그때 그때 생기는 관심 분야를 솔직하고 충실하게 쫓아

4년제 대학 학위 없는 CISO, “공부는 끝이 없어”

[보안뉴스 문가용] “솔직히 저는 컴퓨터광이라고 봐도 될 만큼의 특징을 다 가지고 있다고 봅니다.” 다냐 인터네셔널(Danya International)의 CISO인 마크 포터(Mark Potter)는 스스로가 내향적이라는 걸 이런 식으로 표현한다. “던전 앤 드래곤, 만화책, 비디오 게임에 완전히 빠져 지냈으니 미국 문화에서 아주 전형적인 컴퓨터광과 다름없죠.” 그럼에도 아직 어린 마크 포터와 IT는 전혀 접점이 없었다.

그렇게 고등학교를 졸업했다. 그런 후 마크 포터는 캐나다 예비군으로 들어갔다. 거기서 보안 요원 겸 초보 기술공으로 일했다. 또한 창고 정리도 그의 담당이었다. 하루는 창고에서 책을 한 권 발견했는데 마침 그날의 일과도 다 마친 상태라 별 생각 없이 읽기 시작했다. 그런데 직속상관이 그런 그를 발견하고는 ‘책 읽지 마’라고 명령했다. 순간 포터는 ‘이 길이 나의 길이 아니구나’라는 걸 깨달았다.

아버지와 상담을 했다. 두 가지 선택권이 주어졌다. 하나는 4년제 대학에 들어가 공부하는 것이고 하나는 1년짜리 인텐시브 프로그래밍 코스를 마쳐 자격증을 따는 것이었다. 후자는 하루에 12시간 이상, 일주일에 6일을 공부에 투자해야 하는 것이었다. 게다가 그렇게 한다고 해도 자격증을 따는 건 결국 50%밖에 되지 않았다.

“아무리 그래도 4년이나 공부할 자신이 없었습니다.” 그래서 그는 후자를 택했다. 그리고 보안 전문가인 미크 카바이(Mich Kabay) 밑에서 공부를 시작했다. 그는 클리프 스톨(Cliff Stoll)의 <뻐꾸기의 알(Cuckoo┖s Egg)>이라는 책을 추천했고, 마크 포터는 그 책을 읽었던 수많은 독자들이 그랬던 것처럼 정보보안 분야로 빠르게 빨려들어갔다.

“좋은 놈들과 나쁜 놈들 사이의 수 싸움이 마치 장기 경기처럼 진행되는 게 정말로 재미있었습니다. 거기서 지금 저의 씨가 심겨진 것이죠.” 그러나 열매가 맺히기 시작한 건 수년이 지난 후였다. 마크 포터는 IT 분야의 다양한 직무를 수행하며 경험을 쌓아갔다. 프로그래머도 되었다가, 분석가도 되었다가, 소프트웨어 엔지니어도 되어봤다. 그러다가 데이터 웨어하우스와 차원 모형(dimensional modeling)이란 것에 흥미가 생겼다. “한 사건을 여러 가지 주변 상황 정보에 비추어 해석하는 게 마치 던전 앤 드래곤을 하는 것 같았습니다.”

그러더니 지식 관리라는 분야에 폭 빠졌다. 얼마나 빠졌는지 몬트리올에서 워싱턴까지, 기차로 14시간을 달려 지식 관리 컨퍼런스에 참여하는 것도 마다하지 않았다. 그리고 그 보상은 남달랐다. 지금의 아내를 그 기차에서 만난 것이다. 그리고 몬트리올로 돌아왔을 때 지식관리컨소시엄(Knowledge Management Consortium)이라는 걸 시작할 수 있었다.

당시 많은 사람들이 그랬듯 닷컴 회사에 들어갔다. 이번에는 데이터 아키텍트였다. 그리고 당시 많은 사람들이 그랬듯 닷컴의 거품이 꺼지면서 직장을 잃었다.

새로 찾은 직업은 데이터 모델링이었다. 150년의 역사를 자랑하는 안정된 기업이었다. 당시 그에겐 이보다 더 좋은 직장이 있을 수가 없었다. 빠르게 승급을 했고 곧 수석 데이터 아키텍트가 되었다. 그러다가 사베인-오슬리법이 통과되면서 정보보안 분야가 하루아침에 새롭게 바뀌었다.

“그런 변화의 한 중간에서 어느 날 CISO가 저한테 정보보안 부서에서 일해볼 마음이 있냐고 물으셨습니다. 애플리케이션과 데이터베이스를 모두 이해하고 있으니 일하기 괜찮을 거라고 하셨죠. 거절할 이유가 없었고, 지금 생각해도 좋은 선택이었던 것 같습니다.”

물 만난 물고기였다. 승승장구하더니 위성 라디오를 다루는 기업에서 정보보안 책임자가 되었다. 하지만 회사가 금방 파산하고 말았다. 그래서 이전에 알던 동료들과 고객들을 만나 도움을 청했다. 우연히 한 사람이 마침 CISO를 물색하고 있는 중이었다. 그렇게 포터는 4년제 대학 학위도 없이 CISO가 되어버렸다.

그가 정보보안 분야에서 자격증 비슷한 걸 딴 건 올해가 처음이다. 그리고 올 한 해에만 CISSP, CISM, CISA를 전부 취득했다. “자격증을 위해서 딴 건 아닙니다. 물론 자격증이 있으면 취직이 도움이 되는 건 맞지만, 당시 제가 취업이 절실했던 상황도 아니었고요. 학습 그 자체를 위해 공부할 수 있었던 여건이었고, 실제로 그렇게 했습니다.” 그에게 있어 공부란 끊임없이 반복되는 일이었고, 재미도 있었다.

현장에서 자라고 배우면서 그는 여러 전문 지식 뿐 아니라 상사 및 고객들과 소통하는 법도 배울 수 있었다고 한다. “사람들에게 정보를 알려줄 수 있는 공식 같은 게 있더라고요. 그게 뭐냐면, 딱 세 가지로 요점을 정리하는 것입니다. 더도 덜도 말고 세 가지로요.” 또한 그는 자신의 내향적인 성격을 극복하는 법도 깨우쳤다고 한다. 적극적인 성격이 되었다는 게 아니라 필요할 때 적극성을 띌 줄 알게 되었다는 것이다. “태도를 변화시킬 수 있으니 대화가 통하는 상대가 늘어나더군요.”

CISO가 되지 않았다면 포터는 지금쯤 뭘 하고 있었을까? “아마 문화 인류학자가 되어있지 않았을까 합니다. 사람들이 학습을 하는 과정과 공동체의 조직적인 역동성이 굉장히 흥미롭거든요.” 자기가 재미있어 하는 분야를 그때그때 충실히 따른 사람과 잘 어울리는 대답이다. 이는 또한 CISO가 되기를 꿈꾸는 후배들에게 해주는 말이기도 하다. “관심 분야가 생기면 그 방향으로 걸어가세요. 끝까지 즐겨서 그 분야의 전문가가 될 때까지 말입니다.”

“결국 그게 열정을 계속 유지할 수 있었던 저만의 방법이었던 것도 같습니다. 정보보안의 수장이니 정보와 친숙해야 하고, 정보와 친숙하려면 끝없이 공부하는 수밖에 없습니다. 그걸 즐길 줄 아는 게 CISO의 가장 큰 자질 아닐까요?”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>