인문계 졸업생의 엉뚱한 첫 직장, 코볼 프로그래머

사업채 운영하다가 문 닫아보기도... 사람 기술이 고급 기술

[보안뉴스 문가용] RSA라고 하면 세계에서 알아주는 암호화 기술 공급업체다. 이런 곳에서 CISO를 맡을 정도의 인물이라면 유치원 때부터 코드 브레이킹을 하지 않았을까. 그럴 수도 있지만 이번에 새로운 CISO가 된 자넷 리브스크(Janet Levesque)는 그렇지 않았다. 그의 인생에 ‘암호’라는 게 개입한 건 유치원 때를 한참 지나서였다.

“이 길을 오래전부터 꿈꾸고 계획해온 건 아닙니다. 정말 우연찮게 들어선 길이었죠. 걷다보니 속도가 붙고 열정이 생겨 여기까지 저도 모르게 오게 된 것입니다.” CISO가 되기까지, 그의 표현대로라면 계획된 길을 걷다가 우연찮게 이 길로 접어들기까지, 소매를 걷어붙이고 밤을 새가며 공부하고 일하고 뛰었던 적이 있다. 하지만 기술력을 익히기 위한 것은 아니었다. 오히려 핵심을 찌르는 질문이 무엇인지, 올바른 관계를 쌓아가는 법을 익히는 게 그의 주된 분야였다.

그렇다면 이 보안에 관한한 최첨단 기술을 달리고 있는 회사에서 CISO를 맡게 된 자넷은 뭘 전공했을까? 버몬트대학에서 인문대를 나왔다. 그런데 대학 졸업 후 제일 먼저 한 일은 코볼 프로그래밍이었다. 그나마도 현장에서 배우기 시작했을 정도로 사전 지식이 없는, 엉뚱한 직업이었다. 그리고 그 다음은? 보험회사였다. 보험회사에서 전자정보처리 업무를 맡았다. 시스템이 어떤 식으로 작동하는지, 사람들을 만나 묻고 자세하게 인터뷰를 했다. 그 경험이 바탕이 되어 IT 위험 관리 분야로 진출 할 수 있었다.

“많은 사람들이 당시 그랬던 것처럼 저 역시 닷컴 열풍에 뛰어들어보고 싶어졌습니다.” 그래서 식료품 배달 서비스를 온라인으로 해주는 사업을 시작했다. 자신이 알고 있던 기술력을 총동원했지만 지금에 와서 보면 사업과는 별 상관이 없는 행동이었다. 그래서 당시의 많은 닷컴 회사들처럼 단 1년 만에 1억 달러를 공중에 날려버렸다. “사무실 불을 다 끄고 셔터를 내려야만 했던 경험이었습니다. 아마 제일 큰 도움이 되는 경험이 아니었을까 합니다.”

정말로 이 아픈 경험은 - 그리고 사업을 경영하면서 진지한 노력을 해봤던 경험까지 - 신용카드 관리 서비스 업체에서 빛을 발하기 시작했다. 거기서 자넷은 보안 프로그램을 백지서부터 만들어내고 운영하는 임무를 감당했다. 데이터센터에 잠금쇠조차 없는 상태였다. “그런데 냉장고에는 술병이 가득한 회사였습니다.”

그런 회사에 있다 보니 RSA의 보안 수준은 당연히 훨씬 높았다. 그럼에도 CISO라는 직책 자체는 RSA로서도 굉장히 새로운 것이었다. 2011년에서야 첫 CISO 사무실과 책상이 마련되었을 정도로 말이다. 게다가 이는 회사의 지적 재산이 다량으로 유출된 후, 즉 소 잃고 외양관 고치는 식의 조치였다.

리브스크는 자신이 채용된 이유로 ‘사람 관계 쌓는 스킬이 좋아서’를 첫 손에 꼽았다. 관계에 대한 장점이 있다는 건 RSA가 호스팅 사업을 늘려가는 타이밍에 꼭 필요한 재능 혹은 기술이었단다. 게다가 IT 기능이나 프로젝트를 대부분 아웃소싱으로 처리하는 RSA 입장에서는 외부 업자들과 보안 문제를 원활하게 소통할 수 있는 그런 사람이 필요했다는 것이다.

RSA에 오기 전 자넷은 한 가지 결심을 한 게 있는데 CIO를 직속상관으로 절대 모시지 않겠다는 것이었다. 이전 회사에서 IT 보안 책임자로 있었을 때 CIO를 상관으로 두었던 경험 때문이다. 참고로 그 CIO는 CFO를 상관으로 두고 있었다. “IT 부서에서 보안을 담당하는 건 정말 힘든 일이었습니다. 모든 재무 관련 권한을 IT 부서에서 쥐고 있으니 그들의 요구 사항에 따라 위험 관리를 해야 했거든요.”

리브스크의 명함은 다른 CISO에 비해 굉장히 깔끔하다. 자격증이나 이력의 목록이 짧기 때문이다. 그 흔한 CISSP 자격증조차 없다. 따려고 시도한 적도 없다고 한다. 이러한 자격증에 대한 그의 생각은 두 가지로 나뉜다. “자격증이 있다는 건 적어도 기본바탕은 되어 있다는 이야기입니다. 어떤 직무에 필요한 사람을 고를 때 후보자들을 1차로 걸러낼 수 있게 해주는 장치가 되는 것이죠. 하지만 자격증이 많은 사람일수록 혼자 책과 씨름하는 것에 더 익숙하지 과연 사람들과 소통하는 게 편할까, 하는 의문이 들기도 합니다.”

리브스크는 사람들과의 관계, 즉 네트워크를 강조하고 또 강조한다. RSA의 CISO가 될 수 있었던 것도 애초에 네트워크의 힘이었다. 이력서를 RSA에 넣고 아는 사람을 통해 인사담당자가 그 이력서를 그냥 버리는 게 아니라 꼭 한 번 읽어보도록 부탁한 것이다. 또한 육아 때문에 몇 년 가정에서 시간을 보낸 후 사회로 무리 없이 복귀할 수 있었던 것도 자넷이 기술에 뛰어나서가 아니라 관계에 능했기 때문이다. 그의 이런 장점을 알아본 회사에서 기술직이 아니라 컨설팅 업무를 맡겼던 것이다. 그리고 그는 컨설팅을 하며 가정에 있는 동안 잃었던 업무 감각과 지식을 자연스럽게 익힐 수 있었다고 한다.

CISO가 안 되었다면, 혹은 보안 업계에 들어서지 않았다면 어떻게 되었을까? “육아를 한 것에서부터 또 우연히 아동 관련 봉사활동으로 들어섰을 것 같습니다. 아니면 식료품점과 관련된 서비스를 해본 것을 바탕으로 식당을 운영하고 있거나요.”

하지만 일단 지금은 RSA에서의 새출발이 신나고 즐겁다. “정말 행복한 때를 지나고 있습니다. 새로운 기술, 새로운 서비스를 익히고 배우는 게 굉장히 신나는 경험입니다. 회사 동료들도 정말 좋고요. 드디어 보안에 대해 이해하고 있는 환경에서 일하게 된 것도 정말 행운이라고 생각합니다.”

* 보안뉴스에서는 매주 수요일 저녁 해외의 현직 CISO에 대한 이야기를 실으려고 합니다. 다음 주에는 보스턴대학의 퀸 쉠블린 CISO를 만날 예정이니 많은 관심 부탁드립니다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>