보안 컨설팅 - 보안 컨설턴트 현업 N년차가 말아주는 현실 업무 / 연봉 / 전망

FIELD REPORT · 현업 2년차

인터넷에 보안 컨설팅 직무가 하는 일을 찾아보면 회사 홍보 차원의 글이나 AI가 작성한 글밖에 없습니다. 이 글을 통해 대학생, 취업준비생, 직무 전환을 고민하는 분들이 실질적인 도움을 얻을 수 있도록 보안 컨설팅 실무자 관점에서 제가 아는 모든 것을 담아 작성합니다.

— TABLE OF CONTENTS

00 보안 컨설팅 분야

01 왜 보안 컨설팅이 필요한가

02 업무 — 인프라 취약점 진단

03 그래서 일 할만한가?

04 보안 컨설턴트 전망

05 야근이 많나요?

06 추천하는가?

07 취업 가이드

08 연봉

09 마치며

§ 00

보안 컨설팅 분야

보안 컨설팅은 크게 세 가지 분야로 나뉜다. 대부분의 회사는 세 분야를 모두 다루며, 신입은 관리체계 진단은 보통 못 들어간다. 경력이 쌓이면 도전할 수 있다.

시니어 01. 관리체계

신입이 도전할 수 있는 분야는 아니다. ISMS-P, ISO27001 등 정보보호 인증 취득을 목표로 기업의 보안 관리 수준을 점검·개선. 기술적 취약점이 아니라 정책·절차·조직을 문서·인터뷰 위주로 진단한다. 법령 이해도가 핵심.

신입 OK 02. 인프라 진단

서버·네트워크·DB·클라우드의 기술적 취약점을 직접 진단. 정해진 기준에 따라 설정값을 보고 양호/취약 판단. 업무량이 가장 많고 그만큼 배울 것도 많은 분야. 필자가 이 분야라 이 글은 인프라 진단에 중점을 둔다.

기술형 03. 모의해킹

실제 공격자처럼 침투를 시도해 취약점을 발견. 웹·모바일 앱 모의해킹, 침투 테스트로 나뉜다. CTF 경험이나 버그바운티 실적이 있으면 유리하다.

§ 01

왜 보안 컨설팅이 필요한가?

한 줄 요약 — 법이 시킨다.

일정 규모 이상 기업은 정보보호 최고책임자(CISO)를 지정하고 정보보안 인력을 의무적으로 구비해야 한다. 이들이 ISMS 인증, 서비스 출시 전 보안성 검토를 담당하고, 법적 준수를 위해 주기적으로 취약점 분석·평가를 해야 한다. 하지만 자체 수행은 인력·시간 문제로 현실적이지 않아 보안 컨설팅 전문 업체에 위탁한다.

// 법적 근거

전자금융거래법 §21조의3
금융회사·전자금융업자는 전자금융기반시설 취약점을 분석·평가해 금융위원회에 보고.

전자금융감독규정
총자산 2조원 이상 & 종업원 300명 이상 금융회사는 연 1회 이상 취약점 분석·평가. 외부 위탁 시 정보보호전문서비스기업에게만.

정보통신기반 보호법 §9
주요정보통신기반시설(전력·금융·교통·통신)은 매년 정기 평가. KISA 지정 기업에만 위탁 가능.

이게 보안 컨설팅 업체가 존재하는 근본적인 이유다.

§ 02

업무 — 인프라 취약점 진단

프로젝트가 있을 때는 주업무, 없을 때는 기타업무. 1년 기준 약 10개월은 프로젝트, 연초·연말 2개월은 비프로젝트.

64 Windows 점검 항목

15 하루 진단 서버

960 하루 진단 항목

주업무 1) 취약점 진단

핵심은 문서 작업. 진단 내용을 전부 Excel·Word 보고서로 작성한다. 예를 들어 Windows 서버 점검은 W-01 ~ W-64 총 64개 항목. 각 항목별 상세 가이드를 보고 양호/취약을 판정한다.

W-01번의 경우 관리자 계정명이 기본값 "Administrator"인지, 취약한 비밀번호를 쓰는지 확인하는 항목. 공격자가 추측하기 쉬워서다. 기본 계정명 그대로면 취약점, 조치 권고.

// 진단 도구

취약점 점검 솔루션 — 자동화 도구. 고객사가 벤더에서 구입해 제공.

취약점 진단 스크립트 — 설정값 추출용. Windows는 Batch·PowerShell, Linux/Unix는 Shell 스크립트.

초급 컨설턴트한테 처음부터 높은 기대를 하진 않는다. 선임과 함께 가고, OJT도 있다. 업무에 익숙해지면 하루 서버 10~20대 진단이 가능하다.

주업무 2) 담당자 대응 & 인터뷰

업계 특성상 내성적인 컨설턴트가 많아 가장 힘들어하는 부분이다. '업무상 사용하지 않는 계정이 존재하는지' 같은 건 설정값만으로 판단 불가 → 담당자 인터뷰 필수. 취약점 도출 후 조치 계획 수립도 커뮤니케이션. 다만 쌩 초급은 보통 진단만 한다.

주업무 3) Excel

컨설턴트의 핵심 역량. 진단 자체가 Excel로 진행되기 때문.

업무에 필요한 Excel 단축키를 전부 외워버려서 마우스를 거의 안 쓴다. 인쇄 영역 설정 Alt+P+R+S, 서식 제외 값 붙여넣기 Ctrl+Alt+V → V → Enter까지 몸에 익었다.

기타업무 1) 스크립트 개발

전자금융기반시설 평가 기준은 매년 변경 → 회사 내규 점검 스크립트도 같이 수정. 스크립트 개발 역량은 필수. 요즘은 AI 덕에 개발은 수월하지만 테스트는 컨설턴트 몫. Linux·Windows 이해도가 있으면 할만하다.

★ 솔직한 후기

아니다. 다시 생각하니 이거 어려운 업무 맞다.

기타업무 2) 사업 제안서 작성

수주하려면 제안서 필요. 전담팀 없는 회사는 컨설턴트가 직접 작성한다. RFP 보고 회사 PPT 템플릿에 맞춰 작성 → 임원·팀장 피드백. 꽤 스트레스받는 업무 중 하나다.

§ 03

그래서 일 할만한가?

결론부터 말하면 — 꿀이다. 왜? 내가 지금 업무 시간에 이걸 쓰고 있다.

프로젝트 단위로 돌아가는 구조라 한 곳에 묶여있지 않고, 고객사가 바뀌면 환경도 바뀐다. 다만 고객사 담당자 성향에 따라 프로젝트 분위기가 크게 달라지므로 그 부분은 복불복.

§ 04

보안 컨설턴트 전망

대기업·금융권 보안 담당자로의 이직이 대표적인 커리어 패스. 컨설팅 경력은 다양한 업종의 보안 환경을 봤다는 점에서 강점이 된다.

ISMS-P 인증심사원 자격 취득도 중요한 전망. 일정 경력 이상 도전 가능하며, 따면 몸값이 크게 오른다. 컨설팅 업계에서 오래 일할 거면 반드시 목표 삼아야 할 자격.

§ 05

야근이 많나요?

프로젝트마다 다르다. 보통 제안서 급히 제출해야 할 때, 또는 프로젝트 중 예상치 못한 일이 터졌을 때 야근한다.

★ 작년 통계

1년 중 1주일 정도 야근했다.

§ 06

보안 컨설팅을 추천하는가?

정보보안 업계엔 보안 관제, 솔루션 엔지니어 등 여러 직무가 있다. 그중 보안 컨설팅은 다양한 고객사를 경험하며 넓은 시야를 가질 수 있어 추천하는 직무다.

보안 전공자로서, 관제로 주야비비 교대근무하며 건강을 망치는 것보다 컨설팅이 낫다고 생각한다. 솔루션 엔지니어도 갑질 심한 곳은 힘들다고 들었지만 직접 경험은 없어서 모르겠다.

다만 을의 입장에서 일하는 구조는 감안해야 한다.

§ 07

보안 컨설턴트가 되려면?

7-1. 교육

01 BOB 보안컨설팅 트랙 가장 확실한 방법. 수료했다면 어느 컨설팅 회사든 데려가고 싶어한다.

02 케이쉴드주니어 · SK쉴더스 루키즈 · 시큐리티아카데미 스펙이 부족해 취업이 안 될 때 추천. BOB가 부담스럽거나 떨어졌다면 도전. 면접은 어렵지 않다.

03 그 외 교육 같은 시간을 투자한다면 면접관이 알아볼 수 있는 교육을 고르는 게 낫다.

7-2. 자격증

기사 하나는 필수로 취득하고, 경쟁력을 위해 추가 자격증도 도전.

레벨	조합
기본 스펙	정보처리기사
신입 풀 스펙	처리기사 + 보안기사 + CPPG

필수

정보보안기사 / 정보처리기사

공공기관 입찰 평가 기준 포함. 하나라도 취업 전 취득.

추천

CPPG (개인정보관리사)

개인정보 업무 시 신뢰도 차이 큼. 취업에 도움.

추천

AWS 계열

클라우드 점검 수요 증가 중. 입찰·진단 깊이에 유리.

선택

리눅스마스터 2급 · 네트워크관리사 2급 · SQLD

임팩트는 약하지만 없는 것보단 낫다. 시간 남으면.

나중에

디지털포렌식 2급

포렌식 할 게 아니면 컨설팅 업계에선 불필요.

나중에

CISA · CISSP · ISMS-P 심사원 · 기술사

경력 쌓아 전문가 레벨이 되면 도전.

7-3. 경험 & 대외활동

수상 경력·동아리 활동 많으면 당연히 도움 된다. 굳이 설명할 필요 없을 듯.

§ 08

신입 연봉

회사 유형	초봉
회계법인 및 대기업	4,000만원~
정보보호전문서비스기업	3,500~4,000만원
그 외 ( 규모 : 소기업 )	~3,300만원

보안 컨설팅은 경력을 쌓고 ISMS-P 인증심사원 같은 라이센스를 취득해야 몸값이 오른다. 아무것도 모르는 신입에게 처음부터 많은 돈을 줄 수는 없다는 점을 명심하자.

 

2년차부터는 혼자 프로젝트를 담당하거나 업무에 익숙해지기에 연봉이 많이 점프된다.

§ 09

마치며

사실 이 글, 퇴근하고 집에서 쓴 게 아니다. 업무 시간에 썼다. 프로젝트가 없는 시기엔 그만큼 자유 시간이 많기 때문이다. 이것 자체가 보안 컨설팅이 일할 만하다는 방증이기도 하다.

기업 정보보안 담당자가 연봉도 높고 네임밸류도 있어 보이지만, 보안 컨설팅은 남의 일을 대신 해주는 구조다. 그만큼 책임져야 할 것이 상대적으로 적다. 이게 보안 컨설팅의 현실적인 장점 중 하나라고 생각한다.