항공사의 이상적 보안 프로그램을 제시하는 전문가 ‘안드레 골드’

콘티넨탈 항공사의 안드레 골드는 기술과 비즈니스 지식을 일류 보안 프로그램에 융합시킨다. 그는 인터넷 서비스 기술이사로 6년간 근무하며 전자상거래 인프라를 개발, 관리했다. 이 인프라는 작년 그 회사의 매출을 16억불 증가시켰다.

그리고 마지막 4년간은 수석 정보보안 관리자로 근무했다. 한편, 그는 기술적이 뛰어난 관리자로서만이 아니라 업체와의 비즈니스 측면에서도 발군의 기량을 발휘했다.

미래 항공기를 비행 IP 네트워크로 전환하는 일과 관련된 위험은 항공사 정보보안 관리자를 떨게 만든다. 그러나 안드레 골드씨에게는 해당 사항이 없다. 그 콘티넨탈 항공사 정보보안 이사는 이런 일에 부딪히는 것을 해볼만한 일로 생각한다.

골드는 콘티넨탈 항공사에서 일하는 동안 불가능해 보이는 많은 일들을 처리했다. 골드는 10년 동안 근무하면서 두 분야에서 일을 했다. 그는 인터넷 서비스 기술이사로 6년간 근무하며 전자상거래 인프라를 개발, 관리했다. 이 인프라는 작년 그 회사의 매출을 16억불 증가시켰다. 그리고 마지막 4년간은 수석 정보보안 관리자로 근무했다.

277개국에 엔드 포인트를 두고 있는 네트워크의 보안을 담당하기 위해 골드는 개인 비행계획을 철저히 세우고, 취약성평가와 관리에서부터 역할기반 권한설정(Provisioning) 그리고 최근에는 네트워크 액세스 제어까지 모든 것을 다룰 수 있게끔 되었다.

또한, 관리자들이 관련 비즈니스 능력을 가져야 한다는 정보보안 산업의 트렌드에서 리더의 자리를 지키기 위해 골드는 콜로라도 주립대학교에서 MBA 파트타임코스를 밟고 있다. 

“그건 기술에 대한 것만은 아닙니다. 정보보안책임자(CISO)는 단지 방화벽과 IPS 등 기술에만 얽매이는 것이 아니라, 이제는 직접 실행한 보안 프로그램으로 위험을 어떻게 완화시키느냐, 주주가치(Shareholder value)를 어떻게 향상시키느냐가 관건입니다.” 라고 조언한다.

그래서 골드는 최근 무선 광대역 연결성 서비스를 실시하고, 지상 및 탑승석 커뮤니케이션과 차세대 항공기와 데이터 공유(Data Sharing)을 보장하는 모험을 감행했다.

골드는 미래 여객기에 사용될 보안 프로토콜을 입안하는 산업위원회인 데이터 링크 보안 소위원회에서 콘티넨탈 항공사의 대표다.

다른 항공사들, 공군과 보잉, 하니웰, 에어버스, 로크웰의 대표들과 함께, 산업위원회는 Wi-Fi(와이파이) 연결성뿐 아니라 항공기가 각각의 항공모함 네트워크, 하역 메시지, 게이트 정보 같은 업로드 데이터와 어떻게 연결될 수 있는지를 정하는 프로토콜과 표준을 제정한다.

“이 일에는 보안적인 측면과 사업적인 측면이 있고, 대개는 사업적인 측면이 주체가 됩니다.’라고 골드는 말한다. “보안의 세 가지 측면인 기밀유지와 통합성, 가용성(Availability)을 유지하기 위해, 우리가 이 시스템을 운영하는 보안을 관리하지 못할 것이란 걸 알아야 합니다. 그 보안은 파일럿이나 승무원, 그리고 다른 승객들의 몫이 될 것입니다. 직접 보안을 관리하는 것도 중요하지만 이 사람들이 이 시스템을 운영하도록 어떻게 권한을 위임하느냐도 중요합니다.”

한편, 그는 기술적 측면이 뛰어난 관리자일 뿐  아니라 업체와의 비즈니스 측면에서도 발군의 기량을 발휘했다.

“나는 가치 있는 보안 IP에 대해 알고 싶어 하거나, 그것을 시작하고자 하는 기술자들과 일하는 것을 좋아합니다. 그 곳에 혁신적인 기술이 결여되고 있으면 바로 나의 책임입니다,”라고 골드는 말한다. “마케팅을 시작하고 기술을 개발하는 일을 좋아하고 거기에 실행 가능한 대안이 있다고 확신합니다.”

한 예로, 컨센트리 네트웍스(ConSentry Networks)는 네트워크 액세스 제어 기술에 대한 골드의 통찰로부터 이익을 보았다. “골드는 신기술을 항상 빠르게 이해하고 활용할 수 있었습니다. 그는 잠시 전문용어나 말하는 사람이 아닙니다. 그는 새로운 업체와 기술적 상세 사항에 대한 논의에 빠르게 착수해 그 제품이 가치가 있는지를 확인합니다.”라고 컨센트리 네트웍스의 영업 부회장인 딘 히크만 스미스(Dean Hickman-Smith)씨가 말한다. “개인적으로 그 사람은 네트워크 맥락에서 아이덴티티의 진가를 가장 잘 이해하는 사람이라고 생각됩니다. 그 사람은 비트와 바이트의 개념에서보다 비즈니스적 개념에서 업무를 처리합니다.”

골드는 돈 많은 테러 표적으로 찍힌 산업계에서 성공을 거두고 있다. 콘티넨탈은 대서양 상에서 영국발 미국행 여객기를 폭발시키려다 실패했던 8월 테러의 표적으로 예상된 항공사들 가운데 하나였다.

콘티넨탈의 사고대응대책이 9.11 이후 지시되고 미조정된 전항공로에 걸친 효율적이고 효과적인 대책이었다고 말한다. 그러나 골드는 회사가 매일 인터넷 기반의 직·간접적 위협에 당면하고 있음을 알고 있다.

항공사의 전자상거래 시스템은 다른 항공사, 호텔, 자동차 렌트 업소와 연결되어 있어 다른 장소에서 발생한 공격들이 항공사의 네트워크까지 침입할 수가 있다.

“사이버적인 견지에서 볼 때, 공격은 한 장소에서만 발생하지 않습니다. 콘티넨탈이 표적이 아닐 수 있지만 계열회사들이 공격을 당하면 콘티넨탈도 표적이 될 수 있습니다,”라고 말한다. “그래서 그런 공격이 겁나는 것입니다.”

전체 배치(Geography)가 콘티넨탈의 네트워크와 정책, 집행의 보안에 또 다른 힘겨운 일이 된다. 277개국에서 보안 정책을 실행하기 위해, 골드와 그의 팀은 국제 규정에 대한 깐깐하게 인지하고 있어야만 한다. 콘티넨탈이 여러 나라에서 서비스 제공(Service Delivery)을 아웃소싱한 이래, 이 지역들에서 종업원들의 자각 결여가 책임 유출(Liability Exposure) 문제를 일으킬 수 있었다.

 “저는 지금 당장 위협 프로파일의 증가, PCI(신용카드산업)로 인해 고압적이 된 입법적 환경, 연료가격 인상, 사용할 수 있는 예산의 긴축 같은 문제들보다 더 어려운 문제를 생각할 수 없습니다. 이 모든 것들이 골드씨를 상당히 힘들게 하고 있습니다.”라고 컨센트리 네트웍스의 히크만 스미스 부회장이 말한다 “안드레는 아주 성격이 좋은 사람이라 사람들이 그 사람을 위해 업무를 끝까지 완수하고자 합니다. 안드레는 업체를 상대하는 일에도 아주 뛰어나 업체들을 최대한 활용합니다.”

“나는 안드레를 머지 않은 장래에 정보담당 최고책임자 (CIO), 기술담당 최고책임자 (CTO)가 될 사람으로 봅니다.”

Etcetera

◆당신의 멘토는 누구인가? 무엇보다도 우선, 나에게는 나의 아버지가 첫 번째 멘토였다. 그리고 W.T.골드, 직업적으로는 컨티넨탈의 기술 담당 최고 책임자(CTO)인 마이클 나탈레(Michael Natale)가 나의 멘토이다.

◆내가 일을 하지 않을 때 나는 열광적인 스포츠팬이다. 나는 축구와 야구를 보는 것도 좋아하고, 하는 것도 좋아한다.

◆내가 처음 정보 보안에 손을 댄 것은... 고등학교 1학년 때였다. 나는 컴퓨터 과목을 수강하고 있었고, 그 때 누군가가 한 컴퓨터에서 다른 컴퓨터로 시스템 메시지를 전송할 수 있다고 말했지만 어떻게 하는지 몰랐던 것이 생각난다.

<글: 마이클 미모소(MICHAEL S. MIMOSO)>

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>