사이버보안을 시작한 이유, 그리고 현재까지: #3

6막. 더 큰 꿈을 위해. 해킹계를 떠나다.

2007년 7월, 국내 최대 금융기관 대상으로 모의해킹 프로젝트를 수행하던 시기에, 인생에서 큰 기회가 찾아왔습니다. 당시 3학년 2학기로 복학한 상태에서 회사의 배려로 낮에는 회사에서 일을 하고, 학교 수업이 있는 시간에 학교로 가서 수업을 들으면서 4학년 1학기까지 보냈습니다. 4학년 1학기 마칠 때쯤 삼일PwC에 있는 지인이 컨소시엄 프로젝트를 제안했는데 당시 모의해킹 부분을 싱가포르 PwC에서 온 사람과 제가 다니고 있는 회사에서는 저를 콕 찍어서 참여해 달라고 요청을 했습니다. 그렇게 요청을 받고 프로젝트에 투입되었는데 프로젝트는 꽤 어려움을 겪는 분위기였습니다. 그런데 모의해킹을 하던 과정에서 인터넷 복권 당첨 여부와 당첨 금액을 조작할 수 있는 취약점을 발견했습니다. 그래서 500원짜리 복권을 5억으로 당첨 여부까지 조작할 수 있는 취약점을 발견하여, 프로젝트는 분위기가 급 반전되었고 결과적으로 큰 성과를 남기고 성공적으로 마무리가 되었습니다.

당시 4학년 2학기에 곧 들어갈 시기라 대학 졸업 후에 진로에 대한 고민이 많았습니다. 당시 해커에 대한 사회적 인식이 지금처럼 좋은 시기도 아니었고, 해킹을 했을 때 갈 수 있는 곳이 국가 정보기관 등 몇 군대 말고는 보람 있게 일할 수 있는 곳도 많아 보이지 않았습니다. 또한 국내에서 해커가 제대로 대우를 받을 수 있는 곳은 당시 국가 정보기관뿐이라고 생각하던 참에, 첫 회사 팀장님이 국제금융기구로 자리를 옮기면서 국제금융기구라는 새로운 무대가 있다는 사실을 알게 되었고, 그때부터 좀 더 높은 목표를 세우기 시작했습니다. 그래서 저런 곳에 가라면 어떻게 해야 하는지 많은 정보를 찾았고, 당시 국제금융기구에 가신 팀장님이 Big5 아서앤더슨 출신이셨습니다. 세계은행이나 아시아개발은행 등 국제금융기구에 가 있으신 분들 경력을 보니 Big4 회계법인/컨설팅펌 출신들이 많이 있었습니다. 또한 모의해킹을 하다 보니 취약점을 찾아도 기업의 임원으로까지 결과가 올라가지 않고 상당수 보안팀 내부적으로 조치하고 취약하지 않은 것처럼 보고하는 사례도 접하면서, 직접 경영층에 컨설팅을 제공하는 비즈니스 컨설팅/경영 컨설팅을 해보고 싶다는 생각도 가졌습니다. 이러한 복합적인 고민을 가지고 있는 와중에 삼일PwC와 같이 일을 하면서 프로젝트를 성공적으로 끝내고, 당시 감사실장님께서 PwC에 있는 상무님께 저를 적극 추천해 주시면서 삼일PwC와 인연을 갖게 되었습니다.

7막. 글로벌 무대인, PricewaterhouseCoopers (PwC) 입사.

2007년 9월 프로젝트가 성공적으로 끝나고 1년 동안 회사와 학교를 병행하다 보니 체력적으로 너무 힘들어서 학교 교수님께 4학년 2학기니까 취업했다고 수업을 제외하고 시험만 보면 안 될지 공손히 부탁을 드렸는데 (당시 4학년 2학기는 취업 때문에 중간에 수업에 나오지 않는 경우도 많았기 때문에). 모든 교수님이 안된다고 거절을 하셨습니다. 그래서 다른 친구들은 4학년 2학기 때 취업 준비한다고 수업에 많이 빠지는 데, 저는 결국 다니던 회사를 그만두고, 4학년 2학기때 학교 수업에만 전념했습니다. 그렇게 4학년 2학기를 보내고 있다가 삼일PwC에서 면접을 보러 오라고 연락을 받았습니다. 1차 면접은 Manager급, 실무진 면접이었습니다. 다행히 금융기관 컨설팅에서 같이 일했던 분들이셔서 무난히 통과하고, 2차 면접을 파트너 면접을 봤습니다. 파트너 면접도 같이 프로젝트를 했기 때문에 훈훈하게 마무리가 되었습니다. 이후에 3차 면접은 다른 부서 고위 파트너들 면접이 있었습니다. 저 포함 3명이 동시에 들어가서 여러 파트너님들로부터 다양한 질문을 받았는데, 기술적인 질문보다는 인성적인 질문과 비전에 대한 질문을 받았습니다. 그리고 끝나자 말자 바로 4차 면접으로 영어 면접을 봤습니다. 영어는 정말 잘하지 못하였는데, 간단한 질문 2-3가지를 받았고, 나름대로 최선을 다해서 아는 말을 다 섞어서 대답을 했습니다. 이후 합격했다는 소식을 들었고, 제가 아직 4학년 2학기 수업이 있어서 수업을 다 듣고 출근해야 한다고 말씀드려 2008년 1월부터 출근하기로 했습니다. 그 와중에 호주에 있던 가족 졸업식이 있어서 호주 멜버른에 갔는데, 멜버른과 시드니의 가장 좋은 곳에 제가 합격한 PricewaterhouseCoopers (지금은 PwC로 사용) 건물이 보였고, 글로벌 회사에 들어가게 되어 가슴이 뛰었고 정말 빨리 일을 하고 싶었습니다.

8막. PwC에서의 매일 새로운 도전. 해커에서 Operation/IT Risk 컨설턴트로.

그렇게 2008년 1월 첫 출근을 했는데, 당시 제가 들어간 팀은 내부감사선진화 팀이었습니다. 그리고 당시 국내 3500여 명(전 세계 16만 명 이상) 직원 중 보안 회사 해커 출신은 저와 저를 추천해 줬던 형 단 두 명이었습니다. 팀원들 반 이상은 회계사이고, 남은 반도 변호사나, MBA 출신들이었기에, IT를 백그라운드로 가진 사람은 손에 꼽힐 정도였습니다. 정말 새로운 세상에서 같은 팀원들에게 인사를 드리니, 해커 출신을 신기한 눈으로 쳐다보면서 해커가 우리 회사에 왜 왔지?라는 궁금증을 가졌다고 합니다. PwC에서 맡은 첫 프로젝트는 Forensics 업무였습니다. 미국에 본사가 있는 회사의 한국 법인에서 부정이 발생하였고, PwC New York 오피스와, PwC Hong Kong 오피스, 그리고 PwC Korea 오피스가 같이 공동으로 업무를 하는 것이었습니다. 당시 Forensics이 무엇인지도 몰랐고, 영어도 못하던 신참이었는데, Manager 선생님과 함께 처음으로 EnCase라는 툴을 가지고 무작정 기업에 나가서 밤새 가면서 하나씩 업무를 익혔습니다. 그렇게 1주일을 거의 밤새 가면서 Forensics 업무에 대해 눈을 뜨게 되었습니다. 다음 프로젝트는 내부감사 프로젝트였는데, 마찬가지로 미국에 본사를 둔 한국 법인 내부감사 프로젝트였습니다. 미국에서 Director가 한국으로 와서 미국 대학 출신 Manager 선생님과 함께 미팅을 참여했는데 미팅에서 하는 내용에 대해, 10%도 이해를 못 했습니다. 내부 감사 업무도 처음이었고, 영어도 잘 못하는 상황에서 업무가 제대로 될 리가 없었습니다. 결국 엄청나게 혼이 나면서 내부감사(Internal Audit) 업무를 배웠고, 모든 조서를 영어로 작성하면서 영어 쓰기에 대해 배우게 되었습니다. 내부감사 일을 한번 했을 뿐인데, 그다음에는 지방에 있는 반도체 회사 내부감사업무에 한국에서는 혼자 투입되었습니다. 그 프로젝트는 미국 세인트루이스에 본사가 있는 반도체 웨이퍼 만드는 회사였는데, 미국 본사 내부감사팀 Director가 직접 한국에 왔고, 싱가포르 지사에서도 한국에 왔습니다. 당시 여전히 영어를 잘 못하는 상황에서 2주간 매일 싱가포르에서 온 매니저와, 미국에서 온 Director와 같이 업무를 하였습니다. 회사 정책을 잘 준수하고 있는지를 검증하기 위해 통제 항목에 대한 실사를 해야 하는데 매일 디렉터와 같은 방에서 통제 항목 3개씩 담당자 인터뷰와 실사를 하면서 통제가 적절히 설계되었고 구현되었는지를 검증했습니다. 그리고 일이 끝나면 호텔 방으로 돌아와서 새벽까지 매일 영문 조서를 작성했습니다. 그렇게 2주간 평균 하루에 4시간도 못 자면서 업무를 힘겹게 끝나는 마지막 날, 미국에서 온 Director가 저를 부르더니 회사 이름이 적힌 만년필을 주면서 Partner(상무)가 누군지 물었습니다. 프로젝트를 끝나고 서울로 돌아와서 다음 날 Partner가 저를 부르더니 미국 클라이언트 Director가 메일을 보내줬다면서 제가 PwC를 대표할 만큼 너무 일을 프로페셔널하게 잘해줬다고 극찬한 메일을 보여줬습니다. 그때 영어도 잘 못하고, 생소한 내부감사 업무였지만, 어떤 것이든지 치열하게 열정적으로 하면 된다는 경험을 얻게 되었습니다.