NC

개인정보보호운영팀에서 개인정보보호 인증체계를 관리하고 대응하는 일을 한다. 한마디로 엔씨가 개인정보를 얼마나 잘 보호하는지를 외부 기관을 통해 검증받는 일이다. 개인정보의 중요성은 나날이 높아지고 있으며, 특히 IT 기업에서 민감한 대응이 요구된다. 인증체계를 획득하는 일은 법이 정한 기준에 맞춰 의무적으로 하는 것 그 이상의 의미가 있다. 개인정보보호에 대한 관심과 대응 양상은 기업의 기술 수준을 증명하는 것은 물론 ‘신뢰’와 직결된다.

엔씨는 올해 한국인터넷진흥원(KISA)의 ISMS-P¹, ISO 인증(ISO 27001, ISO 27701²), 그리고 APEC CBPR³까지 총 3개의 인증을 관리 및 획득할 예정이다. 특히 CBPR은 게임업계 최초로 받는 심사여서 의미가 크다. 엔씨가 개인정보보호를 중요시하고 리딩하는 기업임을 글로벌 고객과 파트너들에게 보여줄 기회다.

인증 과정은 크게 6개월의 사이클로 진행된다. 먼저 심사받기 3개월 전 자체 위험평가를 실시한다. 실무 부서와 미팅하며 ‘미흡한 부분이 있는지’, ‘새로운 서비스가 출시되었는데 놓친 사항이 있는지’ 등을 검토한다. 만약 위험성이 높다고 판단되면 개선하는 과정을 거친다.

이후 실제 인증기관으로부터 심사를 받는다. 서류 심사 및 인터뷰를 통해 엔씨가 개인정보보호를 잘하고 있는지 평가받고, 미흡한 부분이 있다면 ‘결함’에 대한 의견을 받는다. 이후 3개월 동안 결함 보고서의 개선점을 보완하여 최종 인증을 받는다. 엔씨는 매년 이러한 과정을 반복하며 개인정보보호체계를 지속적으로 강화하고 있다.

엔씨는 즐거움을 지향한다. 개인정보보호실 및 정보보안센터는 플레이어에게 직접적으로 즐거움을 제공하는 부서는 아니지만, 우리가 하는 일은 ‘즐거움의 지속성’과 연관이 깊다.

엔씨에는 RPG 장르의 게임이 많다 보니 긴 호흡으로 애정을 갖고 플레이하는 사람들이 많다. 그런데 한순간에 계정이 사라지거나 도용된다면 그 상실감은 이루 말할 수 없을 것이다. 우리 조직의 역할은 플레이어가 이러한 걱정 없이 마음껏 놀 수 있도록 ‘안전한 놀이터’를 제공하는 일이다.

처음부터 정보보안 직무로 일을 시작한 건 아니다. 첫 커리어는 수십만의 임직원들과 기업회원들이 이용하는 시스템을 구축하고 운영하는 개발자였다. 개발 업무를 시작한 시점에 개인정보보호법이 제정되면서 내가 담당하는 시스템 또한 대응이 필요했다. 법에 발맞춰 시스템을 개선하고 보안 수준이 얼마나 잘 구축되었는지 모의 해킹 등을 진행하며 보안 업무에 관심이 생겼다. 마침 회사에서 보안의 중요성이 강조되며 보안 업무를 담당할 사람이 필요했고, 입사 3년차 즈음부터 정보보안 업무를 맡게 되었다.

정보보안 업무로 솔루션과 네트워크 보안 등을 경험하면서도 평소 법에 관심이 많았던 터라 규제 및 정책과 좀 더 가까운 개인정보 영역의 업무도 겸하게 되었다. 개인정보는 기업의 서비스와 밀접하게 연관되어 있어 관련된 데이터를 보호하고 활용하는 업무가 매력적으로 다가왔다. 개발자에서 정보보안 그리고 개인정보보호로 커리어를 바꿔온 셈이다.

처음 정보보안 업무를 맡았을 때 20년 정도의 경험이 있는 시니어급 담당자 분과 일을 하게 됐다. 경력의 간극을 메꾸는 일이 막막했다. 첫 시작은 선배의 조언을 따라 뉴스나 책 등 그 분이 보시는 것을 모두 따라 읽었다. 조금씩 업무 용어를 알아듣게 되니 본격적으로 지식을 늘려야겠다는 생각이 들어 자격증 공부를 시작했다. 또 개인정보보호 담당자로 커리어를 바꾼 후에는 법이나 제도를 보다 전문적으로 바라보고 싶어서 대학원에 진학했다.

어떤 일을 남들보다 쉽고 빠르게 처리하는 방법이 노하우에 대한 정의라면, 나는 특별한 노하우를 가지고 회사 생활을 해오진 않았다. 대신 내가 들인 노력과 시간만큼 결과가 나올 거라 믿고 임할 뿐이었다. 지름길을 찾기보다는 언제나 내가 할 수 있는 최선을 다하며 한 걸음씩 나아가려 한다.

개인정보보호는 고객의 개인정보를 대내외의 위협으로부터 방어하면서 안전하게 활용할 수 있도록 관리하는 일이다. 정보보안 및 개인정보보호 영역에서는 ‘무소식이 희소식’이라고 흔히 말한다. 문제가 생기면 기업의 신뢰도에 큰 영향을 미치지만, 잘하고 있을 때는 크게 눈에 띄지 않는 일이다. 그래서 수동적이고 소극적인 업무라 생각하기 쉽다.

하지만 엔씨는 달랐다. 면접 당시에, 그리고 처음 회사에 왔을 때 들은 이야기가 기억에 남는다. ‘엔씨는 국내에서 업계를 리딩하고 그다음은 글로벌 게임업계에서, 나아가 게임업계를 넘어 개인정보보호 분야에서 글로벌 수준의 탑 티어 회사로 향하려 한다. 승연 님은 그 여정을 함께하는 거다’라고 말씀하셨다. 이런 비전이 있는 곳이면 내 역량도 같이 성장할 수 있다는 확신이 들었다.

일로 인정받는 것이 좋다. 타인의 인정도 중요하지만, 나 자신의 인정이 가장 중요하다. 내가 할 수 있는 최대치가 100이면 80을 하고 끝내는 것은 성에 차지 않는다. 스스로 정한 기준에 도달하는 것을 최저점으로 삼고 있다. 내가 만족할 수준으로 일을 해야 동료들이나 리더의 인정에 마음껏 기뻐할 수 있다.

엔씨에 오고 나서 대학생들에게 개인정보보호 직무를 소개할 기회가 있었다. 이후 세션을 들은 한 학생으로부터 이메일 한 통을 받았다. 앞으로 어떤 교육과 경험을 쌓으면 좋을지 진로를 고민하는 내용이었다. 도움이 되었으면 하는 마음에 개인적 경험뿐 아니라 다른 동료들의 조언을 구해 회신했다. 얼마 후 그 친구로부터 개인정보보호 직무 담당자로 취업했다는 연락을 받았다. 나의 지식과 경험이 누군가에게는 꼭 필요한 조언이자 성장의 계기가 된 것 같아 뿌듯했다.

아마 10년 후에 나는 지금보다 전문가가 되어 있지 않을까. 그땐 내 경험을 보다 폭넓게 나누고 싶다. 학생들뿐 아니라 후배들의 커리어에 대한 고민을 들어주는 멘토가 되고 싶다.

메타의 전 최고운영책임자(COO) 셰릴 샌드버그는 “커리어는 사다리가 아니라 정글짐이다”라고 말했다. 그 말에 크게 공감했다. 사다리는 빨리 올라갈 수 있지만 올라가거나 내려가는 것밖에 선택지가 없다. 또 외부의 변화에도 쉽게 흔들린다. 반면 정글짐은 사다리만큼 빠르지 않지만 옆으로 돌아가거나 잠깐 쉬었다 갈 수도 있고, 다양한 방법으로 정상에 올라갈 수 있지 않나. 자기만의 분야를 갖는 것도 물론 중요하지만 다양한 경험과 관점을 가질 때 보다 폭넓게 성장할 수 있다고 생각한다.

개인정보보호 업무는 관련 법규와 기술 환경, 플랫폼, 내부 정책 등 종합적인 정보를 파악해야 하는 경우가 대부분이다. ‘나무’보다 ‘숲’을 보는 사람이 되려 한다. 전체적인 그림을 이해하고 있으면 새로운 이슈가 발생해도 연관된 부분을 쉽게 파악하고 대처할 수 있다.

내년에는 지금 하고 있는 운영 업무 외에도 정책 쪽으로 업무를 강화할 예정이다. 개인정보 및 데이터에 관한 정책과 법이 계속 변화하고 있다. 정부에서 새로운 정책을 수립할 때 IT 및 게임업계의 의견을 많이 들으려고 하는 편이다. 단순히 기업 측면에서 정책을 준수하고 대응하는 것 이상을 해내고 싶다. 엔씨뿐만 아니라 게임업계에서 필요로 하는 부분에 대해 목소리를 내고 논의에 참여하고 싶다.

또 조직에서는 신뢰를 얻고 함께 일하고 싶은 동료가 되고 싶다. 개인정보보호는 정답이 있다고 보기 어려운 업무이지만, 여러 입장을 고려해 합리적 판단을 내릴 수 있는 사람으로 인정받고 싶다. 그렇게 되기 위해서는 내 분야에서 전문성을 갖추고 또 다양한 영역의 변화에 지속적으로 관심을 갖는 것이 중요하다. 특별한 노하우는 없더라도 한 걸음씩 실력을 키워 나가고 싶다.