어렸을 때 ‘동네 맥가이버’, 그 기억 떠올리게 해준 정보보안

소통이 제일 중요해 오로지 소통 위해 MBA를 따기도

[보안뉴스 문가용] 어렸을 때, 가지고 놀던 장난감이 부서졌다면 지금은 보스턴 대학에서 정보보안 최고책임자로 근무하고 있는 퀸 쉠블린(Quinn Shamblin) 같은 친구가 필요했을 것이다. 왜, 늘 동네에 한 명쯤은 있지 않은가? 손으로 조물락 조물락 뭐든 잘 고치고 만지고 개조하던 녀석들. 맥가이버처럼 뚝딱뚝딱 무엇이든 만들 수 있어 딱히 장난감이 필요 없던. “정보보안은 예전 아이였을 때 드라이버를 쥐던 때를 떠올리게 하던 분야였습니다.”

그렇다고 처음부터 정보보안으로 성년기를 맞이한 건 아니다. 물리를 전공했으며 학교를 졸업하고서는 해군대학에서 원자력을 가르쳤던 것이다. 그러나 이렇게 군과 연을 맺은 것이 정보보안으로 이어질지는 아무도 몰랐다. 군 기관에 있으면서 수많은 비밀 정보를 다루다보니 자연스럽게 정보보안에 대한 관심이 커진 것이다.

옛 드라이버가 떠올라서였을까, 쉠블린은 곧바로 정보보안 쪽으로 인생의 흐름을 바꿨다. P&G라는 다양한 종류의 물건을 제조하고 판매하는 대형 기업에 입사했다. 거기서는 지적재산이나 영업 비밀을 잘 숨겨두는 것만 아니라 필요한 사람들이 정보를 잘 구할 수 있도록 하는 것도 중요했다. 그래서 99.9997%는 ‘가동 중’인 상태여야 했다. “10분 늦는 게 20만불의 손해를 끼쳤습니다.”

정보 운용에 대한 경험도 경험이지만 가장 중요한 건 그의 평생 멘토가 될 사람을 P&G에서 만났다는 것이다. “누구나 자신을 믿어 줄 사람이 필요합니다. 내가 애써 한 일을 보고 ‘잘 했네. 이건 대단해’라고 말해줄 사람이, 건전한 비평을 해줄 사람만큼 중요하다는 것이죠.” 쉠블린에게는 그런 사람이 있었다. 군에서 범죄 수사를 전담했던 케빈 맥로플린(Kevin McLaughlin)이다. 같은 군 출신이라서 그런지, 둘의 생각은 많은 부분에서 겹쳤다.

둘은 죽이 잘 맞았을 뿐 아니라 프로로서도 좋은 콤비였다. 맥로플린이 P&G를 떠나 신시내티 대학에서 정보보안 학부를 신설하고서 쉠블린에게 러브콜을 준 건 당연한 수순이었다. 게다가 2010년 보스턴 대학에서 정보보안 최고책임자 자리를 제안을 받았으나 거절하고 쉠블린을 추천해준 것도 맥로플린이었다.

이제는 쉠블린이 다른 사람의 멘토 역할을 하고 있다. 그래서 자신의 팀원으로는 경력과 실력이 있는 사람보다는 가능성이 있는 사람을 뽑아 훈련시키는 데에 힘을 쏟는다. “이미 잘 하는 사람이 계속 똑같이 잘 하는 것보다, 점점 더 잘 하고 익숙해지는 게 더 보기 좋더라고요. 그리고 그렇게 실력을 키워 어디론가 필요한 곳으로 파견 보내듯 하면 굉장히 뿌듯합니다.” 쉠블린은 자기가 운영하는 팀이 온상이길 바라지 종착지이길 바라지 않는다고 한다. 그리고 그게 산업 전체를 키우는 데에 자기가 할 수 있는 몫이라고 믿고 있다.

어쩐지 지금 기업들은 CISO를 외부에서부터 ‘모셔오기’ 하는 추세인데, 쉠블린은 이 현상을 이해할 수가 없다. 보스턴 대학에 CISO가 생긴다면(현재 쉠블린의 공식 직책명은 Executive Director and Information Security Officer지, CISO가 아니다. 둘은 한국어로 번역하면 사실 뜻이 비슷해지긴 한다_편집자) 쉠블린 자신이 직접 훈련시킨 사람을 추천하는 게 그의 바람이다.

CISO라는 직업에 대해서 그가 가장 강조하는 것은 ‘기술’이 아니다. 오히려 사업 감각과 소통의 기술이다. “리스크를 사업 전체의 진행방향에서 파악하고 판단할 수 있는 능력이 중요하지 그것의 기술적인 해석이나 이해는 두 번째 문제입니다. 내가 하는 행동이 사업에 어떤 영향을 줄지 알아야 한다는 것이죠.”

그러므로 쉠블린은 CISO가 CFO와 대동소이한 태도로 업무에 임할 필요가 있다고 한다. 사업 방향과 특성을 이해하고, 그것에 비추어 내 행동과 리스크를 판단할 수 있다는 건 결국 돈 문제와 꼭 맞닿기 때문이다. 회사의 자금 운영에 대한 이해는 사업을 이해하는 데에 필수 요소다. 어느 조직에서나 말이다. 그래서 그는 신시내티 대학에서 근무하던 시절 MBA를 취득하기도 했다. 순전히 정보보안을 잘 하기 위해서였다. “그 학위가 있어서 CFO들이 하는 말을 이해할 수 있게 되었죠. 그들도 제 말을 이해하기 시작했고요.”

결국 CISO에게 제일 필요한 기술 딱 하나만 꼽으라면 쉠블린은 주저 없이 ‘소통 기술’을 말한다. 말로 하는 소통과 서면으로 하는 소통 모두를 포함한다. 이는 그냥 평상시 사람들과의 대화로서 익혀지는 것 이상의 수준으로 쉠블린은 정식 교육을 받으라고 권한다. “말하는 법, 글 쓰는 법을 따로 가르쳐주는 곳들이 있습니다. 현장에 나와 보면 알 겁니다. 같은 내용이라도 잘 쓴 메일과 못 쓴 메일이 주는 인상이 얼마나 다른지를요. 소통은 ‘잘’ 해야 하는 겁니다. 내 말만 전달한다고 해서 그게 다 소통은 아니죠.”

* 보안뉴스에서는 매주 수요일 저녁 해외의 현직 CISO에 대한 이야기를 실으려고 합니다. 다음 주에는 음성인식 기술회사인 뉘앙스 커뮤니케이션즈(Nuance Communications)의 제닝스 아스크(Jennings Aske)를 만나보겠습니다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>