[ISEC 2015 테마스피치] (ISC)² 데이비드 쉬어러 CEO

28년간 미국 여러 정부기관에서 정보 책임자 역할 수행한 노하우
“최신 기술 습득은 기본, 큰 맥락에서 활용할 줄 알아야”

[보안뉴스 문가용] 그것이 좋아하는 과목이든 전공하고 있는 학과이든, 혹은 그냥 심심풀이로 하는 당구나 게임 같은 잡기이든 진지하게 파고드는 취미이든 빠른 시간 안에 깊이 있게 익히려면 고민을 많이 해야 한다. 손재주나 눈썰미가 좋아 어느 정도 ‘복사’가 가능하다고 해도 ‘왜’에 대한 끈질긴 고민이 없으면 어느 순간엔 한계에 봉착하기 마련이다.

▲ 코스의 설정에는 다 이유가 있다. 그걸 아는 게 중요하다.

네모난 당구대에 큰 큐 옆에 차고 밤낮 씨름해 내가 원하는 코스로 공을 보내는 기술만 익히는 건 게임을 이기는 것에 큰 영향을 못 미친다는 것. 공을 똑바로 보내는 건 그저 기본기 중의 기본기일 뿐, 결국은 더 잘하는 사람의 경기를 보며 왜 그쪽으로 공을 보냈을까를 고민하면서 큰 그림을 그릴 줄 알아야 한다는 것이다. 공부도, 끊임없이 외우고 외우고 외우는 학생들보다는 ‘왜’라고 묻는 유형들이 빛을 발하는 순간이 분명히 존재한다. 이들에게 암기란 그저 당연히 해야 할 기본일 뿐이다.

세계 최대 보안전문가 단체인 (ISC)²의 데이비드 쉬어러(David Shearer) CEO 역시 “최신 정보보안 테크닉을 익히는 것 역시 분명 중요하다”는 걸 강조하긴 하지만 “보안이 역할을 해야 하는 사업 환경과 맥락을 이해하는 것도 대단히 중요하다”고 한다. 보안은 그 속성상 사람이나 정보 등 항상 ‘지켜야 하는’ 대상에 종속되어 있기 때문이다.

예를 들어 휴가철 가장 바빠지는 사람들 중 하나인 구조대원들을 보자면, 이들에게 ‘수영을 잘 해야 한다’고 강조하는 건 우스운 일이다. 실제로 기자가 이번 여름에 잠깐 이야기를 나눈 구조대원 청년은 “수영도 잘 해야 하지만 주로 사고가 날 만한 구역이 어디인지 숙지하는 것과 도움 청할 연락처 및 연락방법을 항상 외우고 있는 게 더 중요하다”고 했다. 이 역시 전체적인 맥락 및 환경 파악의 일부라고 볼 수 있다.

그렇다면 ‘정보보안’이 속한 커다란 환경과 맥락은 어떻게 익혀야 할까? 매일 같이 발생하는 보안관련 소식과 신기술들을 접하는 것은 기본이다. 조금 더 큰 그림을 그리자면 정보보안 사고가 주로 발생하는 요인인 ‘경제’와 ‘국제관계’의 흐름을 파악하는 것도 도움이 된다. 실제 포렌식 등으로 멀웨어나 해커의 최초 유입 경로를 알아내면 당시의 경제 상황이나 국제 관계 등을 유추해 범인을 추적해 나간다. 남중국해 연안 국가들의 스파잉 행위에 대한 책임을 중국에 묻는 이유도, 휴가철에는 그에 맞는 택배 서비스 문자를 통한 온라인 사기가 성행하기 시작하는 것도 다 해당 지역의 정치역학과 8월쯤에 찾아오는 휴가철이라는 큰 그림을 파악했을 때 가능한 일이다.

또 다른 방법은 위 당구의 예에서 언급했듯이 ‘더 잘하는 사람의 것’을 익히는 것이다. 이를 테면 미국 농무부 산하 국제 기술 서비스실(International Technology Services)의 협력 CIO, 미국 내무부의 부CISO, 미국 특허상표국(U.S. Patent and Trademark Office)의 경영진 등의 보직을 28년 간 거쳐 온 사람의 노하우를 듣고 습득한다면 어떨까? “그런 위치에 있다 보니 정보보안 전문가로서 꼭 이해해야 하는 결정권자, 일반 대중을 고루 만나서 중간다리 역할을 할 수밖에 없었습니다. 즉 정보보안의 ‘경영’을 한 것이지요.”

바로 현 (ISC)²의 CEO인 데이비드 쉬어러가 위 설명의 주인공이다. 주요 정부 및 민간 조직의 보안담당자 및 책임자로서 근 30년을 지내오면서 현장에서 몸으로 익혀온 노하우를 이번 ISEC 2015에서 일목요연하게 정리해 공개할 예정이다. “그런 세월 속에서 민관의 협력을 이끌어내는 법, 현존하는 정보보안 프로그램을 극대화하는 방법에 대한 저만의 전략이 만들어졌습니다. 의학으로 치면 임상실험까지 된 것들이라고 볼 수 있는데요, 그걸 오는 9월, ISEC 2015에서 공개할 겁니다.”

현직 CISO든 CISO를 향해 달리는 전문가이든 소속된 곳에서 보다 높은 효율을 발휘할 수 있기를 바라는 마음에서 강연을 준비하고 있다는 데이비드 쉬어러 CEO는 9월 7일 오전 테마스피치 시간에 무대에 오를 예정이다.

(ISC)²의 데이비드 쉬어러 CEO의 테마스피치를 들을 수 있는 ISEC 2015는 정부부처, 공공기관 및 공기업, 그리고 협회·단체, 민간기업의 정보보호최고책임자와 보안담당자와 개인정보책임자, 개인정보처리자들을 위한 아시아 최대 규모의 국제 사이버 시큐리티 컨퍼런스로 오는 9월 7~8일 양일간 코엑스 그랜드볼룸에서 개최된다. 이번 행사는 공공부문의 CPO 및 개인정보처리자는 전용 등록 페이지(www.isecconference.org/cpo) 에서, 민간기업의 보안담당자나 개인정보보처리자 등은 ISEC 홈페이지(http://www.isecconference.org/)를 통해 사전 참관등록을 하면 무료 참관이 가능하다.

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)