사이버보안을 시작한 이유, 그리고 현재까지: #4

9막. 여전한 진로 고민과 대학원 진학, 그리고 다시 보안 컨설턴트로 이직

2008년부터 2009년 말까지 2년 동안 PwC San Francisco, New York, London, Hong Kong 오피스 등 많은 PwC 해외 오피스 전문가들과 일을 하면서 한 단계 성장할 수 있었습니다. 또한 인도네시아 전자정부 PMO 사업을 위해 인도네시아 바탐 섬에 3개월 간 해외 출장을 나가서 정부 관료들에게 영어로 발표도 하고, 싱가포르에서 교육도 받으면서 해킹과 전혀 상관없는 포렌식, 내부감사, IT감사, 상시감사, Business Process Re-engineering (BPR), Information Strategy Planning (ISP) 등 다양한 업무를 하면서 3년이 흘렀습니다. 그러면서 사람들에게 소개를 할 때 “삼일회계법인(국내에서 삼일회계법인이 PwC의 멤버 펌)의 OOO입니다.”라고 하면 이쪽 분야 아시는 분들은 다들 부러워하시거나 신기해하셨습니다. 그리고 이후에 이어지는 질문인 “삼일회계법인에서 무슨 일 하세요?”라고 물으면, 내부감사도 하고, 상시감사도 하고, 포렌식도 하고, BPR/ISP도 하고, 너무 다양한 일을 하고 있다고 대답하면서, 정작 나의 전문 분야는 무엇이지?라는 고민이 들었습니다. 그러는 와중에 첫 번째 회사에서 인연을 맺었던 분이 고려대 교수로 가시면서, 연구실을 꾸리시고, 함께 연구하자고 하셔서, 석사로 고려대에 가게 되었습니다. 국제금융기구에 있는 분께 어떻게 하면 그런 곳에 갈 수 있는지 여쭤봤을 때 여러 가지 요건 중에서 석사는 기본적으로 필요하다고 하셨기에, 원래 영국에 있는 런던대학교 로열홀로웨이에 가려고 준비하다가, 결혼도 하면서 국내에서 석사를 하게 되었습니다. 그렇게 1년을 또다시 학업과 회사 생활을 병행했는데, 회사 업무는 주로 감사(Audit) 업무였기 때문에, 클라이언트 회사에 방문해도 부담스러울 정도로 대우를 잘해주셔서 시간 관리가 편했습니다. 그렇게 1년을 다니면서 계속 내가 잘하는 것은 무엇일까. 삼일회계법인이라는 타이틀이 아닌, 내 이름을 가지고 나 자신을 소개할 수 있는 전문영역은 무엇일까 라는 고민을 하던 참에, 2009년부터 연이어 발생한 대형 해킹 사고로 해커가 필요한 사회적 분위기가 되었고, 다시 회사 타이틀이 아닌 나 자신의 전문분야를 만들기 위해 당시 Deloitte(딜로이트)에 있던 이사님이 보안 컨설팅 사업으로 같이 일을 하자고 추천하셔서 다시 Deloitte에서 보안 컨설턴트로 일을 하게 되었습니다.

10막. 기업의 보안 발전을 위한 컨설팅 자문에서, 인재양성을 위한 멘토로.

PwC에 있다가 Deloitte로 옮길 때 대부분 말렸습니다. 첫 번째는 No 1 회사에서 왜 No 2로 가느냐, 두 번째는 왜 편하고 전망도 괜찮은 Audit 쪽에 있다가 다시 을의 입장에서 일을 해야 하는 보안 컨설턴트일을 다시 하려고 하느냐였습니다. 2000년 중반부터 후반까지는 해커에 대한 사회적 인식이 너무 안 좋았으나, 2010년부터 분위기가 달라졌고, 그때 수많은 고민을 하다가, 우연히 학교 도서관에서 눈에 들어온 ‘자기 결정의 원칙(라인하르트 K. 슈프랭어 저)’이라는 책을 읽었는데, 그 책을 통해 운명처럼 지금의 상황에서 다른 사람들의 이야기가 아닌 내 마음속, 내가 스스로 미래를 결정할 수 있게 되었습니다.

2011년 12월 Deloitte로 이직하고 시작한 첫 번째 프로젝트는 최악의 프로젝트 중 하나였습니다. 프로젝트는 금융그룹이었는데 각 계열사에서 서로 다른 첨예한 이해관계자들이 PM 그룹을 하였고, 법적인 부분, 기술적인 부분 등 정말 복잡한 프로젝트였습니다. 더구나 PwC에 있을 때는 모든 컨설턴트들이 자존감과 자신감이 매우 높았는데, Deloitte에 와서는 프로젝트에 투입된 컨설턴트들이 Partner의 이야기에 아무도 자기 의견을 강하게 표현하지 않는 게 상당히 이상해 보였습니다. 지금 생각해도 참 힘들었던 프로젝트였는데, 저는 제가 생각하는 논리를 파트너에게 굽히지 않았고, 금융그룹 클라이언트 부부장에게도 단호하게 주장을 하였습니다. 더구나 아직 석사 공부를 하고 있었기 때문에 아침부터 저녁까지 클라이언트 사이트에 나가서 일을 하고, 저녁 7시부터 다시 학교 와서 수업 듣고, 밤 10시 수업이 끝나면 다시 클라이언트 사이트에 가서 새벽 2-3시까지 상당히 비효율적인 일을 했었습니다. 그때 막 신혼인 상황이었는데, 모든 상황이 힘겨워서 다시 PwC로 돌아갈까, 그냥 프리랜서로 할까 고민도 많았지만, 끝까지 포기하진 않고 프로젝트는 역시나 엄청난 지연이 있었지만 제가 맡은 파트는 마무리가 되어서 다음 프로젝트 PM을 맡게 되면서 해당 프로젝트는 종료되었습니다. 재미있는 건 프로젝트 종료 회식 때 제가 담당했던 금융회사 클라이언트 부부장께서 자기가 수십 년 동안 컨설턴트들과 일을 해봤는데, 김 선생처럼 주관이 강한 컨설턴트는 처음 본다고 이야기를 했습니다. 당시에 클라이언트 요구사항대로 무조건 정책을 수정하면, 제대로 전문가적 판단에 의한 컨설팅 결과물이 나오지 않았고, 결과적으로 그 방법이 옳았습니다. 이후 보안 컨설턴트로써 다시 모의해킹과, 보안 마스터플랜 수립, 내부정보 유출 방지 컨설팅, 처음으로 전략 컨설턴트들과 함께 한 CEO를 위한 보안전략 컨설팅 등 보안과 관련된 기술부터, 인증, 관리, 전략까지 모든 부분을 다 경험하면서, 이제 OOO회사의 OOO입니다가 아닌, 보안 컨설턴트 OOO입니다라고 저의 전문 분야를 자신 있게 이야기할 수 있게 되었습니다. 그렇게 보안 컨설턴트로 기업의 보안 수준을 높여 주기 위해 노력을 하다가, 2007년 함께 DEFCON에 출전한 전우인 이 멘토를 만나면서 BoB에 대한 소개를 받고, 2013년에 BoB에 특강을 하게 되었습니다. 특강을 하면서 이렇게 눈이 초롱초롱하고 열정적인 학생들을 본 적이 없어서 더욱 끌리게 되었고, 이후 BoB 컨설팅 트랙에 멘토로 참여하여 기업 컨설팅에서 인재 양성 쪽으로 관심과 시간을 쏟게 되었습니다.