정보보안 컨설팅을 시작하며 가장 중요한 단계 중 하나는 고객의 비즈니스를 깊이 이해하는 것입니다. 고객이 요청하는 명시적 요구사항만 충족하는 것으로는 부족하며, 그 이면에 숨겨진 문제와 필요를 파악하고 공감하는 것이 컨설팅의 성공을 좌우합니다. 이는 기술적 해결책의 품질을 높이고, 컨설팅에 대한 고객 만족도를 극대화하기 위한 필수 과정입니다.
하지만 이렇게 중요하게 분류되는 과정임에도, 많은 컨설팅 과정에서 고객의 비즈니스를 이해하는 과정이 간과되어 생략되고는 합니다. 비즈니스 이해 프로세스를 별도로 분류하여 수행하는 것은, 실용적인 GRC (Governance, Risk Management, Compliance) 체계가 수립되는 것에 기여함은 물론, 장기 고객을 확보하는 것에도 좋은 전략으로 사용 될 수 있기 때문에, 이를 포함하는 전략적 방법론을 개발/운영 하는 것이 매우 중요합니다.
이번 포스트에서는 정보보안 컨설팅에서 비즈니스를 이해하기 위해 사용할 수 있는 몇 가지 대표적인 핵심 방법론과 접근법을 살펴보겠습니다.
1. 조직의 비전과 중장기 플랜 분석
조직이 추구하는 비전과 중장기 목표를 이해하면 정보보안 컨설팅의 방향성을 설정하는 데 큰 도움이 됩니다. 또한 킥오프(Kick-off) 미팅이 수행되기 전에, 고객 비즈니스의 궁극적인 목적과 우선순위를 이해함으로써, 고객으로부터 신뢰도를 확보하고, 긍정적인 인상을 심어줄 수 있다는 점에서 제일 먼저 수행되는 비즈니스 분석 기법으로 분류되고 있습니다.
분석 방법:
- 공식 문서 분석: 고객의 연간 보고서, 사업 계획서, 또는 전략 로드맵을 검토합니다. 고객과 킥오프 미팅이 수행되기 이전이라면 공식 홈페이지 또는 블로그 등의 정보를 확인하는 것도 중요합니다.
- 경영진 인터뷰: 비전과 전략이 실질적으로 어떤 의미를 가지는지, 그리고 해당 비전에 따라 보안이 어떻게 기여할 수 있을지 논의합니다. 조직이 3~5년 내에 이루고자 하는 목표는 무엇인가?”와 같은 질문을 통해 전략적 방향성을 확인합니다.
만약 비전이 불분명한 신규 또는 소규모 조직의 경우라고 할지라도 걱정할 것 없습니다. 이러한 경우 오히려 정보보안을 반영한 비전이 더욱 명확하게 설정 될 수 있다는 장점이 있기 때문입니다. 추후 마스터 플랜을 수립하는 과정에서 BPI(Biz Process Innovation)과정을 생략하고, BP(Best Practice)를 더욱 명확히 반영할 수 있다는 것도 장점이죠. 정보보안을 단순히 위험을 관리하는 수단이 아니라 비즈니스 목표를 지원하는 전략적 도구로 설계할 수 있습니다.
2. Value Chain 분석
Value Chain은 조직이 가치를 창출하는 과정을 이해하는 데 핵심적인 도구입니다. 이를 통해 조직의 주요 활동이 어디에서 이루어지고, 어떤 활동이 가장 중요하게 분류 되는지 파악할 수 있습니다.
정보보안은 본원 활동이 아닌 지원 활동으로 분류되어, 중요하게 분류되는 비즈니스 영역을 우선적으로 보호하기 위해 설계됩니다. 특히 컨설팅의 목적이 정보보안 거버넌스를 수립하거나, 각종 인증 심사(ISMS-P, ISO 27001 등)를 위한 것이라면, 영역의 분리가 더욱 명확하게 요구될 수 있습니다.
제조업의 경우, 제품 설계 및 생산 과정이 가장 중요한 본원 활동으로 분류되고, 금융업에서는 고객 데이터를 기반으로한 거래 및 고객 관리가 핵심 가치 창출 활동으로 분류될 수 있습니다.
분석 방법:
- 비즈니스 아키텍처 분석: 비즈니스를 영유하기 위한 모든 활동을 본원 활동과 지원 활동으로 구분하고, 중요한 본원 활동의 보안 요구사항을 정의합니다.
- 실무진 인터뷰 : IT, 운영, 생산, 마케팅 등 다양한 부서의 실무자들과 대화를 나누어 각각의 활동에 대한 흐름과 상호 의존 관계를 파악합니다. 해당 과정에서 보안 시스템 사용 경험, 불편함, 개선 요구사항 등을 함께 수집하면, 추후 컨설팅 수행 시 유용하게 참고할 수 있습니다.
만약 고객이 다른 업무 또는 프로젝트로 컨설팅 프로젝트에 깊이 관여하기 어려운 상황이라면, 혹은 해당 컨설팅 수행에 대한 조직 내 우선순위가 낮아 많은 협조를 기대하기 어려운 상황이라면, 설문조사와 요약된 Summary를 적극 활용하는 것을 고려할 수 있습니다.
3. PEST 분석
조직을 둘러싼 외부 환경을 분석하는 것도 중요합니다. 이는 PEST(정치, 경제, 사회, 기술) 분석과 4C(고객, 경쟁사, 기업환경, 환경) 분석을 활용해 구체화할 수 있습니다.
PEST는 주로 조직의 비즈니스를 둘러싼 거시적 대외 환경을 분석하고, 가시화되지 않은 EEF(Enterprise Environmental Factors, 기업 환경 요인)를 추가로 도출하는데 매우 유용한 전략입니다. EEF는 프로젝트의 성공과 성과에 영향을 미치는 요소들입니다. 이는 프로젝트 관리자가 통제할 수 없는 요인인 경우가 많습니다.
분석 방법 :
- 정치적 요인: 데이터 프라이버시 법률(예: 개인정보보호법, 정보통신망법)이나 지역 규제, 산업 규제 등 영향을 분석합니다.
- 경제적 요인: 시장과 공급망에 대한 환경을 파악하고, 예산 제약이나 비즈니스 성장의 변동성을 고려합니다.
- 사회적 요인: 현재 사회 이슈가 비즈니스에 미치는 영향을 분석하고, 고객의 잠재적 기대치와 요구 수준을 파악합니다.
- 기술적 요인: 비즈니스에 적용되는 기술 스택과 디지털 전환 수준, 시장 경쟁력, 혁신성 및 파급성 등을 평가합니다.
최근 컴플라이언스 요구사항이 증가하고 ESG 경영과 조직의 지속 가능성에 대한 우려가 강화됨에 따라, PEST 분석을 통해 고객의 비즈니스 환경을 폭넓게 이해하는 것이 더욱 중요해지고 있습니다. 기존의 정보보안이 비즈니스와 별개로 단편적이고 시스템 지향적인 프로세스로 인식되었다면, 최근에는 거버넌스적 관점으로 확대되어 조직의 비전과 목표 달성을 위해 반드시 필요한 핵심 기반으로 재인식되고 있는 패러다임 변화의 결과라고 볼 수 있습니다.
정보보안 컨설팅은 단순히 기술적 문제를 해결하는 데서 그치는 것이 아니라, 고객의 비즈니스와 공감하고 이를 지원할 수 있는 맞춤형 솔루션을 제안하는 데 있습니다. 이를 위해 조직의 비전과 전략, Value Chain 및 조직의 다양한 내/외부 환경을 깊이 이해하는 것이 필수입니다.
또한 컨설팅 프로젝트를 수행하면서 다방면에서 고객의 협조를 요청하고, 상호 이익적인 의사결정이 가능하도록 하기 위해서는 고객과의 원활한 관계 유지가 매우 중요하게 요구됩니다. 고객의 입장에서 문제를 바라보고 해결하기 위해 노력하는 과정이 선행된다면, 컨설턴트는 고객을 깊이 공감하고, 고객은 이를 통해 컨설턴트를 신뢰하며, 이로써 상호 간 협력 체계가 두텁게 자리 잡게 되는 것이죠.
다음 편에서는 이러한 비즈니스 이해를 바탕으로 실질적인 보안 전략을 설계하는 방법에 대해 다루겠습니다.
더 많은 비즈니스 분석 도구의 사용과 가이드를 원하신다면 : IIBA의 BABOK 참고
https://www.iiba.org/career-resources/a-business-analysis-professionals-foundation-for-success/babok/