[Prologue] 지난 2월 23일부터 28일까지 6일간 미국 샌프란시스코 Moscone Center에서는 현재 세계에서 가장 큰 규모의 보안행사로 알려져 있는 RSA Conference 2014 행사가 개최됐다. 불과 몇 년 전까지만 해도 미국의 보안행사는 동쪽 워싱턴에서 가을에 개최되는 CSI Conference와 서쪽 샌프란시스코에서 봄에 열리는 RSA Conference가 각기 그 세력을 양분해왔으나, 최근에는 CSI가 점점 쇠퇴해가는 반면, RSA는 그 반대로 점점 더 성장하는 분위기다. 지난 1991년 암호학자/전문가들의 소규모 포럼으로 시작됐던 이 컨퍼런스가 그세 이렇게 커진 것이다(그래서 여전히 Cryptographers' Panel은 여전히 행사 한가운데 위치해있다). 예전이라면 기자로서 참관기를 썼겠지만, 이번에는 그렇지 않은 입장에서, 보다 자유롭게 후기를 써볼까 한다. 이번 참관기에는 개인적으로 느낀 이번 행사의 이모저모와 함께 내년 행사에 방문할지도 모를 예비 참가자들에게 허접하지만 나름 가이드가 되어 보고픈 욕심이 함께 들어 있다. 보안전문가도, 전문기자도 아닌 사람이 쓰는 글인 만큼, 너그러운 마음이 없으면 읽어나갈 수 없는 글을 시작해본다.

 
※모스콘 센터? 모스코니 센터?
국내에서는 Moscone Center를 모스콘센터라고 표기하는 경우가 많은데, 잘못이란다. 모스콘이나 모스코니나 그게 그거라고 생각할 수도 있겠지만, 제대로 발음해줘야 하는 이유는 Moscone가 사람 이름이기 때문이다. George Moscone는 70년대 샌프란시스코 시장으로, 78년 시의원에 의해 Harvey Milk 시의원과 함께 살해당했고, 그를 기리는 의미에서 Moscone Center로 명명됐다고. 그런가하면 당시 시장과 함께 살해됐던 Harvey Milk의 이야기는 'Milk'라는 영화로 제작되어 Milk 역을 맡았던 숀 펜이 아카데미 남우주연상을 차지하기도 했다.
 
◇Sunday to Monday
RSA 전시회는 화요일 오전 11시부터 시작된다. 하지만 다수의 교육과 세미나, 그리고 일부 컨퍼런스 트랙들은 일요일과 월요일에 거쳐 진행된다. 특히 이 기간에는 부대행사 정도로 열리는 세션들이 대거 편성되는데, 가장 비싼 보안교육 기관 SANS가 주관하는 4종의 튜토리얼(이틀 교육에 2,000달러...), CISSP 자격제도를 운영하고 있는 (ISC)2와 우리나라에도 지부를 두고 있는 CSA(Cloud Security Alliance), 그리고 북미 최대 규모 개인정보보호 협의체이자 CIPP라는 개인정보보호 자격증을 운영하고 있는 IAPP가 각각 주관하는 Association Seminar들도 함께 편성된다. 모두가 각 분야에서 내로라하는 단체들임에도 RSA라는 이름 아래 이렇게 모이는 걸 보면 현 시점에서의 RSA Conference의 위상과 영향력을 실감할 수 있다.
 
◇Tuesday to Friday
화요일 오후부터는 본격적인 전시행사가 시작되며 컨퍼런스 트랙 또한 더욱 활성화된다. 이번 행사의 컨퍼런스 트랙은 올해 신설된 Analytics & Forensics에서 Technology Infrastructure에 이르기까지 총 26개. 또 26개의 트랙에 세션이 7~8개씩 편성된다는 점을 감안하면, 사실상 정보보호에 대해 다룰 수 있는 거의 모든 주제가 다뤄진다는 뜻이다.
필자는 각 트랙들에서 논의되는 내용은 뒤로 하고(뭐 앉아 있어봐야 다 알아듣지도 못하지만) 각 트랙 세션들의 분위기를 살폈는데, 신기하게도 거의 모든 트랙 세션들에 딱 좌석이 다 찰 만큼의 사람들이 모여 있었다. 많은 사람들이 서 있어야 하거나 반대로 좌석이 반쯤 빈 세션을 찾아보기가 힘들었다는 것이다. 사전등록을 할 때 참가희망 세션을 지정하도록 유도하기는 하지만, 대부분 참가신청 이후에 실제로 참여하는 세션은 그와 다른 경우가 많음을 감안하면, 이 좌석 수를 어떻게 예측하는지 궁금할 뿐이다.

◇Nothing like this, in Korea
앞서 언급했듯 금번 컨퍼런스 트랙은 총 26개가 운영됐는데, 여타의 트랙들은 비록 그 깊이의 차이가 있을지는 몰라도 우리나라에서도 그리 어렵지 않게 접할 수 있는 트랙들인 반면, 국내에서는 좀처럼 접하기 어려운 트랙들이 몇 개 있었는데 'CISO Viewpoint', 'Professional Development', 그리고 'Peer2Peer' 세션이 그것이다.
 
국내에서는 CPO 의무화에 이어 최근 잇따르고 있는 대형 사고들로 인해 CSO, CISO(아직 용어통일이 확실히 안됐지만)에 대한 관심이 더욱 커지고 있다. 하지만 이들이 어떤 사람이어야 하는지, 다시 말해 이들이 정확히 무엇을 알고 있어야 하며 무엇을 해야 하는지에 대한 사회적, 조직적 정의가 이루어지지 않아 혼선이 많다. 보안 컨퍼런스를 수시로 기획하는 필자의 입장에서도 이런 주제를 다루려면 우선 이런 내용들에 대한 갈증을 확실히 풀어줄 수 있는 강사가 쉽게 떠오르지 않아 늘 고민스러운 부분이기도 하다. 'CISO Viewpoint' 트랙에서는 바로 이런 부분에 대한 갈증해소를 위해 현실적인 보안원칙 수립방안에서부터 예산확보 방안에 이르기까지 총 7개 세션, 7시간에 걸쳐 다룸으로써 다양한 정보들을 제공하고 있었다. 특히 7개 세션 중 6개 세션은 현직 CISO들이 대거 패널로 참여함으로써 보다 다양한 시각에서의 접근이 이루어졌다.

'Professional Development'는 필자가 몸담고 있는 CONCERT(회장 류재철) 회원사 보안담당자들에게도 권하고 싶은 내용이 많았는데, 사실상 대부분의 보안 담당자들이 고민하고 있는 보안 전문가로서의 커리어 패스를 어떻게 만들어가야 하는지에 대한 내용이 주를 이루었다. 그런가하면 보안 교육이 언제부터, 어떻게 이루어져야 하는지에 대한 3인 패널의 논쟁 아닌 논쟁도 관심을 끌었고, Educaion과 Training은 그 목적을 달리 함에도 대부분의 'Education'이라 명명된 프로그램들이 이러한 구분 없이 이루어지고 있다는 지적이 뒤를 이었다. 특히 여성들이 약 11%를 차지하고 있는 보안 분야에서 여성들의 역할과 강점, 나아갈 길에 대해서 4인의 여성 패널이 논의하는 ‘Women In Security' 세션은 더욱 인상 깊었다(이런 패널은 한국에서는 단 한 번도 본 적이 없다!).

또한 'Peer2Peer' 세션은 수백 명이 모여드는 일반 트랙 세션과 달리 30명 이내로 참석인원을 제한해 얼굴을 맞대고 토론을 펼치는 세션으로 CONCERT에서 수시 운영하고 있는 Security Round Up과 거의 같은 성격을 지니고 있다(세션 특성상 Press의 출입을 불허하기 때문에 Press 배지를 달고 있던 필자는 들어가 볼 수가 없었다 ㅠㅠ).
 
◇Keynotes, and Keynote Speakers
올해 RSA Conference의 화두는 무엇이었을까? 한 줄로 정리하기란 너무 곤혹스럽다. 보통 키노트 주제들을 비교해보면 대략 정리할만한 화두가 나오기 마련이지만, 이 행사의 키노트는 너무 많고 또 제각기 다른 이야기들을 다루고 있어 그것도 쉽지 않다. 하지만 이번 키노트들의 주제를 살펴보면 가장 많이 등장하는 단어가 있다. 바로 'New'다. 그럼에도 불구하고 이 단어가 그닥 큰 힌트를 주지 못하는 건 New라는 단어가 IT 분야에서는 역설적으로 가장 진부한 느낌을 주는 단어 중의 하나이기 때문이다.
 
행사 첫 키노트에 등장한 RSA 회장 Arthur Coviello는 의외로 NSA와 RSA의 밀거래에 관한 이야기를 꺼냈다. 통상 루머 속의 당사자가 이 정도 규모의 행사에서 직접 해당 루머에 대해 언급하는 것은 매우 이례적이었는데, 그는 단순히 언급하는 정도가 아니라 아예 정면으로 부인을 했다. 먼발치에서 그를 보며 이 사람의 표정이 영화 ‘마이너리티 리포트’에서 선하고 정의로운 표정으로 등장해 마지막에 톰 크루즈를 배신하는 한 노인네의 표정과 무척 닮았다는 생각을 했다. 이런 느낌은 CISSP의 보유가 최고수준의 보안전문가임을 입증한다는 주장을 줄곧 참지 못했던 (ISC)2 회장 Hord Tipton 의 인상과도 매우 흡사했다. 그냥, 모 개인적인 느낌이 그랬다는 거다.
 
행사장 곳곳에 놓인 알림 전광판. 행사장이 하도 넓고 곳곳에 있어 뭔가를 찾기가 어렵다보니, 부스참여 또는 발표를 하는 업체에서는 트위터를 이용한 이런 식의 홍보가 치열하다.
한편, ‘Exploiting Security in the Name of, well, Security'라는 재기 넘치는 타이틀을 들고 키노트에 나선 Microsoft Trustworthy Computing 부문 VP Scott Charnet는 NSA의 프리즘 프로젝트를 비롯한 Surveillance 프로그램들을 빗대어 “기술에 대한 믿음(Trust on Technology)을 약화시킨 행위”라며 비난 조의 발언들을 계속 이어나갔다. 하지만 글쎄. 우리나라에서는 오히려 MS의 XP 지원중단 선언을 “MS에 대한 믿음(Trust on MS)을 약화시킨 행위”라고 생각할 것 같은데.

해외 컨퍼런스에 올 때마다 남다르게 느끼는 것은, 이렇게 큰 장소에서 발표를 할 정도의 명성 높은 키노트 스피커들을 오후에는 상대적으로 작고 허접해 보이는 세션에서 보는 경우가 흔하다는 점이다. 청중으로서 말이다. 우리나라에서 보안 컨퍼런스를 할 때 오전 키노트 스피커를 오후 세션에서 청중으로 만날 가능성은 거의 희박하다. 그들은 오전 발표 후 VIP 오찬만 하고 가야하며, 때로는 밥도 못 먹고 부리나케 가야하기도 한다. 바빠서 그렇겠지. 더 배울 게 없다고 생각해서 그러는 건 절대 아니겠지. 게다가 RSA 키노트 연사를 포함한 모든 발표자들에게는 강사료가 없다!(물론 우리나라로 초청만 하려고 하면 다들 강사료 얘기부터 먼저 꺼내기는 한다)
 
또 하나 이곳의 키노트를 보며 상상해 본 장면이 하나 있다. 이들은 하나 같이 핀마이크를 꼽고 이렇다 할 Presentation Material도 없이 한 시간 가까이를 쉼 없이 이야기하는데, 우리나라 키노트 스피커들도 역시 이들처럼 막힘없이 이야기 할 수는 있겠지만, 무대 위에서의 자제와 제스처도 이들처럼 자연스러울 수 있을까? 등장할 때의 걸음걸이부터 부자연스러울 것 같다면 과한 선입견일까?
 
◇Innovation Sandbox
올해 행사에서 눈에 띄는 부대행사 중 가장 인상 깊었던 Innovation Sandbox. 주로 Start-up 기업들의 멋진 데뷔 가능성을 제공하는 컨테스트 프로그램으로, 사전에 참가신청을 받아 Finalists를 선정하며, 선정된 Finalists들은 각각 참관객 및 6인의 패널 앞에서 프리젠테이션을 통해 제품의 특장점을 어필할 수 있는 기회를 부여받는다. 올해는 Finalists에 포함된 10개 사 중 소프트웨어 애플리케이션 ‘Reveal'을 들고 나온 RedOwl Analytics 사가 Winner로 선정됐다.

 
이번 RSA 전시행사에는 국내 업체들도 다수 부스를 마련하고 미국시장 진출에 커다란 의욕을 보였는데, 개인적으로는 이 Innovation Sandbox 프로그램에 참여해 노출도를 높이는 것이 오히려 부스참여보다도 효과적인 방법이 될 수 있지 않을까 싶다. 물론 그들이 그럴 정도로 충분히 Innovative 하다면 말이다.
 
◇NSA Surveillance @ RSA
에드워드 스노든에 의해 NSA 코드명 '프리즘' 프로젝트가 폭로되면서 전 세계가 큰 충격에 휩싸였고, 우리나라에도 역시 예외는 아니었다. 때문에 그 논란의 중심에 있는 미국 땅에서 이런 와중에 개최되는 최대 규모의 보안 컨퍼런스에는 당연히 NSA에 관한 이야기로 들끓을 것으로 기대 아닌 기대를 했었지만, 정작 NSA Surveillance를 발표제목으로 달아놓은 세션은 단 몇 개 밖에 없었다. 당연히 의외였다. 국민들을 이처럼 명백한 보안침해 사태로부터 막아줘야 할 역할이 보안전문가들에게 있는 것 아닌가? 이렇게 많은 보안전문가들이 모이는 자리에 이렇게 중요한 주제가 없다니!
 
어쨌든 NSA를 전면에 내세운 세션 중 하나는 ‘Understanding NSA Surveillance: Washington View'라는 주제의 패널토의였는데, 3인의 패널로 구성됐던 이 패널토의는 ‘Just let them do what they used to do'라는 논조의 무색무취한 이야기들로 다소 지루하게 이어졌다(사실 Understand라는 단어를 단순히 ‘이해하다’ 정도의 의미로 인지하고 있는 필자는 제목에서부터 편견에 사로잡혀 있어서 그렇게 들렸는지도 모르겠다. ‘NSA Surveillance가 이해할 일이야? 게다가 Washington View라면 뻔하지 않아?’). 영어를 잘 하지 못하는 사람도 패널로 등장한 Richard Clarke가 단어 하나 하나에 방점을 찍으며 강조한 "Security. Has. Its. Price"라는 문장을 듣고 나면 이것이 지루한 세션이 될 것임을 어렵지 않게 예측할 수 있었을 것이다.

또 하나의 NSA 관련 세션은 예전 기자 시절 이메일을 통해 인터뷰를 몇차례 진행한 적이 있어 필자가 개인적으로 꼭 만나보고 싶었던 Bruce Schneier의 ’NSA Surveillance: What We Know, and What to Do about It.' 자리를 옮겨 넓은 방에 등장한 Bruce Schneier. 그는 우리나라에 일찌감치 번역돼 보안 쪽에서는 상당히 많이 팔린 ‘디지털 보안의 비밀과 거짓말(Secrets & Lies)'이라는 책으로 국내에도 널리 알려진 사람이다. 생김새로도 대략 유추해볼 수 있듯, 예전 인터뷰를 했을 때도 절반 이상의 지면을 MS를 비난하는데 사용했을 정도로 이 사람은 뭔가 ’삐딱함‘을 트레이드마크로 하는 듯한 사람이었고, British Telecom의 보안총괄로 수년을 활약하다가 최근 관두고 Co3 Systems라는 비교적 작은 기업의 CTO로 직장을 옮긴 것도 BT가 NSA의 프리즘 프로젝트 추진과정에 모종의 협력을 제공한 데 대한 불만의 표출이라는 후문이 있었다(비록 본인은 공식적으로는 부인했지만).
 
화려한 꽃무니 남방을 입고 등장한 그는 “NSA의 감시와 분석작업을 저지하기 위해서는 그들이 순전히 예산으로 움직이는 조직임에 착안하면 된다. 오늘부터 전 국민이 모든 인터넷 통신과 커뮤니케이션에 있어 PGP 같은 암호통신을 사용함으로써 그들의 분석작업에 급격히 더 많은 예산이 소요되게 함으로써 단 시간 내에 예산을 고갈시킬 것을 제안한다”고 예의 선동(?)을 했다. 뒷자리에 앉은 몇몇 사람들에게서는 박수소리가 들렸고, 필자도 소심하게 따라했다.

다수의 책을 펴냈을 뿐만 아니라 자신의 책 판매를 위한 훌륭한 마케터이기도 한 그는 세션 직후 또 다시 이번에 새로 쓴 책 ‘CARRY ON'의 저자 사인회와 함께 판매에 나섰다. 그리고 그가 쇼핑 호스트로서 활약하는 동안, 그가 CTO로 재직 중인 Co3 Systems는 앞서 언급한 Innovation Sandbox 경쟁에 참여했다가 속절없이 등외로 밀려나고 있었다.
 
특히, 이번 RSA 행사는 실제 세션들과는 달리 행사 전후로 NSA 문제 때문에 골머리를 앓았는데, 이미 알려져 있는 다수의 스피커들이 RSA 행사 보이콧을 선언하고 발표 세션에 불참했으며, NSA의 정책에 반대하는 ‘TrustyCon' 행사의 RSA 행사 직후개최가 예고되는 등 잡음이 끊이지 않았다. 그리고 보통 발표 세션의 5배수 이상을 접수하는 행사 CFP(Call For Paper) 과정에서 NSA Surveillance를 주제로 신청한 상당수가 주최 측의 세션 선정과정에서 배제됨으로써 주최 측 스스로 이러한 잡음을 자초했다는 후문이다(이 얘기는 프레스룸에 앉아 있다 옆에 있던 SC Magazine 기자가 누군가를 인터뷰하는 과정에서 나온 얘기를 주워들은 것으로, 그가 믿을 만한 소식통인지는 잘 모르겠다).

◇부록: Saving the money
RSA 컨퍼런스는 비싸다. 대부분의 보안 컨퍼런스가 공짜인 우리나라의 현실에 비추어 비싼 정도가 아니라 절대적인 기준에서도 비싸 보인다. 컨퍼런스 등록비는 대략 2,500달러. 우리 돈으로 250만원을 훌쩍 넘고, 전시회만 보려 해도 75~100달러를 내야 한다. 컨퍼런스에서는 수백개의 유용한 세션을 제공한다고는 하지만, 이 중에서 물리적으로 한 명이 소화할 수 있는 세션은 그 십분의 일도 채 되지 않는다. 그래서 실제로는 수백개의 세션에 250만원이 아니라 열 개 남짓의 세션에 250만원이 필요한 셈이다.

키노트 세션에는 사람들이 무지막지하게 몰린다. 물론 키노트에는 명성 있는 발표자들이 좋은 이야기를 들려주기 때문이겠지만, 다른 한가지 이유도 결코 무시할 수 없다. 바로 이 키노트 세션은 공짜라는 사실이다. 사실 키노트 세션은 온라인으로도 실시간 중계를 해주기 때문에 굳이 현장에 가지 않고 한국의 책상 위에서도 얼마든지 들을 수 있다. 트렌드 정도를 알고 싶은 거라면, 전시행사와 키노트만을 접해도 충분하지 않을까 싶다. 물론 깊이를 원한다면 원하는 트랙을 모두 들을 수 있도록 컨퍼런스 등록을 해야겠지만. 각 트랙의 발표자료 또한 등록과 관계없이 행사 홈페이지에서 각 세션을 클릭하면 다운로드 받을 수 있다. 그래서 RSA를 보러 미국에 가는 출장자에게 '발표자료 좀 한부 더 갖다줘'라고 부탁하는 동료가 있다면 행사 홈페이지를 한 번도 들어가 보지 않은 사람인 거다. 행사현장에서도 발표자료 따위는 나눠주지 않는다.
 
또한, Press로서 승인을 받으면 극히 일부 세션을 제외하고는 모두 출입이 가능한 Full Conference Pass를 받을 수도 있다. 필자 또한 기자 신분이 아니지만, 밑져야 본전인 셈 치고 '뉴스레터 발행'을 한다며 Press 승인을 요청했는데 덜컥 승인이 된 케이스. 기명기사(an article with byline)를 요구하긴 했지만, 이 컨퍼런스 참관기를 기명기사로 쓸 예정이라는 허접한 답변에 그들이 황당했는지 승인을 해줬다. 어찌 됐든 이 참관기로 인해 거짓말은 안한 셈이 됐다. 회사나 협단체의 뉴스레터 또는 기관지 담당자들은 한번쯤 시도해 보시길. 물론 컨퍼런스에 정말로 관심이 있다면 말이다.
 
<편집자주: 기사작성에 급급한 기자였다면 보지 못했을 부분을 현장감있고 흥미롭게 작성해 주신 심상현 국장님께 깊은 감사의 말씀을 전합니다. 보안 1세대 기자답게 관록의 글발을 보여주신 것 같습니다. 또 여러 가지 한국의 컨퍼런스와 비교되는 부분, 깊이 생각하고 서로 논의해야 할 부분이 많다는 생각이 듭니다. 감사합니다.>
 
[글/사진. 심상현. 한국침해사고대응팀협의회 사무국장 / shimsang@gmail.com]