[주말판] 나를 보안 담당자로 키워준 소중한 경험들

보안 전문가 되는 길, 한 개 코스로 정해져 있지 않아...다양한 경험 중요해
아키텍처를 공부한 일부터 실제 재앙과 같았던 현장에 있어본 것까지

[보안뉴스 문가용 기자] 보안 전문가가 되어가는 길이 조금씩 정형화 되고는 있지만, 하나로 정해지고 있지는 않다. 실제로 현장에서 많은 보안 전문가들을 만나보면 다양한 배경을 가진 사람들이 있다는 걸 알 수 있다. 교육 과정, 경력을 쌓아온 과정, 해왔던 경험들이 사람마다 제각각이다. 그렇기에 아직은 어떤 과목을 학습하고, 현장에서 어떤 실무를 해야 보안 전문가가 될 수 있다고 딱 잘라 말하기도 어렵다. 본지는 이번 주 여러 사람을 만나 “당신이 생각하는 가장 소중한 경험은 무엇입니까?”를 물었다.

[이미지 = iclickart]

1. 오오스 프로바이더를 백지 상태에서 구축해본 것
전문 서비스를 제공하는 글로벌 업체 에이온(Aon)의 수석 백엔드 개발자인 야이르 실버민츠(Yair Silbermitz)의 경우 현재 자리까지 오는 데 있어 가장 귀중한 경험은 완전 백지에서부터 오오스(OAuth) 프로바이더를 구축하는 프로젝트를 담당했던 것이라고 한다. “물론 그 전에도 인증 관련 시스템을 구축한 적은 있었어요. 하지만 이미 누군가 만들어놓은 요소나 시스템을 살짝 수정하거나 조작하는 것에 불과했었습니다. 완전히 처음부터 뭔가를 해본 경험은 오오스 때가 처음이었고, 그 때처럼 많이 배운 적이 없었습니다.”

정확히 뭘 배운 것일까? “그 전까지는 중요하게 생각하지 않았던 작고 소소한 특성이나 기능들이 왜 존재하는지, 그리고 얼마나 중요한 역할을 하는지 알게 되었습니다. 예를 들어 논스(nonce)의 경우, 예전 저에겐 그저 노이즈에 불과한 것이었습니다. 그런데 오오스 프로바이더를 처음부터 구축하려니 갑자기 이 논스가 없어서는 안 될 존재가 되더군요. 개발자였을 때는 그냥 이름만 알던 것들이 그 실체를 하나하나 드러내기 시작했습니다. 작고 사소하게 여길 게 하나도 없다는 걸 절감하는 계기였습니다.”

그래서 실버민츠는 누군가 페이로드에 짧은 문자열 하나만 추가해달라고 해도, 많은 것을 꼬치꼬치 캐묻게 됐다고 한다. “결국 왜 그걸 추가하려고 하는지 이해해야만 작업을 할 수 있게 됐어요. 세밀한 요소들의 역할과 중요성을 이해하다보니, 그걸 활용하는 사람의 의도까지도 알아야만 뭔가를 시도할 수 있더라고요. 그리고 그런 습관이 제 경력을 가다듬고 굳혀왔습니다. 그래서 지금의 백엔드 설계자에까지 이른 것입니다.”

2. 해병대에서 포병으로 근무한 것
보안 업체 레이시언(Raytheon)의 CTO인 마크 올란도(Mark Orlando)의 경우 해병대에서 포병으로 근무했던 경험이 지금의 자신을 만들었다고 말한다. “군인들에게 시간과 자원이 충분히 주어지는 경우는 거의 없습니다. 그런 가운데 주어진 임무는 반드시 완료해야 하고요. 조직에서 내세우는 큰 틀에서의 전략에 동의할 수 없어도, 내가 실행한 임무의 결과가 마음에 들지 않아도, 자기의 담당분야에서는 반드시 전문가 수준으로 실력을 끌어올려야 합니다. 이상적인 것과 거리가 먼 환경에서 최고가 되어야 하는 것이죠.”

그런 곳에서 올란도는 유연성과 겸손함을 배웠다고 한다. “불평이 마음 한 가득에 담겨 있다가는 그런 곳에서 아무 것도 이뤄낼 수 없습니다. 게다가 이뤄낸다고 하더라도 항상 나보다 강력하고 실력이 뛰어난 사람을 만나게 되고요. 똑똑한 사람도 많죠. 그 때의 그런 경험이 덕분에 사이버 보안 업계에 와서도 마음 속으로부터 쉽게 짜증을 내거나 불평하지 않게 됩니다. 지금 느껴야 할 실망감이나 불만족은 해병대 때 다 느끼고 털어버렸던 거 같아요.”

3. 헬프데스크에서 근무한 것
데이터 보안 전문 업체인 바로니스(Varonis)의 현장 CTO인 브라이언 벡시(Brian Vecci)는 헬프 데스크에서 2년 동안 근무한 적이 있었다. 그 때 했던 경험들이 그에게는 가장 중요하다고 한다. 각종 장비들을 구축, 설정하고, 하드웨어와 소프트웨어에서 발생한 문제를 접수 및 해결하며, 사용자 경험을 전반적으로 다루다보니 환경을 이루는 개별 요소들이 어떤 식으로 조합되고 하모니를 이뤄가는지 배울 수 있었다고. “그러면서 보안 구멍이 될 만한 곳도 자연스럽게 알게 되었습니다.”

벡시는 그 때의 경험이 너무나 소중해(아름답지는 않았지만), “보안 전문가를 꿈꾸는 사람들이라면 적어도 일정 기간 이상 헬프 데스크에서 근무해봐야 한다”고 주장하기도 한다. “기술 그 자체에 대한 이해도도 높아지지만, 그 기술이 어떤 식으로 구현되고, 사업 전체에 어떤 식으로 영향을 주는지 알게 됩니다. 요즘 CISO들에게 요구되는 역량과 동일하죠.”

4. 네트워크와 스토리지 아키텍처에 대해 배운 것
마이크로소프트의 사이버 보안 솔루션 그룹 부회장인 앤 존슨(Ann Johnson)은 보안 분야로 들어서기 전에 데이터제너럴(Data General)에서 헬스케어 전문가였다. 당시 스토리지와 네트워크를 관리하는 부서에서 근무했는데, 거기서 네트워크 아키텍처와 스토리지의 아키텍처에 대해 습득, 이해하기 시작했고, 이는 훗날 보안 전문가로서 경력을 쌓아가는 데 있어 커다란 자산이 되었다. “IT 생태계와 네트워크의 기본 바탕을 이해하니, 그걸 안전하게 지키는 방법도 보다 근본적이고 쉽게 다가오더군요.”

그 후 존슨은 RSA 시큐리티(RSA Security)에서 PKI 전문가로 근무하기 시작했다. 네트워크와 스토리지의 기본 구조를 이미 익힌 그는 PKI 아키텍처도 보다 안전하고 튼튼하게 구성할 수 있었다고 한다. “그러면서 현장에서 배운 지식들이 차곡차곡 안정감 있게 쌓여갔습니다. RSA에서도 온라인 뱅킹, 신용카드 사기 방지 사업 등을 차근차근 맡아갔고요. 네트워크와 스토리지의 기본 구성을 이해하지 못했다면 매일이 힘든 전투였을 겁니다. 결국 보안은 아키텍처를 아는 것부터 시작이라고 생각합니다.”

5. 군의 계약 업체가 된 것
보안 업체 라피드7(Rapid7)의 수석 디렉터인 예레미야 듀위(Jeremiah Dewey)는 군과 계약 업무를 진행하면서 기술적 전문성을 갖추고 있는 것과, 그것을 최종 사용자나 클라이언트와 소통하는 방법을 익혔다고 말한다. “그 미묘한 균형성에 대한 감을 그 때 잡았습니다. 그리고 몸에 익혔죠. 물론 군의 계약 업체로서 각종 사이버 공격자들의 캠페인을 볼 수 있었다는 것도 좋은 경험이었지만, 군이라는 거대 네트워크를 구성하는 모든 사람, 장비, 프로세스가 어떤 식으로 상호작용하며 자기의 몫을 감당하는지 관찰하는 것에서 더 많은 것을 배웠습니다.”

군 네트워크라는 환경은 사소한 사건 하나하나가 커다란 위기가 될 수 있고, 실제로 그렇게 되는 곳이라고 듀위는 설명한다. “그럴 때는 보안 담당자가 전지전능한 존재가 되어서 기술적으로 문제를 해결할 수 있지 않은 이상, 문제를 최대한 정제된 언어로 설명하고, 규격화된 소통 채널을 통해 빠르게 전파하는 것이 중요합니다. 군이라고 해서 모두가 보안 문제를 잘 이해하는 건 절대 아니거든요. 하지만 대처가 완벽하고 시급해야 하는 조직이기도 하고요. 새벽 3시에 이런 이야기를 전 부대에 전파하다 보면 감이 자연스럽게 삽니다.”

6. 강력한 멘토의 지원을 받은 것
IBM 시큐리티(IBM Security)의 수석 보안 고문인 리모 케셈(Limor Kessem)이 이제 막 금융 분야 사이버 범죄자들의 뛰어난 전략과 전술에 대해 배워가고 있을 무렵이었다. 멘토였던 고위직 선배가 컨퍼런스에 대신 참가해달라고 요청했다. 꽤나 큰 컨퍼런스였고, 그 선배는 심지어 강연자로 초청된 상태였다.

“무서웠죠. 기쁘다거나 영광스러운 마음은 전혀 없었어요. 왜 하필 나한테 이런 일을 주나 하는 걱정만 가득했습니다.” 그런데 그 선배는 이미 케셈의 이력서를 주최 측에 보낸 상태였다. 당시 케셈으로서는 이력이라고 할 만한 게 없었지만 말이다. 게다가 “넌 잘 할 수 있어, 믿는다”라는 말까지 들었으니 이미 기차는 떠난 마당이었다.

열심히 준비한 케셈은 성공적으로 강연을 마쳤고, 여러 행사에 강연자로서 초대를 받기 시작했다. “그 때부터 멘토 선배가 참석할 수 없는 컨퍼런스 자리를 제가 메우기 시작했어요. 매번 떨리고 무서웠고, 끔찍하게 싫기도 했습니다. 하지만 그러면서 여러 가지 경험을 쌓을 수 있었고, 아직도 강연 활동은 이어지고 있습니다. 그 때 그 선배가 저를 강력하게 키우지 않았다면, 지금의 저는 없었을 거라고 생각합니다.”

7. 심리학을 배우고 기도로 근무한 것
옥타(Okta)에서 보안 전략 부문 부회장으로 근무하고 있는 마크 로저스(Marc Rogers)는 대학에서 심리학을 전공했다. 그러고는 영국 맨체스터에서 클럽 기도로 근무했다. 문지기 역할을 하면서 수많은 사람들과 몸으로 부딛혔고, 심리학 전공자다보니, 인간 군상이라는 것을 체득할 수 있었다. 그 당시 배웠던 것들이 지금까지도 유익하게 효과를 발휘한다고 한다.

“일단 기도로 근무하다보니 물리적인 보안을 최전선에서 익힐 수 있었습니다. 그러면서 실제적인 위험과 가상의 위험, 잠재적인 위험에 대해서도 배웠습니다. 심리학을 배운 것 덕분에 현장 경험과 더불어 소셜 엔지니어링 공격과 같은 인간 중심의 공격 혹은 심리적인 공격에 대해서도 더 확고히 알 수 있었고요. 즉, 사건 사고나 각종 공격의 유형에 있어서 인간의 역할과 특성을 이해하는 데 큰 도움이 된 것입니다.”

8. 팀을 훈련시키고 성장시킨 것
보안 업체 터븀 랩스(Terbium Labs)의 부회장인 에밀리 윌슨(Emily Wilson)은 “팀을 만들고 훈련시키고 키운다는 건 세상에서 가장 고되고 짜증나며 사람 피 말리는 일이지만, 가장 보람찬 일이기도 하다”고 말한다. “팀은 새로운 사람들로 가득하고, 그 사람들은 예상치 못한 질문들을 합니다. 생각지도 못한 부분을 건드리는 것이죠. 인솔자로서는 강제적으로 프로세스와 지식의 모든 부분을 살피고 구석구석을 봐야할 수밖에 없게 됩니다.”

그래서 윌슨은 “새로운 사람이 합류할 때마다 조직 전체가 새로워질 수밖에 없다”고 말한다. “이 점을 잘 활용하면 조직을 건강하게 운영할 수 있게 됩니다. 뭔가 다 됐다, 이 정도면 완벽히 익혔다, 라고 생각되는 시점에 팀을 순환시키거나 새로운 사람을 영입하면서 그 생각을 뒤흔들 수 있거든요. 팀 리더들에게 가장 긴장되는 운영 방식이죠. 하지만 그렇기에 안주하지 않을 수 있게 됩니다.”

9. 오픈소스 프로젝트에 참여한 것
보안 업체 제로폭스(ZeroFox)의 수석 위협 분석가인 브라이언 웨어하임(Brian Warehime)은 “새로운 기술과 지식을 익히는 건 중요한 일로 강조되는데, 그만큼 그 새 지식과 기술을 공유하는 것도 중요하다는 건 간과되는 것 같다”고 지적한다. “오픈소스 커뮤니티에 참여해서 사람들이 필요로 하는 걸 파악하고, 그걸 충족시켜보는 경험은 제게 있어 가장 소중한 기억입니다. 남을 돕거나 공익을 추구했다는 면에서만이 아니라, 그 기술을 스스로 습득하는 데 있어 엄청난 효과를 봤기 때문입니다.”

웨어하임은 파이선을 처음 배웠을 때 오픈소스 커뮤니티로 가서 실제 사람들이 사용할 만한 작업물을 만드는 프로젝트에 착수했다고 한다. “가상의 작업물을 만드는 것과 실제로 사용될 뭔가를 만드는 것에는 차이가 있어요. 스스로 엄한 평가의 도마 위에 올라서겠다고 자처하는 것이니까요. 그래서 저는 지금도 뭔가를 새롭게 배울 때나 팀원을 훈련시킬 때 오픈소스 프로젝트를 시작합니다. 기술 그 자체와 큰 그림을 볼 수 있게 해주는 기회는 좀처럼 없거든요.”

10. 재앙일 뻔한 현장에 있어봤던 것
PAS 글로벌(PAS Global)의 창립자이자 CEO인 에디 하비비(Eddie Habibi)는 OT 컨설턴트로 근무하던 시절 휴스턴 쉽 채널(Houston Ship Channel)의 통제실에서 유동 접촉 분해(FCC) 유닛에 탑재된 하니웰 TDC3000의 설계와 구축을 담당했었다. 당시의 유동 접촉 분해 유닛이 처리할 수 있는 양은 하루 10만 배럴 정도였다.

그런데 어느 날 유동 접촉 분해에서 역류가 발생하고 있다는 경고 메시지가 떴다. 통제실은 발칵 뒤집혔다. 다행히 당시 운영자들이 시스템을 정상적으로 복구시켜서 재앙과 같은 사태는 막았지만 왜 그런 일이 일어났는지 조사를 시작해야 했다. “어이없게도 작은 오타 하나 때문에 그런 일이 발생한 것이더군요. 누군가 9.7%라는 수치 대신 97%라고 입력한 거였어요. 때문에 밸브가 크게 열리며 역류가 일어난 것이었죠.”

어디에서나 일어날 수 있고, 누구나 저지를 수 있는 실수였다. 하지만 그냥 ‘실수'로 넘기기에는 작은 사건이 아니었다. “자칫했다가는 거대한 시스템이 통째로 망가지고, 심지어 공장 시설이 폭발할 수도 있었습니다. 점 하나 찍지 않은 것 때문에, 재산은 물론 인명까지 위험해질 수 있었던 겁니다. 그 때 그 현장에서 저는 손이 덜덜 떨렸습니다. 누구나 할 수 있는 실수라지만, 그 실수라는 것 때문에 감당할 수 없는 일이 일어나기도 한다는 걸 무섭게 배운 것이죠. OT 사이버 보안 전문가로서 그 때 느꼈던 충격과 긴장의 끈을 놓치지 않으려 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)