RSA 2015, 또 다른 관점에서의 유익함을 전하다. (마크애니 유창훈 부문장)

뭐 하는 일이 보안쪽 일이라 여러 보안 컨퍼런스에 나가서 보고 싶은 생각이 간절하다. 특히 해외에서 하는 컨퍼런스는 정말 가고 싶은데 여건이 안되서 못가는 경우가 대부분이라 많이 아쉽다. 이래저래 언론에서 나오는 뉴스만으로는 좀 성이 안차는 것 또한 사실이다.

보안관련 여러 컨퍼런스가 있지만 그 중에서 RSA 컨퍼런스는 꽤 규모가 크다. 국내에서도 많은 보안기업들이 참여하기도 한다. 이번에 RSA 2015가 미국 샌프란시스코에서 개최되었는데 나는 못갔지만 이전에 다녔던 마크애니(DRM 전문 기업)의 지인이 다녀왔고 후기를 썼다고 해서 보내왔다. 뭐 직접 보지 못했지만 이렇게라도 RSA 2015의 분위기가 어땠는지 공유해보고자 한다.

참고로 글 하단에는 마크애니의 본부장 입장에서 회사의 비전에 대한 이야기가 있다. 아무래도 회사를 대표해서 갔다왔으니 회사의 비전에 대한 이야기도 컨퍼런스의 내용에 비춰서 함께 언급햇다. 그래도 예전에 다녔던 회사인지라 나름 애정이 있으니 함께 공개한다.

제목 : "RSA 2015" 또 다른 관점에서의 유익함을 전하다. _ 마크애니 유창훈 부문장
 

마크애니 유창훈 부문장

전 세계 보안관련 분야 행사 중 가장 크다고 하는 'RSA Conference 2015' 가 지금 미국 샌프란시스코에서 20일(미국 현지 시)부터 24일까지 열렸고, 지금 시점에서는 우리는 무엇을, 어떻게 준비하고 대응해야 할지 숙제를 해야 할 시간이다. 이 숙제를 시작하면서, 필자는 올해 RSA Conference는 어떤 것이 다르고, 무엇을 말하고 있는가를 정리해보고자 인터넷 기사를 찾아보았다. 그런데 현지의 행사는 전년보다 규모도 커지고 다양해졌으며(물론 보는 관점에 따라 다를 수 있다), 참관 인원도 체감적으로 많아서 그 열기가 뜨거웠다. 이에 나름의 유익함을 안고 돌아와서 그 분위기를, 그간 언급되지 않았던 내용을 공유해 보고자 한다.

필자는 이곳에 올 때면, 늘 분명한 목적을 가지고 온다. 그리고, 그 목적은 필자의 현재 비즈니스에 중점을 두고 있기에 보다 깊이 들어가 보게 된다. '거시적인 트렌드 읽기, 키워드 찾기, 키워드에 따른 글로벌 제품들 변화보기, 이에 우리나라 상황과 준비해야 할 기술 고민, 그리고 한국에 적용할 만한 기술 찾기'. 어쩌면 여기 온 모든 사람들이 "나도 그래"라고 할 것이다. 그러면서도, 본 것을 논함에 있어 크게 다르지 않다는 것 또한 느끼는 바이다.

그런데, 깊이 보고, 다르게 보면 분명히 다른 것을 찾을 수 있다. 또한 이를 활용할 방법도 찾을 수 있다. 이번에는 이렇게 다른 면을 보고, 정리하시는 몇 분을 만나게 되어서 배움도 더 있었다.
 
올해의 주제는 'CHANGE : Challenge today's security thinking', 2014년 주제는 'Share. Learn. Secure. : Capitalizing on Collective Intelligence', 불과 1년만에 '모여진 정보를 공유하고 배우고, 활용하는 보안'에서, 뭔가 답답함이… '암흑'이라는 단어를 쓰면서 '변화해야 한다'라고 말하고 있다.
 
작년부터 올해까지의 주제와 이 안에서 들려오는 것들에 대한 흐름을 정리해 본다.

2014년 RSA에서는 스노든 사태 이후 내부자 정보유출, 키관리 등. 즉, 내부 위협에 대한 보안 강화가 여러 화두 중에 큰 방향이었다. 그런데, 올해에는 미국 정부의 다른 목소리부터 시작이 되었다. Jeh Johnson 장관(Department of Homeland Security)은 Keynote 첫날 연설에서 "IT기업들이 개인정보보호를 위해 보안을 강화하는 것은 인정하나, 이것이 정부의 범죄 또는 테러행위를 사전에 예방하는 것을 어렵게 한다"고 하면서 지적하면서, 민간 기업에서의 정보 공유를 당부했다.

어! 좀 의아 했다.
 
미 정부 자체도 대내외적으로 사이버 공격에 대한 보안을 강조하고 있을 텐데 말이다. 그런데, 바로 다음날 Department of Homeland Security에서 세션이 있어 듣게 되었다. 왜? 존슨 장관이 그런 말을 하였는지는 'DHS Cyber Weather Map' 세션 발표 타이틀로 모든 것이 설명될 수 있었다. '기상예보 하듯이, 이렇게 예측해서 위협에 대응 하겠다.'. 그러기 위해선, 온 갓 정보들이 필요한 것이다. 작년 개봉했던 '캡틴 아메리카'의 '졸라 알고리즘(영화에서 실제 나온 명칭)'에 적용할 방대한 데이터가 필요했던 것이다.

[본 그림은 세션 발표 중 사용된 ‘DHS Cyber Weather Map’ 개념 이미지]

이번 컨퍼런스 기간 동안 들려온 소식 중 'DHS Cyber Weather Map 이 현실화 되는구나!' 하는 소식이 있었다. 버지니아주에서 사이버공격에 대응하기 위해 정보공유 선언했다는 것이다. 큰 그림이 그려지고 있는 것이다.

자! 여기까지 크게 보였던, 'RSA Conference 2015'의 모습.
 
이제, 마크애니에서 보안솔루션부문을 맡고 있는 입장에서 좀더 현실적이면서, 깊이 들어가봐야 보이는 것들을 말해보고자 한다. 이 말을 하기까지, 필자의 발과 다리, 어깨(가방 무게로)의 아픔을 감내해야 했다. 그러나, 그 보람은 확실하다. 하지만 혼자 이 넓은 행사장, 약 400여개의 전시 부스를 다 돌아봐야 보이는 이 고행이 늘~ 쉽지는 않았다. 내년에는 다른 직원 1명과 같이 나누기를 희망하면서 글을 풀어 본다.
 
필자는 매년 전년과 어떤 화두가 어떻게 바뀌고 있는지를 정리해 왔다. 그래서, 올해 보였던 것들이 있다.그 예로 2014년에 여러 발표에서 내부정보 유출/위협에 대해 이야기하면서, Data Security가 강조됨과 동시에 Key Management도 같이 화두였다. 그런데 2014년도 행사 가이드북 제품 카테고리에 Key Management 분류는 없었다. 그러나, 올해 카테고리에는 이 Key Management가 분류가 되어 있더라. 이것이 주는 메시지가 무엇인지는 독자 여러분의 해석에 맡기겠다. 필자도 나름의 해석으로 비즈니스에 적용을 하고 있으니 말이다.

또, 2013년과 2014년을 비교해 본 예를 들어 보겠다. 2013년에는 '알려지지 않은 위협', '인텔리전트시큐리티', '사이버테러' 라는 말이 많이 나왔다. 그런데 2014년에는 이 말들이 '지능형지속가능위협(APT)'라는 말로 정리되어 쓰였다. 역시 이에 따라 전시장에 나온 업체들의 분위기도 확실히 다른 것이 있었다.
 
즉, 크고 넓게 보면, 참으로 먼 이야기 같으면서, 하는 말들이 다 같게 들리고, 훑어 보면, 매년 똑 같아서, '볼 것 없다,' '이미 아는 내용이다' 로 정리가 되고, 그러다 보니 행사장 보다는 밖에 더 많은 시간을 할애하는 포상 성격의 참관이 되는 것이다. 혼자 깊이 얻고자 각종 발표와 400여개의 부스를 Exploring하고 있으면, 3일째 오후 5시쯤에는 몸에 약간의 몸살기운이 온다. 이 수고를 미국 샌프란시스코까지 와서 감내하기란, 몸과 마음에서 쉽지 않은 일이긴 하다.
 
이번에는 작년과 다른 배움이 또 있었다. 일정 중 국내 보안 업계에서 큰 축을 세우고 계신 대표이사님들과 저녁시간을 보낼 수 있는 기회가 있었다. 대부분 직접 창업하시고, 직접 크게 키우신 분들이시다. (여기서 개인정보보호 상, 함께 해주신분들의 언급은 하지 않는 것으로 합니다.)

그런데, 다름이 있었다. 필자의 행사장 전체를 헤집고 다니는 수고에서 얻는 것과 다른 것을 얻게 되었다. 함께 해주셨던, ㈜이글루시큐리티 이득춘 대표이사님으로부터의 배움이다. "중국업체들의 부스 운영에 변화가 있다. 2년 전만 해도 중국기업 부스에는 중국인들만 있었고, 다른 부스들처럼 적극적이지 않았다. 그런데, 올해에는 중국기업 부스에 현지인을 고용해서 홍보를 하고 있더라. 이들이 바뀌고 있는 거다". 미쳐 눈에 들어오지 않았던 모습이다. 실제로 그랬다. 필자는 작년에도 와봤기 때문에 안다. 작년에도 중국기업 또는 정부가 주관하는 부스에 중국인들만 있었다. 그리고, 자기들끼리 앉아 있었다. 그런데 올해는 달랐다. 이글루시큐리티는 글로벌하게 사업을 확대 중에 있기 때문에, 안 그래도 어려운 글로벌 시장에 중국 기업의 도약을 눈 여겨 봐야 하는 것이었다. 또 다른 말씀도 있었다. "중국 기업이 미국에 진출하려고 여기까지 나와있는 것이 아니다. 미국 또는 이런 행사를 발판으로 제3국의 진출을 준비하는 것이다. 싸움터는 미국 시장이 아니다"라는 말씀에 그저 고개를 끄덕일 뿐이었다. 필자가 보고도 미쳐 읽지 못하는 것이었다.
 
가야 할 길이 멀고, 험하다. 멀고 험하기만 한 것이 아니라, 복병들도 있다. 이번 'RSA Conference 2015'가 우리 한국 보안시장에 어떤 영향을 줄 것인가? 그리고, 우리는 이 넓은 시장에 나오기 위해 무엇을 준비해야 할 것인가? 여전한 숙제이다.
 
끝으로 본 행사 일정 초에 가장 많이 들었던 단어가 생각난다. 첫날 세미나 중 가장 긴 줄이 만들어진 곳(TCG: Should We Trust Mobile Computing, IoT and the Cloud? No, but There Are Solutions) 에서, 그리고 둘째 날 Keynotes 중 필자의 눈과 귀를 집중시켰던 단어, TMP(Trusted Platform Module)을 화두로 올리고 글을 마치려 한다. 이 후 더 많은 논함을 수많은 전문가님들께서 해주시리라.