Seongjin Blog

About me

시니어는 어떻게 성장해야 해요?

제미나이가 생각하는 시니어 보안 엔지니어. (그 시니어 아니라고)

어느덧 보안 엔지니어로 10년 차가 됐다. 회사에서 나에게 기대하는 바가 달라졌다는 걸 요즘 자주 느낀다. 이제는 취약점을 잘 찾고, 자동화하고, 티켓을 많이 처리하는 게 잘한다의 기준이 아니다. 그건 여전히 중요하지만, 그것로만은 충분하지 않다.

이제 나의 평가는 내가 만들어낼 수 있는 영향력으로 옮겨갔다. 다른 팀과의 협업이 잘 되는지, 제품의 보안 수준이 나아졌는지, 조직이 같은 실수를 덜 하게 됐는지, 주니어에게 좋은 길을 제시하고 있는지, 내가 없을 때도 문제가 없는지 같은 것들 말이다.

솔직히 말하면, 나도 아직 내가 말한 것들이 충분한 영향력인지 아닌지 알지 못한다. 다만 예전처럼 단순히 취약점 개수와 같은 성과만 쫓아서는 다음 단계로 나아가기 어렵다는 건 확실히 느낀다. 그래서 지금 내가 어떤 방향으로 발버둥 치고 있는지, 그 과정을 그대로 적어보려고 한다.

관점의 변화: 취약점에서 회사 전체로

취약점 하나하나를 찾고, 자동화 툴 만들고 운영하는 일을 지금까지 정말 잘했고, 좋은 피드백을 받아왔다. 그런데 어느 순간부터 더 높은 영향력을 발휘하기를 바라는 피드백을 받기 시작했다. 사실은 처음에 화가 났다. 나는 엔지니어고 엔지니어링으로 보안성을 높이는 게 나의 일이고 의미 있는 영향력이라 생각했기 때문이다. 하지만 내가 끼친 영향력을 생각하면 실제로 나는 1인분밖에 하지 못했다. 기술력 위주에서 영향력 위주로 관점을 바꾸자, 그때부터 업무의 방향이 조금씩 바뀌기 시작했다.

예전에는 기술력과 취약점이 내 사고의 중심이었다면, 이제는 이런 질문이 먼저 떠오른다.

  • 어떻게 하면 회사의 매출에 기여할 수 있을까?
  • 어떻게 하면 고객의 보안을 높일 수 있을까?
  • 어떻게 하면 다른 팀이 보안 팀과 더 편하고 쉽게 일할 수 있을까?
  • 주니어가 성장하고 회사에 만족하고 다니려면 어떤 것들을 조언해야 할까?

물론 이런 것들이 정답인지 아직 모르겠다. 다만 시니어의 성장에는 길이 정해져 있지 않고, 결국 시니어에게 남는 건 영향력이라고 생각한다. 한참 선배의 시니어가 보면 오만하게 들릴 수도 있겠지만, 지금의 나는 그렇게 느낀다.

취약점이 나무라면, 숲은 고객?

관점을 바꾸고 나니 더 이상 취약점 하나하나에만 매달리기보다는, 조금 더 스케일할 수 있는 일(혹은 스케일하지 못하더라도 더 많은 곳에 영향을 주는 일)을 고민하게 되었다.

내가 가장 먼저 시선을 줬던 곳은 고객이다. 내가 회사에서 지키고자 하는 것은 결국 고객들의 데이터이다. 그리고 회사에 매출을 만들어주는 것 역시도 고객이다. 그래서 고객의 보안 수준을 높이면, 그게 회사 안에서의 직접적인 영향력으로 이어질 수 있다고 생각했다. 그런 흐름에서 최근에는 아래 같은 업무를 해보기 시작했다.

  • 고객 보안을 높이기 위한 보안 캠페인
  • 고객이 직접 활용할 수 있는 보안 가이드

프록시 툴 대신에 구글 독스를 키고, 다른 회사 보안 가이드를 참고하며, 테크니컬 라이팅 팀에 도움을 받고 정말 낯선 업무였다. 이런 일들이 당장 눈에 보이는 매출로 깔끔하게 떨어지지 않을 수도 있다. 그래도 우리 고객이 우리 제품의 보안에 신뢰가 쌓이면. 그 신뢰가 결국 회사의 힘이 된다고 믿고 싶다. (제발)

사람으로 시선 돌리기: 엔지니어의 불편한 숙제

바뀐 또 하나의 관점은 사람이었다. 나는 전형적인 엔지니어 성향이고, 사람을 엄청나게 좋아하는 편은 아니다. 여기저기 돌아다니니 외향적으로 보일 수는 있지만, 실제로는 꽤 내향적이고 집 밖에 안 나가고도 한 달은 문제 없다. 코로나에 걸려 자가격리 했을 때, 솔직히 약속을 거부할 수 있는 좋은 핑곗거리 생겼다고 생각했다.

그런 내가 코드가 아니라 사람으로 시선을 옮기니, 기술만으로는 해결되지 않는 병목이 보이기 시작했다. 아래는 OWASP Top 10에서 발췌한 문장이다.

OWASP는 애플리케이션 보안을 사람, 프로세스, 기술의 문제로 접근해야 한다고 믿는다. 이러한 모든 영역을 개선하는 것이 애플리케이션 보안에 대한 가장 효과적인 접근 방식이기 때문이다. – OWASP 2025 Top 10

많은 사람이 똑같이 느끼겠지만, 회사 내에서 보안은 정말 정말 하기 싫은 일로 치부된다는 걸 알 거다. 그래서 보안이 하기 싫은 일이 아니라 하면 좋은 일로 느껴지게 만드는 것. 어쩌면 그게 내가 다음 단계로 가기 위해 반드시 붙잡아야 할 주제라고 생각했다.

아직 다 해본 건 아니지만, 예전의 나라면 의미 없다고 넘겼을 것들이 이제는 눈에 들어온다. 기술적으로 어려운 일은 아닐 수 있다. 하지만 팀이 보안을 대하는 태도를 바꾸고, 함께 안전하게 만들고, 취약점이 더 빨리 고쳐지게 만든다면 그건 분명 회사 안에서의 영향력이라고 생각한다.

최근 떠올린(혹은 시도 중인) 아이디어는 이런 것들이다.

  • 시큐리티 챔피언 제도의 일부로, 취약점을 가장 많이 수정한 사람들에게 선물을 주기
  • 경품과 재미를 섞은 스팟성 보안 교육(짧고 자주, 참여 장벽 낮게)
  • 다른 엔지니어링 조직 리더들과 강제로 밍글링하기
  • 올핸즈 미팅, 회의실/공용 공간에 보안 팁을 꾸준히 공유하기

이런 접근이 유치하게 보일 수도 있다. 하지만 대부분의 보안은 몰라서 못하는 것 만큼이나 보안팀이 주는 업무에 보상이 없거나 귀찮음도 크다. 귀찮음을 줄이고, 심리적 장벽을 낮추고, 참여의 보상을 만들면 보안을 하나의 문화로 만들 수 있다고 생각한다. (이것도 제발)

컴포트 존 벗어나기

나는 회사 안에서만큼이나 회사 밖에서도 성장하려고 시도하고 있다. 국내에서는 외부 활동에 대해 반감이 있는 사람도 많다. 그 마음도 충분히 공감한다. 하지만 회사 안에서 주어진 방식으로만 성장해야 한다면, 운이 정말 좋은 사람을 제외하고는 대부분이 기회조차 받지 못한다고 생각한다.

만약 갑자기 운이 좋게(혹은 운 나쁘게) 시니어의 역할 중 리더십 업무를 맡게 됐을 때, 과연 잘할 수 있을까? 나는 아니라고 생각했다. 그래서 언젠가 주어질 리더십 업무를 잘 해내고 싶었고, 그걸 미리 연습해 보고 싶었다. 위에서도 말했듯 나는 태생적으로 내향인이라, 이 결정을 내리는 데 꽤 많은 용기가 필요했다.

결심 이후에 여러 가지 외부 활동을 시작했다. 그리고 시작하고 나서 알게 됐다. 하루하루 성장하는 느낌이 어떤 건지. 힘들지만 뜻깊은 순간들이 정말 많았다.

  • 500명이 오는 컨퍼런스를 운영해본 경험
  • 20회 이상, 누적으로 1000명 이상이 참여한 보안 밋업 운영 경험
  • 자주는 아니지만 가끔 요청 받는 멘토링 경험
  • 사람들의 리텐션과 인게이지먼트를 끌어내기 위해 고민하고 시도했던 수많은 실험들
  • 작년엔 10회 이상 크고 작은 발표들
  • 그 외의 수많은 만남 그리고 기회와 경험들

이건 회사에서 시켜서가 아니라, 내가 자발적으로 판을 만들고 책임을 졌던 경험이다. 시도하지 않았으면 평생 경험하지 못했던 게 너무 많았고, 그 경험들 속에서 오늘도 하루하루 성장하고 있다고 느낀다. 가끔은 힘들다. 하지만 참여자들이 만족하는 표정, 그리고 미래의 나를 투자라는 생각으로 오늘도 달린다.

마무리

시니어의 성장은 결국 관점을 넓히는 일이고, 그 관점의 끝에는 영향력이 남는다. 회사 안에서는 취약점을 넘어 고객과 조직을 보게 되었고, 사람과 문화를 만나게 되었다. 회사 밖에서는 내가 아직 서툰 리더십을 미리 연습할 기회를 만들었다.

정답은 아직 모르겠다. 다만 확실한 건 있다. AI 시대가 아니더라도 예전처럼 기술만 잘해서 해결되는 문제는 점점 줄어든다. 그래서 오늘도 나는 조금 더 넓은 많은 영향을 책임지는 쪽으로 발버둥 치고 있다. (나 잘하고 있나…)

응답

  1. test 아바타
    test

    멋저요

    응답

댓글 남기기

Seongjin Blog에서 더 알아보기

지금 구독하여 계속 읽고 전체 아카이브에 액세스하세요.

계속 읽기