Home > 전체기사
[글로벌 인터뷰] NSA에서 포티넷의 CISO로, 필 쿼드
  |  입력 : 2017-04-17 16:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 범죄 시장은 현재 3천조 원 규모...범죄 방지보다는 대응이 중요
전략적 사고방식과 소통이 CISO의 기본 자질...보안 담당자 잔소리가 진리


[보안뉴스 문가용 기자] 올해 초 보안 업체 포티넷(Fortinet)에 새로운 인물이 CISO로 임명되었다. 필 쿼드(Phil Quade), 前 NSA COO다. NSA라고 하면 물을 게 정말 많지 않던가. 그래서 인터뷰를 진행했지만, 스노든처럼 가장 흥미로운 내용은 쏙 빼놓더라. 그럼에도 CISO로서의 역할과, 왜 잔소리가 보안의 궁극적인 해결책인지, 왜 정말 중요한 정보는 컴퓨터나 인터넷에 저장하면 안 되는지 자근자근 설명해주었다.

▲ 임자, 지나고 보니 당신 잔소리가 보약이었네요. 근데 맛은 여전히 써...


보안뉴스 : 워밍업 질문으로 자기소개를 먼저 부탁해본다. 보안 전문가로서 특히 어떤 분야에 강점을 가지고 있는가?
필 쿼드 : 정보 운영 기술 센터(Information Operations Technology Center)의 ATG(Advanced Technology Group)에서 책임자로 근무했고, 포티넷으로 오기 직전까지는 미국 NSA의 국장 직속으로 근무했으며, 백악관과의 협업도 담당한 바 있다. NSA에서 진행되는 다양한 사이버 전략을 운영했고, 미국 내에서 가장 민감한 정부 시스템을 보호하는 NSA 정보 보증 연구그룹의 COO로서 근무하기도 했었다.

보안 위협이라는 것은 다양한 형태로 존재하며, 마찬가지로 다양한 방법으로 다가오기 때문에 상황에 따라 대처하는 능력이 매우 중요하다. 내 강점은 사고가 터지거나 위협을 발견했을 때 전략을 짜고, 계획을 세워, 여러 가지 인재와 솔루션을 활용해 운영해 나가는 것에 있다. 지난 30년 동안 국내외 다양한 산업체와 기관, 사회 기반 시설에서 방어 및 첩보 활동을 수행해왔다. 기술적으로는 컴퓨터 보안, 네트워크 보안, 암호 기술, 수출 정책 전문가 기술을 축적해왔다. 포티넷에서는 이러한 장점을 살려 복잡한 보안 전략 솔루션에 녹여낼 수 있을 것으로 기대하고 있다.

보안뉴스 : 아무래도 NSA에서의 경험담이 궁금하긴 하다. 그곳에서 근무하면서 어떤 경험을 쌓았으며, 어떤 전문성을 키울 수 있었는가? 시민으로서든 전문가로서든 말이다.
필 쿼드 : NSA에서 여러 가지 역할을 담당했다. 매일 매일 수행해야 하는 업무를 관장하기도 했는데, 이는 전략 수립과 수행, 계획과 통합, 사이버 보안 커뮤니티와의 관계 유지 등을 포함한다. 그런데 이런 일을 하려면 최신 기술 동향도 파악하고 있어야 하고, 위협 첩보와 리스크 관리도 해야 한다. 파트너십 유지 역시 전략 설정에 매우 중요한 요소다. 이런 복잡한 일을 하는 목표는 전 세계적인 정보와 자산을 보호하는 것이다.

※ NSA하면 생각나는 스노든과 관련된 질문도 몇 가지 했으나 필 쿼드 CISO는 답을 정중히 사양했다.

보안뉴스 : 국가 기관에서 일을 하면서 많은 민간 업체를 만나봤을 텐데, 하필이면 포티넷으로 다음 행선지를 결정한 이유는 무엇인가?
필 쿼드 : 포티넷 보안 패브릭(Fortinet Security Fabric)이라는 아키텍처 때문이다. 이는 보안의 여러 요소들을 부드럽고 효율적으로 통합해 미지의 위협에도 대응할 수 있도록 하자는 취지의 접근법으로, 오늘날의 디지털 환경에 서식하는 보안 위협들에 대처하기 위해 꼭 필요한 것이라고 생각했다. 그런 통합적인 접근만이 종단간 보안, 확장과 축소가 용이한 ‘지능적인’ 보안 기능을 제공할 것으로 보고 있다. 한 마디로 포티넷의 비전과 내 개인의 그것이 맞아 떨어진 것이라고 정리할 수 있다.

보안뉴스 : CISO의 역할이란 게 참 복잡하다. 아무리 보안을 강조해도 멤버 중 하나가 실수하면 공든 탑이 무너진다. 게다가 기술도 잘 알고, 법도 잘 알고, 사업 경영도 잘 알고, 사람 관리도 잘해야 하는 등 완벽해야만 할 수 있는 직업이 되어가고 있다.
필 쿼드 : 사이버 보안은 공유된 책임(shared responsibility)이다. 아무리 최고 비싼 솔루션을 설치해도 한 사람의 작은 무심함으로 회사 기밀이 새나가기도 하고, 정책이 아무리 엄해도 퇴사자가 앙심을 품는다면 표현 그대로 공동의 목표가 무너져 내리기도 한다. NSA에서 일하면서 절절이 느낀 건, 보안은 모든 책임자로부터 일반 시민 한 사람 한 사람에게까지 빠짐없이 향유되는 책임이라는 것이다.

NSA에서 근무할 때 개인적으로 아이들이 아빠 직업이 뭐냐고 물을 때 ‘나라를 안전하게 지키는 일’이라고 간단히 대답했었다. 포티넷이라는 민간 업체로 왔다고 해서 다를 게 없다고 생각한다. 회사의 지적재산, 민감한 개인정보 등 나라의 경제와 개인의 안정적인 생활을 유지하는 데에 필수적인 요소들이 가장 잘 보호받을 수 있도록 돕는 것이 나의 궁극적인 역할이다.

그렇게 하려는 CISO에게 필요한 건 전략적인 사고방식이다. 사이버 리스크와 위협, 취약점, 피해야 할 결과 등을 통합적으로 이해하고, 그것을 바탕으로 무엇을 정확히 실행해야 할지, 또한 어떤 부서의 누구에게 뭘 지시해야 할지를 빠르게 수립해야 한다. 개인적인 경험으로는 기술자와 관리자 사이에서 원활한 소통을 할 줄 아는 게 CISO의 가장 핵심적인 기술이다. 여기에 더해 최상의 고객 경험과 주주가치 제공의 의무도 CISO에게 포함되어 있다는 것도 잊지 말아야 한다.

완벽? 정말 CISO가 완벽해야 한다면 난 진작 실업자가 되었을 것이다. 그럼에도 자기 관리를 잘 할 줄 아는 사람이 더 적합하긴 하다. 닥치는 대로 일을 처리하는 사람보다, 전략적으로 차근차근 접근할 줄 아는 사람이 더 적성에 맞기도 할 것이다. 나름 이 분야에 경험이 있다 보니, ‘성공 방정식’이라는 게 없지 않은데, 1) 똑똑한 사람들을 주위에 두라, 2) 목표는 높게 세우되 구체적인 달성 방안이 있어야 한다, 3) 무슨 일이 있어도 목표했던 바는 이룬다, 4) 위험은 신중하게 처리한다, 이다.

보안뉴스 : 보안 산업의 꼭대기 층에서 꽤나 오래 머물러 있던 사람으로서, 현대 사이버 환경은 도대체 어떤 상태에 있다고 보는가? 정말 할렘에 가까운가? 주변 지인들에게 어떤 조언을 해주는 편인가?
필 쿼드 : 위험하다. 그 위험들은 취약점, 위협 요소, 최악의 결과 회피 전략 부족으로부터 나온다. 최근 포티넷에서 진행한 연구 결과를 공유하고자 한다. 전 세계 수천만 대의 보안 장비로부터 하루에 약 500억 건의 위협들을 분석한 결과로, 1조 건 이상의 보안 사고를 파헤친 것이라고 볼 수 있는 자료다.

그 많은 자료를 분석했을 때 제일 먼저 발견한 건 대부분의 보안 사고와 금전적인 손실이 ‘기회주의적’인 특성을 가지고 있다는 것이었다. 즉, 해커들 입장에서도 ‘우연한’ 성공이었던 것이다. 범죄 경로를 잘 알고 침투해 정확히 원하는 바를 할 수 있었던 해커 사례는 그리 많지 않았다. 무슨 뜻이냐면, 평상시 보안 정책과 장비 상태, 솔루션 및 네트워크 점검 등을 꾸준히 하는 게 가장 효과적인 방비책이라는 것이다. 외부로 노출된 표면은 최대한 줄이고, 시기적절한 패치로 시스템을 단단하게 만드는 것, 고급 탐지 및 대응 기능을 도입하고 가시성도 계속 확장시키는 것 등이 여기에 포함된다. 보안 담당자들이 늘 하는 잔소리, 그것이 진리라는 것이다.

사이버 범죄는 이미 한 가지 산업으로서 급성장 추세에 들어섰다. 영국의 세계적인 보험 업체인 로이드오브런던에 의하면 2015년 사이버 범죄 산업은 이미 400조 원 규모였으나, 2년 만에 3천조 원 이상으로 추정되는 실정이다. 사이버시큐리티 벤처스(Cybersecurity Ventures)에 의하면 사이버 범죄 시장은 2021년까지 6천조 원 이상으로 성장할 것이라고 한다. 골목 어디를 들어가도 범죄자들과 맞닥트릴 수 있다고 보면 된다.

이런 때 개인이나 회사나 스스로의 보안 상태를 점검하기 위해 물어야 할 질문은 “해킹 당할 것인가?”가 아니라 “해킹 당하는 게 예정된 수순이라면 난 오늘 어떤 일을 할 것인가?”이다. 아마 대답은 거의 모든 경우, “최악의 결과를 상정해 대처하고, 여러 기술을 활용해 그 상황을 최대한 피해간다”일 것이다. 이는 최근 보안의 가장 보편적인 대처 자세이기도 하다.

이런 상황에서 난 지인들에게 몇 가지만 주의하라고 일러준다. 잃으면 절대 안 되는 건 컴퓨터나 인터넷에 저장하지 말라고. 그뿐이다. 마치 우범 지역에 출입하려는 사람들에게 귀중품은 놓고 가라고 말해주는 것처럼.

CISO는 CIO 직속이어야 하는가, CEO 직속이어야 하는가?
필 쿼드 : 디지털 경제체제 하에서 CISO들은 일반 C급 임원들과 동급의 권한과 책임을 가져가야 한다. 그게 어렵다면 최소 CFO나 법무 자문위원(General Counsel)과 동급이어야 한다. CISO, CFO, 법무 자문위원 모두 각자의 영역 안에서 회사의 어떤 결정에 대해 ‘안 된다’고 말할 수 있어야 한다. 즉, CEO 바로 밑에서 결정 권한을 가지고 있어야만 한다는 것이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)