 3가지로 나눌 수 있겠습니다. 첫째로, 정보보호 관련 법률 준수와 관련하여 (정보통신망법, 개인정보보호법 등) 변화하는 법령에 따라 현재 운영 중인 보호체계를 지속해서 개선하고 있습니다. 이를 위해 매일 출근해서 특별한 업무가 없는 경우에는 법률 관련 기관의 홈페이지 공지사항 및 보안 이슈를 모니터링, 스크래핑하고 있습니다.
두 번째로, ISMS-P 인증과 관련된 업무를 수행하고 있습니다. 해당 인증 기준과 101개의 통제 항목(관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리 단계별 요구사항)을 기반으로 하여 운영 중인 EBS 사이트의 보안 태세를 항상 잘 갖출 수 있도록 관리적으로나 기술적으로 면밀히 대응하여 인증 요구사항을 충족시키고 있습니다.
마지막으로 평상시에 하는 업무가 아닌, 보안 사고 발생 시에 (다행히 아직 직접 경험하지는 않았습니다) 대응하는 업무를 수행합니다. 이에는 보고 및 협조 역할이 포함됩니다. 실제 사고 발생 시에는 즉시 사태 파악 등 조처하고, 필요한 경우 관련 기관에 신고하며, 국정원, 한국인터넷진흥원, 개인정보보호위원회 등 외부 기관에서 조사를 나오는 경우에 적극 협조합니다. 앞으로도 그런 사례는 발생하지 않았으면 하는 바람으로 최선을 다하고 있습니다.
정보 보안에서 EBS 사이트의 특징
EBS 사이트의 정보 보안에는 몇 가지 특징이 있습니다. 먼저, EBS는 다른 방송사 웹서비스와는 달리 많은 수의 사이트를 운영하고 있습니다. 고교 강의, 초중학, 영어, 수학, 온라인 클래스 등의 무료 공교육 사이트부터 유료로 서비스되는 메인 사이트 및 글로벌 석학 사이트까지 다양한 사이트가 있습니다. 이에 따라 클라우드 플랫폼과 개발 방식이 다양하며, 보안 측면에서 체크해야 할 부분이 많습니다. 따라서 EBS의 정보 보안팀은 다각도로 취약점을 체크하고 법령을 적용하는 데 주력하고 있습니다. 이러한 다양성과 복잡성으로 인해 정보 보안 업무는 다방면으로 수행되고 있습니다.
일반적인 사이트 운영 업무와 다른 점
사이트 기획이나 일반적인 사이트 운영은 저희 디지털교육서비스부, 디지털인재교육부에서 맡아서 하고 있으며, 사이트 디자인, 개발 업무 등은 외주업체에서 수행을 하고 있습니다.
사이트 개발이나, 인프라 운영에 있어 보안 취약점은 저희 정보보호단과 정보보호 관련 협력사에서 회사 내에 상주하며 정보보호 및 개인정보보호 점검과 보안 강화에 중점을 두고 업무 수행을 충실히 하고 있습니다. 정보보호라고 하면 보통의 방송기술인분들에게 생소하실 것으로 생각합니다. 큰 문제점이 발생하지 않는 한 잘 느끼지 못하는 부분이기도 하고, 보안결함이나 취약점 등과 같은 문제점에 대해서 개선을 요구하는 등 관련부서에 요청을 보냈을 때, 잘 이행이 안 되는 점 등을 볼 때 보안에 대한 인식이나 경각심에 대해서 좀 더 심각하게 받아들여야할 것 같다는 생각을 자주 하게 됩니다.
취약점을 보완과 법령 적용에 대해
기술적 보안 취약점 점검은 기술 변화에 대응과 보안 사고 예방 그리고 법적 의무 사항으로 정보보호를 위한 중요한 활동이며, 법적으로도 요구되는 활동입니다. 주기적으로 취약점 점검을 수행해야 하는 관련 법 규정은 ‘정보통신기반 보호법 시행령 제17조(취약점 분석ㆍ평가의 시기)’, ‘전자금융 감독규정 제37조의2(전자금융기반시설의 취약점 분석ㆍ평가 주기, 내용 등)’, ‘개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립ㆍ시행 및 점검), 제6조(접근통제)’에 명시되어 있으며, 주요 정보통신 기반 시설, 전자금융 기반 시설 또는 개인정보를 처리하는 기업들은 주기적인 보안 점검을 수행함으로써 주요 자산이 위협에 노출되는 것을 방지해야 할 의무가 있습니다. 또한 ISMS-P 인증 통제항목 ‘2.10.3 공개서버보안’, ‘2.11.2 취약점 점검 및 조치’ 부분에도 정의되어 있습니다.
취약점을 보완하는 방법은 크게 세 가지 정기점검, 업데이트 유지, 교육과 인식으로 나눌 수 있습니다. 정기점검은 마치 차량을 정기적으로 점검하듯이, 우리의 시스템도 정기적으로 확인해야 하고 이를 통해 문제가 될 만한 부분을 발견하면 빠르게 해결할 수 있습니다. 업데이트 유지는 백신 접종과 같이 소프트웨어에 새로운 보안 업데이트를 적용함으로써 해커들이 악용할 수 있는 취약점을 막을 수 있습니다. 마지막으로 교육과 인식은 사람들이 안전한 비밀번호를 사용하고, 의심스러운 이메일에 주의를 기울이는 것처럼, 말씀드렸다시피 직원 교육과 보안에 대한 인식을 높이는 것도 중요합니다.
ISMS-P 통합인증체계심사 소개
ISMS-P(Information Security Management System – Personal)의 줄임말로, 정보통신망법, 개인정보보호법에 따른 국가인증입니다. 이렇게 설명드리면 또 어렵고 딱딱하게 보일 것 같아서 다시 축구에 비유를 해보겠습니다. 유럽 축구 강국에서 상위권을 차지한 팀들끼리 리그 경기를 하는 것을 ‘챔피언스리그’라고 합니다. 인터넷 웹서비스를 하는 무수히 많은 기업 중에서도 챔피언스 리그에 참가하는 축구클럽같이 일정 매출액 이상(연 1,500억 원)이나 방문객이 많이 오는 사이트(일일 평균 100만 명 이상)에 대해서 인증의무대상 지정을 받게 됩니다. 축구 규정 내에서 팀이 경기 전 전략을 짜듯이, 인증통제항목에 적합한 보안전략을 세워야 합니다. 마치 S급 선수 라인업을 꾸리듯이, 인증체계를 구축하고 보안라인업을 세웁니다. 또한, 심판이 규칙을 철저히 지키는 것과 같이, 인증심사원은 수검기간에 회사를 방문하여 규정 준수 여부를 확인합니다. 발견된 반칙(결함 사항)에 민첩하게 대응하면서 골을 넣고 수비를 통해 우승을 차지하는 듯이, 인증서를 취득하게 됩니다.
IT 지식의 필요성
방송사에서 정보보호/개인정보보호 업무를 한다고 해서, 특별히 다른 회사와 다른 점은 없다고 생각합니다. 물론 출연자와의 계약 문제에 있어서 다르다고 하면 다르다고 할 수 있지만, 그것 또한 다른 회사에서도 있을 이슈라고 생각이 되고, 제가 하는 업무는 주로 웹서비스와 관련이 큽니다. IT 서비스가 예전부터 그래왔지만, 최근에는 더 격변하는 추세입니다. 클라우드 플랫폼은 신기술이라기 민망할 정도로 평범해졌고, AI/빅데이터/머신러닝 등의 4차산업 아이템들도 마찬가지라고 생각합니다. 또한 개인정보보호는 법령이 개정되면서 점차 강화되고 범위도 넓어지고 있습니다. 이 때문에 개인정보보호위원회 및 한국인터넷진흥원과 같이 해당 법 관련을 주관하는 회사의 홈페이지 내용들을 주시하고 있습니다.
개인정보보호 관련 최근 이슈
작년 상·하반기에 거쳐 개인정보 보호법 및 동법 시행령이 전면 개정되었습니다. 개인정보 보호법은 개인정보 처리 및 보호에 관한 ‘일반법’이기 때문에 특별한 상위 규정이 있으면 먼저 해당 법률을 따르도록 규정되어 있습니다. 따라서 개인정보 보호법은 특히나 다른 개별법과도 조화롭게 해석되는 것이 중요하기 때문에 EBS 정보보호단에서는 독립적으로 판단하지 않고, 각 사이트의 방향성 및 서비스 영향도 등을 고려하여 관련 개정사항을 도출하고, 순차적으로 접근하여 개선해 나가고 있습니다.
그 예시의 첫 번째로, 개인정보보호법에 의하여 EBS가 공공기관으로 지정된바, 개인정보파일 공개 의무 및 책임을 부과하게 되었습니다. 웹서비스 운영을 포함하여 내부 업무 처리 목적의 개인정보파일까지 예외 없이 등록 대상이 되었으므로 개인정보 영향평가의 수행 기준이 되는 파일부터 우선적으로 개인정보 영향평가를 병행하고 있으며, 앞으로도 사내 개인정보 유관부서와 협의하여 전사적으로 단계를 밟아 정비해 나갈 예정입니다.
두 번째로, 올해부터 ‘개인정보 처리방침 평가’, ‘개인정보 보호수준 평가’ 등의 법률적 제도가 함께 시행되면서 EBS 또한 개인정보 관리 실태에 대한 평가를 받게 되었습니다. 이를 대비하기 위하여 기존의 개인정보 처리방침은 EBS의 주요 고객이 아동, 청소년인 만큼 더욱 이해하기 쉬운 단어로 구성하고, 처리 현황을 촘촘히 담아 개정할 계획입니다. 평가 결과가 우수한 기관에는 별도의 포상제도도 있다고 하니, 약간의 기대도 걸어봐야겠습니다.
대응의 가장 확실한 수단은 예방입니다. 디지털 시대의 급속한 발전으로 개인정보 유출, 사생활 침해 등 사이버 범죄의 위협이 증가함에 따라 개인정보 보호법이 지속해서 개정되고, 과태료·과징금 처분 등의 제재 규정이 엄격해졌듯 EBS 내부에서도 관리체계 기반을 단단히 하여 개인정보 보호 수준을 한층 더 강화하여 대응해 나가도록 하겠습니다.
업무의 어려움
일반적으로 직원들이 정보보호에 대해 체감하기 어려운 이유는, 대부분의 경우 보안 문제가 실제로 발생하여 회사의 이미지가 실추되거나, 과징금이 부과되는 심각한 상황에서만 인식되기 때문이라고 생각합니다. 또한, 사이트 운영 및 관리자들에게 정보보호 관련 가이드를 보내며 결함을 처리하도록 요청할 때, 이를 불필요하게 생각하거나 중요성을 인식하지 못하여 업무가 지연되는 경우가 있습니다. 이러한 문제들을 개선하고 해결하기 위해서 직원들에게 정보보호에 대한 교육 및 인식 확산이 필요합니다. 또한, 상급자나 관리자들도 더욱 쉽게 이해하고 처리할 수 있는 보고 방식과 가이드라인을 마련하여 커뮤니케이션을 원활하게 할 수 있는 방식이 중요하다고 생각합니다. 더불어, 정보보호에 대한 경각심과 관심을 높이기 위해 주기적인 훈련과 교육도 시행하고 있습니다. 이러한 노력을 통해 보안 인식을 높이고 업무의 효율성도 높일 수 있을 것으로 기대하고 있습니다.
향후 계획
정보보호/개인정보보호 관련 자격증 중에 꽃이자 끝은 ISMS-P 인증 심사원 자격증이라고 생각합니다. 그런 만큼 합격률이 3% 내외로 매우 낮은 고난이도의 자격증 취득 시험인 것 같습니다. 작년에 경험 삼아 시험을 보았는데, 업무를 맡은 지 반년 지난 상태에서 임하다 보니, 당연하게도 불합격이 되었습니다. 지난 1년간 관련 업무를 직접 해오면서, 따로 공부도 매진하려고 하고 있어서 올해 시험에는 꼭 합격하여 업무에 더 확고하게 기여하고자 노력하고 있습니다.
근무 방식과 출근 후 하루
특수성이 진하게 있게, 세쌍둥이 육아 중입니다. 이 때문에 육아에 대한 공수가 다른 가정에 비해 매우 많이 투입되어야 하는 상황입니다. 와이프 임신 시절 때부터 7시~16시 근무를 하고 있으며, 일찍 출근하면 사무실에 혼자 있기에 혼자만의 업무에 집중할 수 있는 시간이 주어집니다. 이때 메일 열람과 함께 오늘 하루해야 할 일들을 정리하고, 업무 기술에 도움이 될 만한 자료들을 찾아봅니다.
취미와 업무 외 주요 관심사
육아 전/후로 나눌 수 있겠습니다. 육아 전에는 액티브한 스포츠들을 즐겨하기도 하고 보는 것도 좋아했습니다. 축구를 매우 좋아해서 교환학생으로 유럽 국가를 선택하고 축구장 옆으로 거처를 마련하기까지 하였고, 이직 전 회사와 지금 회사에서 풋살 동아리 팀을 만들기도 하였습니다. 수영, 자전거 타기도 좋아해서 주기적으로 하였습니다만… 아이들을 만난 후로부터는 물리적인 시간 제약이 많이 커서 좋아하던 것들을 못 하게 되었습니다. 그래서 요즘에는 다른 취미에 할애하는 시간과 다른 관심사를 자연스레 육아로 치중할 수밖에 없게 되었습니다. 다행히 이전에 취미이자 특기로 즐겼던 요리가 육아 후로도 아이들 밥을 직접 해먹일 수 있어서 매우 힘들기는 하지만 아이들과의 소중한 순간을 만끽하고 성장하는 모습을 지켜보며 행복한 나날을 보내고 있습니다.
육아 전 취미생활과 육아 후의 행복감 차이
아이가 생기기 전과 후의 차이는 상투적인 표현이지만 말 그대로 차원이 달라졌습니다. 마치 탈우주적인 인생의 블랙홀을 통과하여 또 다른 세계로 들어간 것과 같다고 표현을 해야할지…무엇으로 표현하더라도 직접 경험하기 전에는 모를 그 무언가와 같습니다. 물론 모든 직장인의 육아는 동일하게 각자 다 힘든 세계이겠지만, 적어도 통상 육아하는 가정과 저희 가정은 확연한 차이가 있을 것이라고 자부(?)합니다.
그렇기 때문에 육아와 취미생활을 동일선상에 두고 비교나 차이를 논하는 것은 어쩌면 너무도 무의미한 질문일 수도 있을 것 같습니다. 왜냐하면 지금 제 생활방식에서 취미는 사치에 불과하기 때문입니다. 하루의 마무리를 아이들을 재운 뒤에나 느낄 수가 있는데, 그 시점 때는 어떠한 취미활동이나 다른 것에 에너지를 쓸 여력이 없을 때가 많습니다. 혹자는 이런 제 생활에 대해 너무 힘들 것 같아서 안타까운 시선을 줄 수도 있겠지만, 아이들의 전 우주적인 귀여움과 사랑스러움을 볼 때면 그 힘든 것들이 그냥 녹아내립니다. 다른 가정의 육아에 비교해서 같은 기간에 많은 어려움이 있겠지만, 저는 그것을 한 기간에 다 보낼 수 있겠다고 긍정적으로 생각하고 있습니다.
육아하며 가장 만족감을 느꼈던 때와 육아를 준비 중인 부부에게 하고 싶은 말
육아를 하면서 ‘가장’ 만족감을 느꼈던 어느 한순간이라는 것은 없는 것 같습니다. 매 순간, 항상 그렇기 때문입니다. 특히 최근에는 아이들을 보면 육아를 하면서 느끼는 행복감을 새롭게 깨닫게 됩니다. 아이들이 서로 돕거나 배려하는 모습을 보면, 이것이 바로 가족이라는 것을 느끼게 됩니다.
육아를 준비 중인 부부에게 하고 싶은 말은 아이에게만 치중된 삶을 살지 않았으면 좋겠습니다. 물론 정상적인 부부라면 아이를 잘 키울 것입니다. 다만 너무 아이에게 집중하는 삶을 살게 되면, 부부나 개인에게 소홀해질 수 있습니다. 이렇게 되면 서로 지치고 다툴 일도 많아질 것입니다. 그래서 자기 자신을 먼저 챙기는 것이 중요합니다. 육아나 일상생활에서도 자기 자신을 챙겨야만 아이에게도 더 도움이 됩니다. 자기 자신이 갖춰져 있지 않으면 정상적인 육아나 일상생활도 버거울 수 있기 때문입니다.
요즘 시대에서는 저출산이 사회적인 문제가 아니라 그저 현상으로 보입니다. 그래서 아이를 낳지 않는 사람들을 비판하는 것은 어리석은 일이라고 생각합니다. 저도 아이를 키우고 있지만, 육아로 지친 나 자신을 돌아보면 그런 삶을 동경하기도 합니다.
반대로 제 힘든 육아생활에 대해 격려나 칭찬을 받을 생각도 없습니다. 각자가 최선을 다하며 살아가면서 사회적인 문제나 각자의 이견을 좁힐 수 있을 것입니다. 각자의 인생은 각자가 결정하고 살아가는 것이며, 그 안에서 만족하며 살아가는 것이 중요하다고 생각합니다.