이 글은 작년 9월부터 12월까지 보안 프로젝트를 진행하면서 겪었던 일을 회고하는 글이다.

1. IaC 프로젝트에 들어가게 된 나.

끝날 것 같지 않던 보안 컨설팅 교육 기간이 지나고, 우리는 프로젝트를 위해 팀빌딩을 해야했다.

나는 후배가 교육 기간때 하고싶다고 했던 안전한 클라우드 구성 플랫폼 만들기 프로젝트에 함께할 마음이 있었고, 뜻이 맞는 처음 보는 분들과 함께 팀을 짜게 되었다.

2일 간의 해커톤을 통해서 우리가 하고 싶어하는 프로젝트는 생각보다 어렵고, 고려해야 할 사항들이 많은 것을 깨달았다. 여러 멘토님들의 조언으로 막연한 클라우드 구성이 아니라 IaC라는 도구를 이용해서 더 편리하게 안전하게 클라우드를 구성할 수 있는 플랫폼을 만들고자 했다.

나는 이 팀에서 보안 체크리스트를 작성하고 연구하여 IaC 스캐닝 체크리스트와 오픈소스에 기여하기 위한 보안 규칙들을 개발 팀에 전달하는 것을 담당했다.

2. 내가 하고 싶지 않은 일을 맞닥뜨렸을때.

IaC라는 개념에 대해서 잘 몰랐기 때문에 프로젝트를 시작하고 IaC를 익히고 사용해보는 것에 매진했다. 그리고 내가 해야할 일이었던 보안 체크리스트 작성, 연구를 하며 1차 발표를 마쳤다.

어느정도 프로젝트에 익숙해졌을때, 팀빌딩 때 내가 이 프로젝트를 통해서 하고 싶었던 일들을 다시 떠올려봤다.

나의 프로젝트 목표는 "보안 컴플라이언스를 새로운 기술과 접목하여 연구해보고 싶다!" 였다. 그런데 당시의 나는 여러 회사의 IaC 스캔 체크리스트를 확인하고 연구하고 있었다.

내가 하고 싶은 일을 하고 있지 않다는 것을 인지하게 되었다.😌

3. 내가 하고 싶은 일을 어떻게 이 프로젝트에 접목시킬 수 있을까?

보안 컴플라이언스는 기업들이 필수적으로 지켜야 하기 때문에, 다른 유사한 기업에서도 관련 서비스를 지원하고 있을 것이라 생각했다. 그래서 비슷한 회사들을 뒤져가며 이러한 회사들에서는 어떻게 보안 컴플라이언스를 지원하는지 조사했다.

다른 회사에서는 보안 체크리스트와 보안 컴플라이언스를 연결하여 사람들이 보안 체크리스트를 지키면 어떤 보안 컴플라이언스의 어떤 조항을 지킬 수 있는지 확인할 수 있는 방식으로 서비스를 제공하고 있었다.

"저희 만들어둔 체크리스트에 보안 컴플라이언스도 연결해서 리포트로 제공하는거 어때요?"🥺

'괜찮은 것 같긴 한데,, 할 수 있겠어? 지금 할 일들도 있는데,,' + 효용성이 있을까? 에 대한 이슈로 1차 보류되었다.😔

4. 하고 싶은 일을 하려면.

지금 내가 해야 할 일들을 정리하고, 스스로 이 일을 다 하면서도 하고 싶은 일들도 할 수 있을지 고민했다. 나의 정답은 당연히 '할 수 있다 🔵' 였고, 팀원들을 어떻게 설득하면 좋을지 고민했다.

일단 보안 컴플라이언스는 매우매우 많지만, 국내에서 법으로 규정된 컴플라이언스인 ISMS로 한정지어 연구해야 겠다고 생각했다. 그리고, 우리는 IaC 중에서도 테라폼 만을 활용했기 때문에, 실제로 적용 가능한 컴플라이언스 조항은 얼마 되지 않음을 어필했다.(내가 하고 싶은 일이 해야 할 일에 지장을 주지 않음을 어필)

그리고 프로젝트를 멘토링 해주시는 멘토님들께 도움을 요청했다.

"저희가 현재 만들고 있는 서비스에 보안 컴플라이언스를 연결해서 보고서로 제공하려고 하는데, 어떻게 생각하시나요?"🥺

'컴플라이언스를 활용하려 한다면, 만들려는 것을 누가, 어떻게, 왜 사용할 것 같은지 생각하면서 잘 만들어야 해요'🤔

멘토님들의 피드백을 통해서, 어떻게 사용자 친화적인 서비스를 만들면 좋을 지 구체적으로 고민을 시작했다.

5. 하고 싶은 일이 팀에 도움이 되면 좋겠어!

기존의 서비스들은 대부분 위의 도식같은 형식으로 서비스를 제공하고 있었다. 룰과 조항을 맵핑하여 사용자들로 하여금 룰을 지키면 어떤 조항을 지킬 수 있는지 확인할 수 있도록 하는 방식이다.

나는 이렇게 한단계 더 확장하여 서비스를 제공하면 어떨까 싶었다.

룰과 조항을 맵핑하고, 각 룰을 지키지 않으면 왜 각각의 조항들을 준수하지 못하는 것인지 상세하게 설명하고자 했다.

우리 팀원들의 비유를 빌려 쉽게 설명하자면 이 중에서 나는 상세 설명을 하려 한 것이다.

룰 1은 망치로 사람을 때리는 것 🔨

조항 1은 사람을 때리면 안된다는 법 🤾🏻

상세 설명은 사람을 때리면 안되기 때문에, 망치로도 사람을 때리면 안된다. 🙅‍♀️

이렇게 서비스를 제공하면, 개발자들이 개발을 할 때 왜 룰을 준수해야 하는지 구체적으로 인지할 수 있게 되며, 보안 담당자는 IaC에 대해 잘 모르더라도 쉽게 보안 사항을 리뷰할 수 있을 것이라 생각했다.

이 아이디어를 들고갔더니 멘토님들이 한번 해보라고 말씀해주셨고, 팀원들도 모두 동의해줬다.😙

6. 남은 건 해야 할 일과 하고 싶은 일을 모두 해치우는 것

하고 싶은 일을 할 수 있게 된 것은 최종 발표 1달 전이었다. 남은 1달은 최종 발표자료 제작, 시연 영상 제작, 여러 산출물 보고서 제작, 인터뷰 진행 등으로 해야 할 일이 가장 많은 기간이었다.

작년의 나(모닥불 틀어두고 히터 틀면 대충 비슷해)

그래서 매일 출근하고, 야근도 엄청 자주 했던 기억이 난다.🤯 (창업을 하고 있는 지금보다도 더 자주, 늦게까지 센터에 있었다.) 하고 싶은 일들을 할 수 있어서 그런가.. 힘들긴 했는데, 생산성도 높았고, 재밌었던 기억이 가장 많은 달이다.

7. 그래서 잘 됐나요?

인터뷰들을 진행하면서 내가 한 컴플라이언스 기능을 넣은 리포트는 좋은 반응을 많이 얻었다. 실제 고객에게 필요할 것 같다는 답변은 물론, 돈주고 쓸만 하다는 칭찬까지 받았다. 그리고, 우리 팀은 프로젝트를 잘 마무리 하여 최우수 프로젝트에 선정되었다.💫

요즘 회사에서 일하면서, 하고 싶은 것과 해야 하는 것 중에서 해야 하는 것에 집중을 하게 되었다. 그러면서 방향성을 잃어가는 기분도 들고, 업무 효율도 떨어졌던 것 같다. 이번 기회에 1년 전의 나를 돌아보면서 하고 싶은 일이 있으면 우리 팀에서 하고 싶은 일을 어떻게 녹여낼 수 있을지 고민하고, 도전하고, 발전시킬 수 있는 내가 되었으면 좋겠다고 생각했다.🫧🌝