드롭박스의 CISO 패트릭 하임과의 인터뷰
비숍 폭스의 보안 컨설턴트 빈센트 리우와의 대담

[보안뉴스 문가용] 사이버 보안 분야에서 인재 부족만큼 리더십 고갈 문제가 심각하다. 올해 세일즈포스에서 드롭박스로 거처를 옮긴 패트릭 하임(Patrick Heim)을 비숍 폭스(Bishop Fox)의 보안 컨설턴트인 빈센트 리우(Vincent Liu)가 만났다. 기자 대 인터뷰이의 대화가 아닌 같은 분야 같은 업종의 전문가가 전문가를 직접 인터뷰한 것이며, 당분간 연재될 예정이다. 전체 내용은 여기서 열람이 가능하다(영문). 다음은 리더십 부분만을 발췌한 것.

빈센트 리우 : 현대 정보보안의 가장 큰 문제라고 한다면 ‘리더십의 부재’를 꼽겠다. 아직은 신생 분야에 가깝다보니 리더십을 키우는 방법조차 알려져 있지 않다. 현재 리더의 자리에 올라 있는 사람들에게 가장 필요한 건?

패트릭 하임 : 일단 여러 다양한 요소들이 정보보안에 들어가긴 하지만 기술적인 배경이 탄탄해야 하는 것만큼은 반드시 필요한 요소라고 본다. 실제 현장에서는 조금씩 기술에 더 훤한 젊은 세대들이 리더 자리를 차지하기 시작했다. 그런데 정보보안을 책임지고 있다면 임원진들과 자주 대화를 해야 한다. 윗사람들의 말을 들을 줄도 알고 설득할 줄도 알아야 한다. 그저 ‘내가 다 책임진다’, ‘안전하다’, ‘잘 돌아가고 있으니 안심하라’는 등의 말만 하는 건 통하지 않는다.

또한 정보보안의 업무가 가진 특징은 일이 끊임없이 돌아가며, 성공과 승리가 눈에 띄지 않는다는 것이다. 아무 일도 일어나지 않는 게 잘하는 것이기 때문이다. 반대로 무슨 일이 터지기 시작하면 온 이목이 보안 팀에게로 집중된다. 이런 상황에서 팀원들이 충분한 승리감을 맛볼 수 있도록 자축을 한다거나 독려를 하는 시스템을 마련해야 한다. 리스크나 공격 방식들도 진화하고 있는데, 우리도 근본적으로 변화를 꾀해야 한다.

리우 : 당신 정도 되는 사람은 사실 일할 곳을 정해서 가는 것도 가능하다. 드롭박스를 선택한 이유는 무엇인가? 보통 리더의 자리에 설 때 어떤 면을 눈여겨보는가?

하임 : 난 기업의 리더들이 실제로 조직 내에 미치는 영향력에 관심이 많다. 드롭박스를 방문했을 때도 역시 첫 눈에 문화와 사람들이 눈에 들어왔는데, 윗선에서 일을 바르게 처리하고 있다는 걸 느낄 수 있었다. 이유는 알 수 없었지만 본능처럼 그런 느낌이 딱 들어왔다. 근무를 실제로 해보니 알겠더라. 각 사람과 상황에서 그 어떤 타협 없이 최고를 이끌어내는 문화가 위에서부터 당연하게 정착되어 있더라.

리우 : 정보보안 분야에서 오랜 기간 일해왔다. 혹시 이 분야 사람들에게만 발견되는 독특한 성격이라든가 특징이 있는가? 우리, 이상한 부류인가?

하임 : 확실히 정보보안 종사자들은 뭔가 독특하다. 정보보안 업계에 인재가 부족하다는 말이 많은데, 난 사실 이 우리만의 독특한 특징 때문인 것도 같다. 보통 한 팀에서 일을 해야 하는데 성격이 독특하거나 너무 튀면 뽑기가 꺼려진다. 튀는 사람들은 팀웍에 방해되는 확률이 더 높다.

리우 : 그런 사람들이라고 마냥 직업이 없을 수는 없잖은가?

하임 : 난 보편적인 상황만 얘기한 거다. 회사 상황에 따라, 그리고 독특한 성격을 가진 사람의 실력이나 다른 측면에 따라 얼마든지 고용될 수 있다. 솔직히 실력이 뛰어나면 성격도 커버가 된다. 반대의 경우도 있지만. 또, 업무에 있어 회사 규모가 너무 작던가 하는 이유로 에너지 분출이 안 돼서 성격이 이상하게 비춰지는 경우도 있다. 그런 경우 그 분출구를 마련해주면 된다. 유능한 광대에게 멍석을 깔아주라는 거다. 그러나 멍석을 깔아주는 대신 ‘회사가 가져갈 수 있는 유익이 있어야 한다’는 걸 명시는 해야겠지.

반대로 기업이 지나치게 커서 위축된 사람이 있을 수도 있다. 그런 때는 그 사람의 주변 환경을 조금 줄여줄 수 있는 방법을 찾아야 한다. 개인 코치로서의 역할을 맡긴다든지 두세 명으로 구성된 핵심 팀이 장을 맡긴다든지 하는 식으로.

리우 : 팀을 구성할 때 특별한 노하우가 있는가? 뭘 보고 사람을 고용하는가?

하임 : 솔직히 그 동안 실험적인 인사를 해온 편이었다. 그로 인해 크고 작은 피해도 적잖이 입었다. 이런 사람 저런 사람을 겪으며 느낀 건, 고용 자체가 중요한 게 아니라 그 후 팀 내에 융화시키는 게 중요하다는 것이다. 또한 팀 내에 분명 긴장관계라는 게 형성될 때가 있다는 것과, 리더는 그것에 감정적으로 휘말리면 안 될뿐더러 한 단계 위에서 상황을 내려다볼 수 있어야 한다는 것도 배웠다. 리더의 그런 든든한 모습을 팀원들이 볼 수 있도록 하는 연출력도 필요하다. 뭔가 눈으로 확고히 보여야 팀원들이 안정감을 빠르게 찾는다.

그리고 문제가 쌓이고 쌓일 때까지 기다리지 않는 것도 중요하다. 물론 모든 문제엔 해결의 타이밍이 존재하지만, 쌓아서 좋을 건 없다. 또한 ‘대의를 위해서 소수가 희생해도 어쩔 수 없다’고 하는데, 이는 게으른 리더들이 하는 말이라고 생각한다. 모두가 만족할 수 있는 방법은 거의 대부분 존재하더라. 고민을 하지 않을 뿐.

리우 : 드롭박스에서의 보안 팀 운영은 어땠는가?

하임 : 보안과 관련된 조직을 크게 두 부분으로 나눴다. 하나는 보안 엔지니어링(Security Engineering)이라고 이름 붙였고, 다른 하나는 신뢰와 보안(Trust and Security)이라고 했다. 비슷한 방면의 기술을 가지고 있는 사람들을 팀으로 묶었다. 기술 방면은 당연히 엔지니어링 팀으로 돌렸고 규정의 준수나 리스크 관리, 팀 운영, 기획 등 ‘인문학’쪽 기술이 뛰어난 사람은 신뢰와 보안 팀에 넣었다.

리우 : 클라우드 보안의 전문가로 정평이 나있는데, 클라우드 보안만이 갖는 독특한 장점이 있는가?

하임 : 모두가 표적인 시대다. 이런 때 중요한 건 ‘속도’다. 얼마나 적응을 하고 상황에 대처하느냐가 성공과 실패를 가른다. 보안에서는 아주 노골적으로 이 속도를 시간 단위로 잰다. 클라우드는 기업이 속도와 유연성 모두를 갖게 해준다. 그래서 클라우드 클라우드 하는 거다. 하지만 빨리 뛸수록 손에 든 물건을 더 꽉 쥐어야 하듯, 클라우드가 속력을 제대로 내려면 그 안에 든 데이터를 잘 보호해야 한다. 그러므로 클라우드에서 제일 중요한 건 보안이다. 아무리 클라우드가 붐이라고 해도 정보가 자꾸만 빠져나가고 시스템 점검이 너무 잦으면 고객도 떠나기 마련이다.

패트릭 하임은 누구인가?
처음 컴퓨터를 접했을 때? : 아버지가 굉장한 기계광이셨다. PC XT, 코모도어 64, TI-99/3A 등을 어렸을 때부터 만져왔다.

보안을 처음 맛봤을 때? : 미국 서부에 있었을 때 동부로 전화하려니 전화비가 너무 많이 나오더라. 어쩔 수 없이 통신회사와 은밀한 이야기를 나눌 수밖에 없었다. 물론 나만 얘기했다, 해킹으로.

보안에서 리더십이란? : 두 가지 부류가 있다. 구조, 통제, 보고서, 예측 가능한 컨텍스트를 중요하게 여기는 부류와 결과, 해커 혹은 공격자에 대한 깊은 지식을 중요하게 여기는 부류. 둘 다 맞고 둘 다 틀리기도 하다.

프로필 : 패트릭은 정보보안과 기술 분야에서 20년 간 종사해왔으며 2015년 1월 드롭박스에 합류했다. 세일즈포스의 CTO, 카이저 퍼머넌트와 맥케슨에서 CISO로 근무한 바 있다. 현재는 보안 기업을 설립하려는 이들을 상담해주는 일도 겸하고 있다.


Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>