세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
US-CERT 첫 여성 국장 미셸 권이 30년의 보안 경력을 말한다
  |  입력 : 2017-11-08 17:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
우연히 발 들이게 된 IT 업계에서 US-CERT 국장이 되기까지
“모든 과정에서 보안을 하고 있었지만 당시에는 깨닫지 못해”


[보안뉴스 오다인 기자] “문제를 더 내줄 때마다 콜라 마시고 싶다는 생각뿐이었어요.” 1980년대 초 미국 노던 버지니아(Northern Virginia)의 쇼핑몰을 지나던 19살 미셸 권(Mischel Kwon)은 어느 컴퓨터 학습 센터(CLC: Computer Learning Center) 직원의 요청에 못 이겨 문제를 풀기 시작했다. 당시를 회상하며 권은 CLC 직원이 ‘우리 센터의 시험지를 하나 풀어보지 않겠냐’고 제안했을 때 무슨 시험인지도 모른 채 “네, 한 번 해볼게요”라고 답했다고 전했다.

[이미지=iclickart]


그날 권은 결국 콜라는 마시지 못했지만 시험에서 높은 점수를 받아 CLC 컴퓨터 훈련 프로그램의 전액 장학금을 받았고 추후 1등으로 졸업했다. 이후 대형 유통업체 우드워드 앤 로스로프(Woodward & Lothrop)에서 어셈블리어 프로그래머로 첫 직업을 얻었다. 그곳에서 그녀는 워싱턴 DC 지역 금전 등록기 시스템을 최초로 자동화한 코드를 썼다.

다른 많은 선구자들처럼 권 역시 우연한 계기로 보안 산업에 발을 들이게 됐다. 권은 미국 침해사고대응팀(US-CERT) 국장 및 미국 법무부 정보보호최고책임자보(Deputy CISO)를 역임한 인물이다. 그러나 권은 보안 산업에 종사하기까지 IT 부문에서 일했던 것도 알게 모르게 보안 스킬을 갈고 닦는 데 도움이 됐다고 말했다. 그녀는 우드워드 앤 로스로프에 있으면서 IBM 메인프레임의 패치 관리 시스템을 개발하고 코드를 짰다. “저는 시스템의 바닥부터 시작해서 모든 걸 배웠어요. 네트워크를 포함해서요. 그랬기 때문에 나중에 보안 기술에 대해서도 잘 이해할 수 있게 됐죠.”

권은 “그 모든 과정에서 보안을 하고 있었지만 스스로 보안을 하고 있다는 생각은 전혀 하지 못했다”면서 “당시엔 IT에만 미쳐있었다”고 말했다.

권은 IT 역사상 최대 실수 중 하나가 IT와 IT 보안을 별개의 부서나 영역으로 구분해놓은 것이라고 생각한다. 그녀는 두 세계를 분리한 건 실수라면서 “IT와 보안을 혼합해서 운영하는 게 절대적으로 필요하다”고 말했다. “우리는 지난 수년 동안 이 둘을 찢어놓고 각기 다른 의무를 부여했죠. 하지만 공격자들은 의무를 분리해서 생각하지 않습니다.”

권은 오늘날 IT와 보안관제센터(SOC: Security Operation Center), 보안 사이에 놓인 격차가 공격자에게 우위를 주고 있다고 설명했다. “보안은 SOC에서 데이터를 얻을 수 있어야 합니다. 네트워크가 어떻게 보호되고 있는지 알아야 하기 때문이죠. 요즘엔 보안 제어와 컴플라이언스에 기초하고 있지만 운영 보안(operational security) 모델로 이동해야 할 필요가 있습니다.”

권이 2010년에 설립한 MKA사이버(MKACyber)는 보안 컨설팅 및 SOC 관리 서비스 보안 업체로, 앞서 언급한 격차를 메워가는 것이 사업 전략의 핵심이다. 왜 회사를 차리기로 결심했는지 설명하면서 권은 “기술적인 뿌리로 돌아가서 차이를 만들어내고 싶었다”고 말했다. 권은 MKA사이버의 회장이자 CEO이다.

출발

▲미셸 권 MKA사이버 회장 겸 CEO
[사진=MKA사이버 홈페이지 캡처]

권은 한국인 아버지와 노스캐롤라이나 주 출신의 미국인 어머니 사이에서 태어났는데 다양하면서도 교육을 강조하는 전통적인 환경에서 자랐다. 그녀가 태어난 1960년대 초까지만 해도 권의 부모가 노스캐롤라이나에서 결혼하는 것은 불법이었다. 그녀의 아버지는 독물학자(toxicologist)로 일했으며 여러 가지 이유로 권의 가족은 미국 내에서 자주 이사를 다녔다.

“한국 남자로서 아버지는 제가 일하는 것을 결코 바라지 않으셨어요. 제가 매우 전통적인 여성으로 크도록 기르셨죠. 하지만 어머니는 생각이 좀 다르셨어요. 제가 가수가 될 거라고 생각하셨거든요.”

권의 부모는 둘 다 오페라 가수였고, 특히 권의 어머니는 권에게서 토종 노스캐롤라이나 억양이 없어지도록 발성 수업을 듣게 했다. “저는 아주 강한 남부 말투를 갖고 있었거든요. 아직까지도 제 고향인 노스캐롤라이나 셸비(Shelby)로 돌아가면 다시 그 말투가 돌아옵니다.”

수학은 늘 그녀에게 즐거움을 주었다. 권은 개인용 컴퓨터(PC) 시대 이전에 자랐기 때문에 코딩을 알게 된 건 한참 후의 일이었다. 자라면서 접한 것 중에 컴퓨터에 가장 가까웠던 건 닌텐도였다. “저희는 퐁(Pong)을 하고 놀았어요.” 권은 버지니아 주 페어팩스에 있는 고등학교에서 생애 첫 컴퓨터를 만났다.

지금은 없어진 우드워드 앤 로스로프에서 메인프레임을 작업했던 뒤에 권은 커리어를 위해선 대학교 학위가 필요하다는 사실을 깨달았다. 그래서 클레어 부스 루스(Clare Boothe Luce) 장학금에 지원했는데 따냈다. 2002년 권은 메리마운트 대학(Marymount University)에서 컴퓨터 과학으로 학사 학위를 땄고, 이후 조지 워싱턴 대학교(George Washington University)에서 정보 보증(Information Assurance)으로 석사 학위를 땄다. 당시 그녀는 4살에서 12살에 이르는 네 아이의 엄마이기도 했다. 권은 수업을 들으면서 “일도 했다”고 말했다.

2004년 무선 기술과 해킹을 연구하던 대학원생이었을 때, 권은 라스베이거스에서 열린 해킹 대회 데프콘(DEF CON)에 참석했다. 이곳에서 권은 해킹이 진짜 어떤 것인지 처음으로 경험하게 됐다. 그녀는 손수 만든 판지 상자 안테나로 와이파이 교전 대회(WiFi Shootout contest)에서 ‘가장 혁신적인(Most Innovative)’ 부문에서 상을 받았다. “그때 지시문을 잘못 읽어서 안테나의 어떤 부분도 사용할 수 없다는 걸로 알았거든요.” 권은 그래서 아무것도 없이 안테나를 만들었다고 설명했다. “안테나가 약 1,610미터(1마일)까지 닿도록 만들었어요.” 권이 만든 안테나는 약 1,287미터(0.8마일)로, 목표치에 근접했다.

권의 커리어는 석사 학위를 받은 이후에 다시 살아났다. “보안은 크게 열려 있는 공간이었습니다. 저는 어떻게 뭔가를 뚫는지, 어떤 걸 어떻게 해킹하는지, 그 모든 걸 어떻게 보호할 수 있는지 마구 궁금했습니다. 저는 무선(wireless)을 정말 사랑했어요.”

권이 첫 번째로 맡은 큰 보안 업무는 미국 법무부의 정보보호최고책임자보였다. 그녀는 미 법무부의 무선 보안 부서장으로 시작해서 이후 법무부의 SOC를 구축했다. 권은 그곳에 있으면서 보안 부문에서 이름을 크게 날리기 시작했지만 그녀가 재임 기간 중 가장 자랑스럽다고 말한 프로젝트는 상대적으로 덜 알려져 있다. 모토로라의 모바일 라디오 시스템에 침투 테스트를 하면서 권과 그녀의 팀은 “두어 시간 만에 전체 시스템을 탈취할 수 있었다”고 회상했다.

권의 팀은 해당 라디오 시스템을 리엔지니어링해서 모토로라를 작동시키고 안전하게 만들었다. “무전기망(land mobile radio)은 (미 법무부의) 전략상 매우 중요했습니다.” 그녀는 미 법무부를 떠난 뒤에도 무선 제품의 보안을 위해 그들과 계속해서 일했다고 밝혔다. “이건 제가 지금까지 보안 분야에서 한 일 중 가장 잘한 일입니다.”

권은 US-CERT의 국장으로 18개월 동안 일했다. 권은 US-CERT의 첫 여성 국장이며, 기술적인 전문성을 지닌 첫 국장이기도 했다. 권은 당시 국장으로 근무하며 연방 정부의 보안 수준에 대해 현실 직시를 하게 됐다고 밝혔다. “민간 기구들이 공격에 대해 전혀 모르고 있다는 사실을 알고 충격을 받았습니다. 저의 주요 미션은 이 기구들을 돕는 것이었습니다. 연방 SOC를 교육할 필요가 컸고, 이들에게 안내와 정보를 제공해야 했습니다.”

그래서 권은 이른바 ‘합동 사이버 지식 교류 기관(Joint Agency Cyber Knowledge Exchange)’이라는 모임을 만들어서 관련 소식을 전파하고 민간 기구들을 교육하기 시작했다. “이 모임의 인기는 대단했습니다. 기밀 수준의 모임을 열 때는 SCIF(Sensitive Compartmented Information Facility, 미국 연방 기관에서 보안실을 일컫는 말)에 자리가 모자랄 지경이었죠.”

US-CERT 국장이라는 자리는 권이 가장 좋아한 직업 중 하나였지만 새롭게 출범한 미국 국토안보부(DHS)의 내부 정치는 그녀를 소모하기 시작했다. “일 자체는 굉장히 좋았어요. 하지만 국토안보부의 정치는 악몽이었죠. 그건 마치 가위를 저글링하면서 복도를 뛰어 내려가는 것과 같았어요. 당시 국토안보부는 설립된 지 얼마 되지 않은 기관이었습니다. 좀 오래된 기관들은 예의나 문화, 행동 방식과 규칙, 괜찮은 채용 절차 같은 게 쌓여 있죠. 국토안보부에는 이런 게 하나도 없었습니다.”

권은 이런 문화가 조직의 성공을 어렵게 했다고 지적했다. ‘건강하지 않은 행동들’과 문제적인 계약이 생겨났다는 것이다. “그 어떤 작업도 하기 어려웠습니다. 견디기 어려웠어요.”

그녀는 민간 부문으로 돌아가 보안 업체 RSA의 공공 부문 보안 솔루션 부사장으로 일했다. 권은 RSA에서의 자리가 ‘얼굴 마담(float princess)’ 같은 것이었다고 회상했다. 전직 미국 정부 사이버 보안 임원으로서 여기 저기 얼굴을 비추는 역할에 그쳤다는 말이었다. RSA에서 보낸 1년의 시간에 대해 권은 “과도기적인 일자리”였다고 말했다.

미투(#MeToo)
많은 전문직 여성들처럼 권 역시 커리어를 쌓는 동안 성희롱을 경험했다. “질문하실 것도 없어요. 저 역시 당했습니다.”

젊은 여성으로서 오래 일하고 늦은 시간까지 일한다는 건 안전에 대해 언제나 “걱정하게 되는 일”이라고 권은 말했다. 그리고 스스로에게도 질문을 던진 시간이 많았다. 권은 “내가 여자여서 이 자리를 얻게 된 것일까?”라고 물었다고 말했다. “실력으로 이 자리까지 온 것이라고 믿으려고 노력했어요.”

권은 성희롱과 성차별은 단지 일터에만 국한되는 건 아니라고 짚었다. “이건 차라리 사회적인 규범이라고 할 수 있죠.”

바로 이런 이유에서 권은 사이버 보안 다양성 재단(Cybersecurity Diversity Foundation)을 설립했다. 이 재단은 보안 업계에 더욱 다양한 인력을 조성하기 위해 장학금을 제공하고 기업들이 공약을 제시하도록 노력하고 있다.

“단지 제가 여성이라서가 아닙니다. 제 성은 권이고, 저의 반은 한국 사람입니다.” 권은 개인적인 경험에 대해 말하며 “배제당한 경험이 있었고 목소리를 내도 사람들이 듣지 않았으며 떠날 것을 강요받은 때도 있었다”고 밝혔다.

권은 암묵적인 편견들에 대한 사회적 논의가 이제 막 시작됐다는 건 희소식이라며 “하룻밤 사이에 고칠 수 있는 문제는 아닐 것”이라고도 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)