[CISO 되기 프로젝트 7] CISO와 함께 춤을

새로운 형태의 CISO 트렌드 탄생

“최고가 되지 못할 것 같으면 과감한 포기”

[보안뉴스 주소형] 정보보호최고책임자, CISO라는 직업의 편견을 없앤 이가 있다. 기업에서 정보보안 업무에 관련된 총괄·책임을 지는 자리이다 보니 아무래도 딱딱하고 권위적인 이미지의 남성이 떠오른 게 사실인데, 여기 다소 생소한 이력을 가진 CISO가 있다.

저스틴 본(Justine Bone)은 뉴질랜드 왕립 발레단의 발레리나 출신의 CISO이자 화이트 해커로 활동하고 있다. 그가 이렇게 CISO가 되기로 마음먹은 계기는 두 가지라고 한다. 먼저, 뉴욕에서 일하고 싶어서였고, 두 번째는 발레리나로 최고의 자리에 오를 수 없다는 생각이 들었기 때문.

“어차피 세계 최고가 되지 못할 것 같은 일은 그만 두어야 겠다는 생각이 들었다.” 1990년대 중반에 오디션 투어차 뉴욕 무대에 한번 서 본 젊은 전문 발레댄서는 뉴질랜드 왕립발레단 출신이었음에도 발레리나의 꿈을 접었다. 그리고 고국인 뉴질랜드로 돌아가자마자 오타고 대학(University of Otago)에서 컴퓨터공학 학위를 취득했다고 한다.

학위 취득 후, 미국의 NSA에 해당하는 뉴질랜드 국가안전기관인 GCSB(정부통신보안국)에서 당시 신설된 보안공격팀의 한 자리를 꿰 찼다. 사실 그곳은 그가 대학생 시절, 해킹한 곳이기도 하다. “그때는 완성된 소프트웨어를 역으로 추적하여 처음의 문서 등의 자료를 얻는 역공학(reverse-engineer)에 심취되어 있었을 때다. 특히 윈도우에 빠져 있었다. 윈도우 NT/95 버전에 있는 모든 취약점을 찾아냈다.”

그런데 이 같은 재능이 어디서 왔나 했더니, 수사관인 아버지의 영향이라고 설명했다. 어려서부터 무언가를 찾아내야 하는 환경에서 자라다보니 해커들의 사고방식을 갖고 있는 것 같다고 덧붙였다.

그 후, (앞서 언급했 듯) CISO가 되기로 했던 계기 중 하나인 뉴욕에서 일하고 싶다는 꿈을 실현키 위해 뉴욕으로 향했다. 그가 향했던 곳은 현재의 IBM X-force다. “그들에게 찾아가 나는 해킹할 줄도 알고 당신들을 도와줄 수도 있다. 나를 뽑으면 우리 모두가 좋은 것”이라고 어필했다고 한다.

그렇게 그는 뉴욕에서 자리를 잡았고, 스스로를 ‘버퍼 오버플로우(buffer overflows)의 여왕’이라고 칭했다. 버퍼 오버플로우는 서버에서 가동되고 있는 프로그램에 설정되어 있는 수신 용량보다 훨씬 큰 용량의 데이터를 한꺼번에 보낼 때 서비스가 정지되는 상태를 말하는데 실제로 이를 해결하고 관리하는 데 있어 최고라고 정평이 났었기도 했다.

2002년, 그는 거기서 멈추지 않고 이뮤니티 시큐리티(Immunity Security)라는 보안 리서치 회사를 데이비드 아이텔(David Aitel)과 공동 설립했다. 2013년 초에는 세계적인 금융 및 언론 서비스업체인 다우존스(Dow Jones)사의 CISO로서 기업의 보안 담당자로 돌아갔다. 현재는 호오스 랩(Hoyos Lab)에서 향후 보안을 위협할만한 기술을 연구하고 감시하는 CISO로 명성을 드높여가고 있다고 한다.

그러나 그에게 붙어 있는 ‘차세대 CISO’라는 별명은 그저 발레리나 출신이라는 것만으로는 이해가 어렵다. 자신만의 다양한 경험들을 바탕으로 CISO의 역할을 새롭게 확장했기 때문에 가능한 것이다. “요즘 보안 관련해서 새로운 기술들이 자꾸만 나오고 있으나 대중은 이걸 다 이해하거나 파악하고 있지 않다. 그래서 직접 현장에서 고객들에게 새로운 기술을 설명해주고 이해시켜 주는 데에 많은 시간을 할애하고 있다.”

그의 전문 분야인 오버 플로우 시장은 많은 변화를 겪었다. 시간이 그 만큼 흘렀기 때문이다. 거의 20년을 보안업계에 있었던 그는 녹록치 않은 세월이었다고 말한다. 워낙에 남성성이 강한 분야라서 여자로서 살아남기 위해서는 카리스마가 필요하다고 귀띔했다. 상대를 먼저 제압하는 것이 관건. 이는 과거 발레리나 시절에서의 경험이 많은 도움이 되었다고 한다. 발레리나 시절 많은 무대 경험으로 강심장을 갖게 되어 어디에서나 당당한 자세를 갖추고 있다는 것이다. “또한 자신의 말은 항상 사실에 근거해야 하고, 설득력 있는 자세를 유지해야 한다.”

최근 기업들이 가진 보안 문제에 대해 “큰 기업일수록 자신들의 정보 자산을 파악하지 못하고 있기 때문”이라고 진단한 저스틴 본은 “모든 취약점의 근본은 결국 자신을 모르는 것에서부터 출발한다고 본다”라고 한다. “또한 인증의 개념도 바뀌어야 한다. 책임제 같은 걸 도입해서 누가 왜 어떤 정보에 접근했는지뿐 아니라 어디서 접근했는지, 정확히 그 사람 본인이 접근한 것인지도 확인할 수 있어야 한다.”

그는 여기서 멈추지 않고 예술 분야로 관심을 다시 돌리고 있다고 한다. 발레리나→CISO→아티스트라는 다소 매치가 하기 힘든 행보를 보이고 있는 그녀를 인터뷰하며, ‘어디’서 일 하는 것보다 ‘무엇’을 하고 있는지가 중요하다는 필자의 예전 좌우명이 다시 상기되는 시간이었다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)