경험 기반 솔직한 접근
보안 정책을 수립할 때 가장 어려웠던 점은 기술 부서와 비기술 부서 간의 온도 차이였습니다. 보안 담당 입장에서는 당연한 제약이 현업 팀에는 업무 방해로 느껴지는 경우가 있었습니다. 인턴 시절 내부 보안 정책 초안 작성을 보조하며, 정책이 왜 필요한지 이유를 함께 설명하지 않으면 형식적으로만 따르는 결과가 나온다는 것을 알았습니다. 이 문제를 극복하기 위해 정책 초안을 만들기 전에 주요 부서의 의견을 먼저 수렴했습니다. 어떤 업무 방식이 제약을 받는지를 미리 파악하면, 현실적인 예외 조항을 설계할 수 있습니다. 완벽한 정책보다 실제로 지켜지는 정책이 더 가치 있다는 점을 이 경험에서 배웠습니다. 정책은 배포하는 것이 아니라 설득하는 것이라고 생각합니다.