정보보안 컨설팅 경험 없음을 밝히고 수업 사례 분석 경험으로 연결
정보보안 컨설팅이나 진단을 직접 수행한 경험은 없습니다. 정보보호 수업에서 기업 보안 취약점 진단 사례를 분석하는 과제를 했고, 그 과정에서 진단이 어떤 방식으로 이루어지는지 간접적으로 이해했습니다.
과제에서 분석한 케이스는 외부 취약점 스캔 결과와 내부 운영 실태 사이의 간극이 컸던 사례였습니다. 진단 보고서에는 여러 취약점이 나왔는데, 실제로 위험한 것과 그렇지 않은 것을 구분하는 과정이 어렵다는 게 인상적이었습니다. 저는 처음에 취약점 수가 많을수록 위험도가 높다고 생각했는데, 실제로는 공격 가능성과 영향도를 함께 봐야 한다는 걸 케이스 분석하면서 배웠습니다. 그 기준 없이 결과만 나열하면 조직이 어디서부터 고쳐야 할지 몰라 혼란스러울 수 있다는 것도 알게 됐습니다.
실제 진단 업무는 이론보다 훨씬 복잡하다는 걸 압니다. 입사 후에 배우겠습니다.