“명성 높은 키노트 스피커들도 오후에는 청중으로...우리와는 사뭇 달라”
<Microsoft Scott Charney의 키노트 장면>
※모스콘 센터? 모스코니 센터?
국내에서는 Moscone Center를 모스콘센터라고 표기하는 경우가 많은데, 잘못이란다. 모스콘이나 모스코니나 그게 그거라고 생각할 수도 있겠지만, 제대로 발음해줘야 하는 이유는 Moscone가 사람 이름이기 때문이다. George Moscone는 70년대 샌프란시스코 시장으로, 78년 시의원에 의해 Harvey Milk 시의원과 함께 살해당했고, 그를 기리는 의미에서 Moscone Center로 명명됐다고. 그런가하면 당시 시장과 함께 살해됐던 Harvey Milk의 이야기는 'Milk'라는 영화로 제작되어 Milk 역을 맡았던 숀 펜이 아카데미 남우주연상을 차지하기도 했다.
◇Sunday to Monday
RSA 전시회는 화요일 오전 11시부터 시작된다. 하지만 다수의 교육과 세미나, 그리고 일부 컨퍼런스 트랙들은 일요일과 월요일에 거쳐 진행된다. 특히 이 기간에는 부대행사 정도로 열리는 세션들이 대거 편성되는데, 가장 비싼 보안교육 기관 SANS가 주관하는 4종의 튜토리얼(이틀 교육에 2,000달러...), CISSP 자격제도를 운영하고 있는 (ISC)2와 우리나라에도 지부를 두고 있는 CSA(Cloud Security Alliance), 그리고 북미 최대 규모 개인정보보호 협의체이자 CIPP라는 개인정보보호 자격증을 운영하고 있는 IAPP가 각각 주관하는 Association Seminar들도 함께 편성된다. 모두가 각 분야에서 내로라하는 단체들임에도 RSA라는 이름 아래 이렇게 모이는 걸 보면 현 시점에서의 RSA Conference의 위상과 영향력을 실감할 수 있다.
◇Tuesday to Friday
화요일 오후부터는 본격적인 전시행사가 시작되며 컨퍼런스 트랙 또한 더욱 활성화된다. 이번 행사의 컨퍼런스 트랙은 올해 신설된 Analytics & Forensics에서 Technology Infrastructure에 이르기까지 총 26개. 또 26개의 트랙에 세션이 7~8개씩 편성된다는 점을 감안하면, 사실상 정보보호에 대해 다룰 수 있는 거의 모든 주제가 다뤄진다는 뜻이다.
필자는 각 트랙들에서 논의되는 내용은 뒤로 하고(뭐 앉아 있어봐야 다 알아듣지도 못하지만) 각 트랙 세션들의 분위기를 살폈는데, 신기하게도 거의 모든 트랙 세션들에 딱 좌석이 다 찰 만큼의 사람들이 모여 있었다. 많은 사람들이 서 있어야 하거나 반대로 좌석이 반쯤 빈 세션을 찾아보기가 힘들었다는 것이다. 사전등록을 할 때 참가희망 세션을 지정하도록 유도하기는 하지만, 대부분 참가신청 이후에 실제로 참여하는 세션은 그와 다른 경우가 많음을 감안하면, 이 좌석 수를 어떻게 예측하는지 궁금할 뿐이다.
◇Nothing like this, in Korea
앞서 언급했듯 금번 컨퍼런스 트랙은 총 26개가 운영됐는데, 여타의 트랙들은 비록 그 깊이의 차이가 있을지는 몰라도 우리나라에서도 그리 어렵지 않게 접할 수 있는 트랙들인 반면, 국내에서는 좀처럼 접하기 어려운 트랙들이 몇 개 있었는데 'CISO Viewpoint', 'Professional Development', 그리고 'Peer2Peer' 세션이 그것이다.
국내에서는 CPO 의무화에 이어 최근 잇따르고 있는 대형 사고들로 인해 CSO, CISO(아직 용어통일이 확실히 안됐지만)에 대한 관심이 더욱 커지고 있다. 하지만 이들이 어떤 사람이어야 하는지, 다시 말해 이들이 정확히 무엇을 알고 있어야 하며 무엇을 해야 하는지에 대한 사회적, 조직적 정의가 이루어지지 않아 혼선이 많다. 보안 컨퍼런스를 수시로 기획하는 필자의 입장에서도 이런 주제를 다루려면 우선 이런 내용들에 대한 갈증을 확실히 풀어줄 수 있는 강사가 쉽게 떠오르지 않아 늘 고민스러운 부분이기도 하다. 'CISO Viewpoint' 트랙에서는 바로 이런 부분에 대한 갈증해소를 위해 현실적인 보안원칙 수립방안에서부터 예산확보 방안에 이르기까지 총 7개 세션, 7시간에 걸쳐 다룸으로써 다양한 정보들을 제공하고 있었다. 특히 7개 세션 중 6개 세션은 현직 CISO들이 대거 패널로 참여함으로써 보다 다양한 시각에서의 접근이 이루어졌다.
또한 'Peer2Peer' 세션은 수백 명이 모여드는 일반 트랙 세션과 달리 30명 이내로 참석인원을 제한해 얼굴을 맞대고 토론을 펼치는 세션으로 CONCERT에서 수시 운영하고 있는 Security Round Up과 거의 같은 성격을 지니고 있다(세션 특성상 Press의 출입을 불허하기 때문에 Press 배지를 달고 있던 필자는 들어가 볼 수가 없었다 ㅠㅠ).
◇Keynotes, and Keynote Speakers
올해 RSA Conference의 화두는 무엇이었을까? 한 줄로 정리하기란 너무 곤혹스럽다. 보통 키노트 주제들을 비교해보면 대략 정리할만한 화두가 나오기 마련이지만, 이 행사의 키노트는 너무 많고 또 제각기 다른 이야기들을 다루고 있어 그것도 쉽지 않다. 하지만 이번 키노트들의 주제를 살펴보면 가장 많이 등장하는 단어가 있다. 바로 'New'다. 그럼에도 불구하고 이 단어가 그닥 큰 힌트를 주지 못하는 건 New라는 단어가 IT 분야에서는 역설적으로 가장 진부한 느낌을 주는 단어 중의 하나이기 때문이다.
행사 첫 키노트에 등장한 RSA 회장 Arthur Coviello는 의외로 NSA와 RSA의 밀거래에 관한 이야기를 꺼냈다. 통상 루머 속의 당사자가 이 정도 규모의 행사에서 직접 해당 루머에 대해 언급하는 것은 매우 이례적이었는데, 그는 단순히 언급하는 정도가 아니라 아예 정면으로 부인을 했다. 먼발치에서 그를 보며 이 사람의 표정이 영화 ‘마이너리티 리포트’에서 선하고 정의로운 표정으로 등장해 마지막에 톰 크루즈를 배신하는 한 노인네의 표정과 무척 닮았다는 생각을 했다. 이런 느낌은 CISSP의 보유가 최고수준의 보안전문가임을 입증한다는 주장을 줄곧 참지 못했던 (ISC)2 회장 Hord Tipton 의 인상과도 매우 흡사했다. 그냥, 모 개인적인 느낌이 그랬다는 거다.
행사장 곳곳에 놓인 알림 전광판. 행사장이 하도 넓고 곳곳에 있어 뭔가를 찾기가 어렵다보니, 부스참여 또는 발표를 하는 업체에서는 트위터를 이용한 이런 식의 홍보가 치열하다.
한편, ‘Exploiting Security in the Name of, well, Security'라는 재기 넘치는 타이틀을 들고 키노트에 나선 Microsoft Trustworthy Computing 부문 VP Scott Charnet는 NSA의 프리즘 프로젝트를 비롯한 Surveillance 프로그램들을 빗대어 “기술에 대한 믿음(Trust on Technology)을 약화시킨 행위”라며 비난 조의 발언들을 계속 이어나갔다. 하지만 글쎄. 우리나라에서는 오히려 MS의 XP 지원중단 선언을 “MS에 대한 믿음(Trust on MS)을 약화시킨 행위”라고 생각할 것 같은데.
또 하나 이곳의 키노트를 보며 상상해 본 장면이 하나 있다. 이들은 하나 같이 핀마이크를 꼽고 이렇다 할 Presentation Material도 없이 한 시간 가까이를 쉼 없이 이야기하는데, 우리나라 키노트 스피커들도 역시 이들처럼 막힘없이 이야기 할 수는 있겠지만, 무대 위에서의 자제와 제스처도 이들처럼 자연스러울 수 있을까? 등장할 때의 걸음걸이부터 부자연스러울 것 같다면 과한 선입견일까?
◇Innovation Sandbox
올해 행사에서 눈에 띄는 부대행사 중 가장 인상 깊었던 Innovation Sandbox. 주로 Start-up 기업들의 멋진 데뷔 가능성을 제공하는 컨테스트 프로그램으로, 사전에 참가신청을 받아 Finalists를 선정하며, 선정된 Finalists들은 각각 참관객 및 6인의 패널 앞에서 프리젠테이션을 통해 제품의 특장점을 어필할 수 있는 기회를 부여받는다. 올해는 Finalists에 포함된 10개 사 중 소프트웨어 애플리케이션 ‘Reveal'을 들고 나온 RedOwl Analytics 사가 Winner로 선정됐다.
<2014 Innovation Sandbox winner: REDOWL Analytics>
이번 RSA 전시행사에는 국내 업체들도 다수 부스를 마련하고 미국시장 진출에 커다란 의욕을 보였는데, 개인적으로는 이 Innovation Sandbox 프로그램에 참여해 노출도를 높이는 것이 오히려 부스참여보다도 효과적인 방법이 될 수 있지 않을까 싶다. 물론 그들이 그럴 정도로 충분히 Innovative 하다면 말이다.
◇NSA Surveillance @ RSA
에드워드 스노든에 의해 NSA 코드명 '프리즘' 프로젝트가 폭로되면서 전 세계가 큰 충격에 휩싸였고, 우리나라에도 역시 예외는 아니었다. 때문에 그 논란의 중심에 있는 미국 땅에서 이런 와중에 개최되는 최대 규모의 보안 컨퍼런스에는 당연히 NSA에 관한 이야기로 들끓을 것으로 기대 아닌 기대를 했었지만, 정작 NSA Surveillance를 발표제목으로 달아놓은 세션은 단 몇 개 밖에 없었다. 당연히 의외였다. 국민들을 이처럼 명백한 보안침해 사태로부터 막아줘야 할 역할이 보안전문가들에게 있는 것 아닌가? 이렇게 많은 보안전문가들이 모이는 자리에 이렇게 중요한 주제가 없다니!
어쨌든 NSA를 전면에 내세운 세션 중 하나는 ‘Understanding NSA Surveillance: Washington View'라는 주제의 패널토의였는데, 3인의 패널로 구성됐던 이 패널토의는 ‘Just let them do what they used to do'라는 논조의 무색무취한 이야기들로 다소 지루하게 이어졌다(사실 Understand라는 단어를 단순히 ‘이해하다’ 정도의 의미로 인지하고 있는 필자는 제목에서부터 편견에 사로잡혀 있어서 그렇게 들렸는지도 모르겠다. ‘NSA Surveillance가 이해할 일이야? 게다가 Washington View라면 뻔하지 않아?’). 영어를 잘 하지 못하는 사람도 패널로 등장한 Richard Clarke가 단어 하나 하나에 방점을 찍으며 강조한 "Security. Has. Its. Price"라는 문장을 듣고 나면 이것이 지루한 세션이 될 것임을 어렵지 않게 예측할 수 있었을 것이다.
<NSA Surveillance를 전면에 다룬 두 세션. 아래가 Bruce Schneier.>
화려한 꽃무니 남방을 입고 등장한 그는 “NSA의 감시와 분석작업을 저지하기 위해서는 그들이 순전히 예산으로 움직이는 조직임에 착안하면 된다. 오늘부터 전 국민이 모든 인터넷 통신과 커뮤니케이션에 있어 PGP 같은 암호통신을 사용함으로써 그들의 분석작업에 급격히 더 많은 예산이 소요되게 함으로써 단 시간 내에 예산을 고갈시킬 것을 제안한다”고 예의 선동(?)을 했다. 뒷자리에 앉은 몇몇 사람들에게서는 박수소리가 들렸고, 필자도 소심하게 따라했다.
특히, 이번 RSA 행사는 실제 세션들과는 달리 행사 전후로 NSA 문제 때문에 골머리를 앓았는데, 이미 알려져 있는 다수의 스피커들이 RSA 행사 보이콧을 선언하고 발표 세션에 불참했으며, NSA의 정책에 반대하는 ‘TrustyCon' 행사의 RSA 행사 직후개최가 예고되는 등 잡음이 끊이지 않았다. 그리고 보통 발표 세션의 5배수 이상을 접수하는 행사 CFP(Call For Paper) 과정에서 NSA Surveillance를 주제로 신청한 상당수가 주최 측의 세션 선정과정에서 배제됨으로써 주최 측 스스로 이러한 잡음을 자초했다는 후문이다(이 얘기는 프레스룸에 앉아 있다 옆에 있던 SC Magazine 기자가 누군가를 인터뷰하는 과정에서 나온 얘기를 주워들은 것으로, 그가 믿을 만한 소식통인지는 잘 모르겠다).
RSA 컨퍼런스는 비싸다. 대부분의 보안 컨퍼런스가 공짜인 우리나라의 현실에 비추어 비싼 정도가 아니라 절대적인 기준에서도 비싸 보인다. 컨퍼런스 등록비는 대략 2,500달러. 우리 돈으로 250만원을 훌쩍 넘고, 전시회만 보려 해도 75~100달러를 내야 한다. 컨퍼런스에서는 수백개의 유용한 세션을 제공한다고는 하지만, 이 중에서 물리적으로 한 명이 소화할 수 있는 세션은 그 십분의 일도 채 되지 않는다. 그래서 실제로는 수백개의 세션에 250만원이 아니라 열 개 남짓의 세션에 250만원이 필요한 셈이다.
또한, Press로서 승인을 받으면 극히 일부 세션을 제외하고는 모두 출입이 가능한 Full Conference Pass를 받을 수도 있다. 필자 또한 기자 신분이 아니지만, 밑져야 본전인 셈 치고 '뉴스레터 발행'을 한다며 Press 승인을 요청했는데 덜컥 승인이 된 케이스. 기명기사(an article with byline)를 요구하긴 했지만, 이 컨퍼런스 참관기를 기명기사로 쓸 예정이라는 허접한 답변에 그들이 황당했는지 승인을 해줬다. 어찌 됐든 이 참관기로 인해 거짓말은 안한 셈이 됐다. 회사나 협단체의 뉴스레터 또는 기관지 담당자들은 한번쯤 시도해 보시길. 물론 컨퍼런스에 정말로 관심이 있다면 말이다.
<편집자주: 기사작성에 급급한 기자였다면 보지 못했을 부분을 현장감있고 흥미롭게 작성해 주신 심상현 국장님께 깊은 감사의 말씀을 전합니다. 보안 1세대 기자답게 관록의 글발을 보여주신 것 같습니다. 또 여러 가지 한국의 컨퍼런스와 비교되는 부분, 깊이 생각하고 서로 논의해야 할 부분이 많다는 생각이 듭니다. 감사합니다.>
[글/사진. 심상현. 한국침해사고대응팀협의회 사무국장 / shimsang@gmail.com]