Home > 전체기사

[ISEC 2015 테마스피치] (ISC)² 데이비드 쉬어러 CEO

  |  입력 : 2015-08-18 19:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
28년간 미국 여러 정부기관에서 정보 책임자 역할 수행한 노하우
최신 기술 습득은 기본, 큰 맥락에서 활용할 줄 알아야” 

 

[보안뉴스 문가용] 그것이 좋아하는 과목이든 전공하고 있는 학과이든, 혹은 그냥 심심풀이로 하는 당구나 게임 같은 잡기이든 진지하게 파고드는 취미이든 빠른 시간 안에 깊이 있게 익히려면 고민을 많이 해야 한다. 손재주나 눈썰미가 좋아 어느 정도 ‘복사’가 가능하다고 해도 ‘왜’에 대한 끈질긴 고민이 없으면 어느 순간엔 한계에 봉착하기 마련이다.

 

▲ 코스의 설정에는 다 이유가 있다. 그걸 아는 게 중요하다.

네모난 당구대에 큰 큐 옆에 차고 밤낮 씨름해 내가 원하는 코스로 공을 보내는 기술만 익히는 건 게임을 이기는 것에 큰 영향을 못 미친다는 것. 공을 똑바로 보내는 건 그저 기본기 중의 기본기일 뿐, 결국은 더 잘하는 사람의 경기를 보며 왜 그쪽으로 공을 보냈을까를 고민하면서 큰 그림을 그릴 줄 알아야 한다는 것이다. 공부도, 끊임없이 외우고 외우고 외우는 학생들보다는 ‘왜’라고 묻는 유형들이 빛을 발하는 순간이 분명히 존재한다. 이들에게 암기란 그저 당연히 해야 할 기본일 뿐이다.


세계 최대 보안전문가 단체인 (ISC)²의 데이비드 쉬어러(David Shearer) CEO 역시 “최신 정보보안 테크닉을 익히는 것 역시 분명 중요하다”는 걸 강조하긴 하지만 “보안이 역할을 해야 하는 사업 환경과 맥락을 이해하는 것도 대단히 중요하다”고 한다. 보안은 그 속성상 사람이나 정보 등 항상 ‘지켜야 하는’ 대상에 종속되어 있기 때문이다.


예를 들어 휴가철 가장 바빠지는 사람들 중 하나인 구조대원들을 보자면, 이들에게 ‘수영을 잘 해야 한다’고 강조하는 건 우스운 일이다. 실제로 기자가 이번 여름에 잠깐 이야기를 나눈 구조대원 청년은 “수영도 잘 해야 하지만 주로 사고가 날 만한 구역이 어디인지 숙지하는 것과 도움 청할 연락처 및 연락방법을 항상 외우고 있는 게 더 중요하다”고 했다. 이 역시 전체적인 맥락 및 환경 파악의 일부라고 볼 수 있다.


그렇다면 ‘정보보안’이 속한 커다란 환경과 맥락은 어떻게 익혀야 할까? 매일 같이 발생하는 보안관련 소식과 신기술들을 접하는 것은 기본이다. 조금 더 큰 그림을 그리자면 정보보안 사고가 주로 발생하는 요인인 ‘경제’와 ‘국제관계’의 흐름을 파악하는 것도 도움이 된다. 실제 포렌식 등으로 멀웨어나 해커의 최초 유입 경로를 알아내면 당시의 경제 상황이나 국제 관계 등을 유추해 범인을 추적해 나간다. 남중국해 연안 국가들의 스파잉 행위에 대한 책임을 중국에 묻는 이유도, 휴가철에는 그에 맞는 택배 서비스 문자를 통한 온라인 사기가 성행하기 시작하는 것도 다 해당 지역의 정치역학과 8월쯤에 찾아오는 휴가철이라는 큰 그림을 파악했을 때 가능한 일이다.


또 다른 방법은 위 당구의 예에서 언급했듯이 ‘더 잘하는 사람의 것’을 익히는 것이다. 이를 테면 미국 농무부 산하 국제 기술 서비스실(International Technology Services)의 협력 CIO, 미국 내무부의 부CISO, 미국 특허상표국(U.S. Patent and Trademark Office)의 경영진 등의 보직을 28년 간 거쳐 온 사람의 노하우를 듣고 습득한다면 어떨까? “그런 위치에 있다 보니 정보보안 전문가로서 꼭 이해해야 하는 결정권자, 일반 대중을 고루 만나서 중간다리 역할을 할 수밖에 없었습니다. 즉 정보보안의 ‘경영’을 한 것이지요.”


바로 현 (ISC)²의 CEO인 데이비드 쉬어러가 위 설명의 주인공이다. 주요 정부 및 민간 조직의 보안담당자 및 책임자로서 근 30년을 지내오면서 현장에서 몸으로 익혀온 노하우를 이번 ISEC 2015에서 일목요연하게 정리해 공개할 예정이다. “그런 세월 속에서 민관의 협력을 이끌어내는 법, 현존하는 정보보안 프로그램을 극대화하는 방법에 대한 저만의 전략이 만들어졌습니다. 의학으로 치면 임상실험까지 된 것들이라고 볼 수 있는데요, 그걸 오는 9월, ISEC 2015에서 공개할 겁니다.”

 

현직 CISO든 CISO를 향해 달리는 전문가이든 소속된 곳에서 보다 높은 효율을 발휘할 수 있기를 바라는 마음에서 강연을 준비하고 있다는 데이비드 쉬어러 CEO는 9월 7일 오전 테마스피치 시간에 무대에 오를 예정이다.

 

(ISC)²의 데이비드 쉬어러 CEO의 테마스피치를 들을 수 있는 ISEC 2015는 정부부처, 공공기관 및 공기업, 그리고 협회·단체, 민간기업의 정보보호최고책임자와 보안담당자와 개인정보책임자, 개인정보처리자들을 위한 아시아 최대 규모의 국제 사이버 시큐리티 컨퍼런스로 오는 9월 7~8일 양일간 코엑스 그랜드볼룸에서 개최된다. 이번 행사는 공공부문의 CPO 및 개인정보처리자는  전용 등록 페이지(www.isecconference.org/cpo) 에서, 민간기업의 보안담당자나  개인정보보처리자 등은 ISEC 홈페이지(http://www.isecconference.org/)를 통해 사전 참관등록을 하면 무료 참관이 가능하다.

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)