Ben DH Kim – Notes from Building Cyber Security Startup

나는 멘토링을 왜 하고, 커뮤니티 활동을 왜 하는가?

Published by

Ben DH Kim

on

요즘 들어 이런 질문을 종종 받는다. “회사도 바쁠 텐데 멘토링이랑 커뮤니티 활동을 왜 그렇게 합니까?”

솔직히 말하면 나도 가끔 스스로한테 묻는다. 회사 운영하면서 챙겨야 할 게 한두 가지가 아닌데, 그 와중에 화이트햇스쿨 멘토링을 2년째 하고 있고, OWASP Seoul 챕터 리더를 맡은 지도 1년이 좀 넘었다. 비버댐(Beaver Dam)이라는 오펜시브 클라우드 커뮤니티에 같이 참여해서 후배들하고 굴러가고 있고, 최근에는 Cloud Village CTF 운영팀에도 봉사자로 합류해서 손 보태기 시작했다. 따로따로 후배들 만나서 커피 마시면서 이야기 들어주는 건 그보다 훨씬 오래전부터 해왔던 일이다. 컨퍼런스 발표 같은 것도 꽤 오래 해왔다. 왜 이걸 계속하고 있을까. 한번 정리해보고 싶었다.

받은 게 있으니까 돌려주는 거다

가장 솔직한 이유는 이거다.

내가 어디서 배웠나 돌이켜보면, 학교에서 제대로 배운 건 솔직히 거의 없다. 내가 지금 알고 있는 거의 모든 건 해킹대회 팀 활동에서 나왔다. 밤새 같이 문제 풀고, 서로 풀이 공유하고, 누가 어떤 트릭을 어디서 봤다더라 하면서 주워 모은 것들. 그게 내 기반이다. 정식 커리큘럼이 있었던 것도 아니고, 누가 체계적으로 가르쳐준 것도 아니었다. 그냥 그 자리에 같이 있던 사람들끼리 부딪히면서 배웠다.

그 와중에 선배들이 있었다. 시간 내서 옆에 앉아 같이 봐주고, 막히면 힌트 던져주고, 내가 헛소리하면 “그게 아니지”라고 잡아주던 사람들. 그분들이 거창한 멘토링 프로그램을 운영했던 게 아니다. 그냥 본인들이 알고 있는 걸 후배한테 자연스럽게 흘려주는 분위기가 있었다. 그게 너무 당연한 것처럼 굴러갔다.

그러니까 내가 지금 누군가한테 시간을 쓰는 건, 사실 새삼스러운 일이 아니다. 내가 받은 방식 그대로 돌려주는 것뿐이다. 거창한 사명감이 아니라 그냥 그 흐름을 끊고 싶지 않은 거다. 누군가가 나한테 해줬으니까, 나도 다음 사람한테 해주는 거고, 그 사람도 또 다음 사람한테 해줄 거다. 그게 이 업계가 굴러가는 진짜 방식이라고 믿는다.

멘토링은 10년에서 15년 차이가 가장 좋다

이건 내가 직접 멘토링을 해보면서 점점 확신하게 된 부분이다.

너무 가까운 선배는 멘토링이 잘 안 된다. 2-3년 차이밖에 안 나면 같이 헤매는 동료에 가깝다. 그건 그것대로 가치가 있는 관계지만 멘토링이라고 부르긴 어렵다. 반대로 너무 멀어도 어려운 점이 있다. 20년 이상 차이가 나면 그 사람이 지금 보고 있는 풍경하고 내가 보는 풍경이 너무 다르다. 본인이 일하던 시기와 지금이 너무 다르기 때문에, 멘티가 마주한 구체적인 상황에 대해 공감하고 조언하기가 쉽지 않다.

10-15년 차이가 가장 좋다. 이 정도 차이면 멘토는 멘티가 지금 어떤 자리에 있는지 정확히 기억하고 있다. 처음 보안에 발 들였을 때의 막막함, 첫 회사에서 헤맸던 기억, 어느 시점에 어떤 선택을 했어야 했는지에 대한 후회까지. 다 생생하다. 그러면서도 그 시점에서 한 발 떨어져서 볼 수 있는 거리가 확보된다. 너무 가깝지도 않고 너무 멀지도 않은 거리. 이게 진짜로 도움이 되는 조언이 나오는 거리다.

그리고 한 가지 더. 이 정도 차이면 멘티가 멘토를 너무 우러러보지 않는다. 멘토가 너무 멀어 보이면 멘티는 자기 의견을 잘 못 낸다. 그러면 일방적인 가르침이 되어버리고, 그건 멘토링이 아니라 그냥 강의가 된다. 좋은 멘토링은 멘티가 “이 부분은 저는 좀 다르게 생각해요”라고 말할 수 있어야 한다. 10-15년 차이는 그 긴장감이 살아있는 거리다.

내가 화이트햇스쿨에서 멘토링하는 친구들, 비버댐에서 같이 굴러가는 친구들, 그리고 OWASP에서 만나는 분들. 다들 그 정도 차이가 난다. 우연이 아니라 그게 가장 자연스럽게 굴러간다. 더 어린 친구들도 가끔 봐주긴 하지만 그건 멘토링이라기보다는 그냥 따뜻한 어른 역할에 가깝다고 생각한다.

내가 멘토링을 할 때 신경 쓰는 것들

멘토링을 오래 하다 보니 내 나름의 원칙 같은 게 생겼다. 거창한 건 아니고 그냥 내가 신경 쓰려고 하는 것들이다.

첫째, 내 경험을 정답으로 만들지 않으려고 한다. 어떤 친구가 “이 길이 맞을까요?”라고 물어보면, 내가 갈 길은 아니지만 그 친구한테는 맞을 수도 있다. 내 경험은 내 경험일 뿐이고, 그 사람의 길은 그 사람이 만든다. 내가 할 수 있는 건 옆에서 같이 고민해주는 것뿐이다.

둘째, 내가 모르는 영역에 대해서는 솔직하게 모른다고 한다. 멘토가 모든 걸 알아야 한다는 부담을 내려놓는 게 중요하다. 내가 아는 분야는 같이 깊이 들어가서 봐주고, 내가 모르는 분야는 “그건 내가 잘 모르는데, 그쪽에 강한 분을 소개해줄게”라고 한다. 그게 멘티한테 훨씬 더 도움이 된다.

셋째, 멘티의 가능성을 미리 좁히지 않으려고 한다. 어떤 멘티가 “저는 이쪽으로 가보고 싶어요”라고 했을 때, 내가 그 분야를 잘 모른다고 해서 “그건 별로야”라고 말하지 않으려고 한다. 멘토의 한마디가 멘티의 가능성을 닫을 수도 있다고 생각하면 말을 신중하게 해야 한다. 차라리 “재밌어 보이는데? 그 분야에 있는 사람들 한번 만나봐”라고 하는 게 낫다.

멘토링은 사실 멘토한테 더 도움이 된다

이건 잘 안 알려진 사실인데, 진심으로 그렇다.

후배들 만나서 이야기 듣다 보면 내가 더 많이 배운다. 요즘 학생들이 어떤 문제에 관심 있는지, 무엇을 헷갈려하는지, 어떤 도구를 쓰는지, 어디에서 막히는지. 이게 다 신선한 시야다. 업계에 오래 있다 보면 당연하게 받아들이게 되는 것들이 너무 많아진다. “원래 그런 거다”라는 말이 자기도 모르게 늘어난다. 그런데 후배들은 그 “원래”를 의심한다. “그게 왜 그래야 하는데요?”라고 묻는다. 그 질문이 가끔 내 사업의 방향까지 다시 보게 만든다.

비버댐에서 후배들하고 같이 CTF로 같이 문제 풀면서 가장 신경 쓴 게 이 부분이다. 일방적으로 가르치는 자리가 아니라 같이 배우는 자리로 만들고 싶었다. 사실 CTF에서는 누가 멘토고 누가 멘티인지 구분이 잘 안 된다. 어떤 문제는 후배가 먼저 풀고, 어떤 문제는 내가 먼저 풀고, 어떤 문제는 둘 다 못 푼다. 그 평평한 관계가 좋다. 결과적으로 같이 뛴 친구들한테서 내가 배운 게 더 많다는 생각이 든다.

설명하려고 하면 내가 알고 있다고 생각했던 것의 구멍이 보인다. “어, 이거 내가 왜 이렇게 하고 있었지?” 싶은 순간들. 그 구멍을 메우면서 나도 같이 성장한다. 가르치는 게 가장 좋은 학습이라는 말은 진부하지만 사실이다.

그리고 멘티들한테도 바라는 게 있다

여기까지는 멘토 쪽 이야기를 많이 했는데, 멘티들한테 바라는 점도 한번 정리해두고 싶다. 멘토링이 일방적인 관계가 아니라는 걸 멘티들도 알았으면 좋겠다.

첫째, 멘토를 너무 우러러보지 않았으면 좋겠다. 멘토도 그냥 사람이다. 본인보다 몇 년 더 헤매봤을 뿐이지 정답을 가진 사람이 아니다. 멘토가 하는 말을 너무 무게 있게 받아들이면 본인의 판단력이 흐려진다. 멘토의 조언은 참고 사항이지 지시 사항이 아니다. 본인이 직접 부딪혀보고 판단해야 한다.

둘째, 멘토 의견에 동의하지 않으면 동의하지 않는다고 말해줬으면 좋겠다. 이게 진짜 중요하다. 멘티가 본인 의견을 안 내고 그냥 듣기만 하면 멘토링이 강의로 바뀐다. 그러면 둘 다 시간 낭비다. “저는 좀 다르게 생각해요”라고 말해주는 멘티가 가장 좋은 멘티다. 그 말을 들으면 나도 다시 생각하게 되고, 그 과정에서 진짜 대화가 시작된다.

셋째, 본인이 무엇을 모르는지 솔직하게 말해줬으면 좋겠다. 멘토 입장에서는 멘티가 어디서 막혀있는지 정확히 알아야 도움이 된다. “여기서 막혔어요”라고 솔직하게 말해주는 게 가장 효율적이다. 모르는 건 부끄러운 게 아니다. 멘토링은 모르는 걸 안전하게 드러내는 자리여야 한다.

넷째, 받은 만큼 다음 사람한테 돌려줬으면 좋겠다. 이게 가장 중요하다. 내가 멘티한테 시간을 쓰는 건 그 멘티 한 명을 위한 게 아니다. 그 멘티가 나중에 또 다른 후배한테 시간을 써주기를 바라는 거다. 그 흐름이 계속 이어지는 게 결국 우리 업계 전체를 키운다. 그래서 멘티들한테 가끔 농담처럼 말한다. “너 나중에 후배들한테 똑같이 해줘야 해. 그게 멘토링 비용이야.” 진심이다.

다섯째, 본인의 길을 본인이 만들어줬으면 좋겠다. 내 길을 따라오지 않았으면 좋겠다. 오히려 “어, 저 친구는 나는 생각도 못 했던 방향으로 가네”라고 생각하게 되는 멘티가 가장 자랑스럽다. 멘토의 그림자에서 빨리 벗어나는 멘티가 진짜 잘 자란 멘티다. 나를 넘어서 가줬으면 좋겠다. 그게 멘토가 멘티한테 받을 수 있는 가장 큰 선물이다.

마지막으로 한 가지 더. 멘토한테 너무 미안해하지 않았으면 좋겠다. “바쁘실 텐데 시간 뺏어서 죄송해요”라는 말을 많이 듣는데, 멘토링은 멘토한테도 도움이 된다. 그리고 내가 정말 시간이 없으면 미안하지만 못 만난다고 말한다. 만나기로 했으면 내가 시간을 낼 수 있다는 뜻이다. 그러니까 그 시간을 최대한 알차게 쓰자. 미안해할 시간에 질문을 하나 더 하자.

보안은 취약점을 찾는 일이 아니라 문화를 만드는 일이다

여기서 좀 더 큰 이야기를 하고 싶다.

보안은 결국 문화를 만드는 일이라고 생각한다. 개발자가 자연스럽게 안전한 코드를 짜는 환경, 조직이 자연스럽게 보안을 우선순위에 두는 분위기, 사용자가 자연스럽게 안전한 선택을 하게 되는 제품. 이게 진짜 보안이다. 취약점을 백 개 찾는 것도 중요하지만, 한 사람이 “이거 보안 관점에서 한번 봐주실 수 있어요?”라고 자연스럽게 물어보는 문화를 만드는 게 그만큼 가치 있는 일이다. 그리고 이 문화를 만드는 일이 지금보다 훨씬 더 가속화되어야 한다고 생각한다. 한국 보안 업계가 더 성숙해지려면 결국 이 방향으로 가야 한다.

OWASP Seoul 챕터를 맡으면서 가장 신경 쓰는 부분이 이거다. 단순히 발표를 듣고 가는 자리가 아니라, 사람들이 모여서 “우리가 어떤 문화를 만들고 싶은가”를 같이 고민하는 자리로 만들고 싶었다. 발표자로 무대에 서는 것도 의미가 있지만, 그 무대를 만드는 사람들이 더 많이 필요하다. 무대 뒤에서 의자 나르고 안내하고 등록 받는 일을 누군가는 해야 한다. 그게 안 보이는 일이라고 해서 가치가 없는 게 아니다. 오히려 그런 일을 같이 하면서 만들어지는 관계가 더 단단하다.

문화는 개인이 만들 수 없다. 문화는 사람들이 모여서 만든다. 그래서 모이는 자리가 필요하고, 그 자리를 만드는 사람도 필요하다. 그 일에 내 시간을 쓰는 게 아깝지 않다.

그리고 이건 글로벌로도 이어진다

한 가지 더 강조하고 싶은 게 있다.

한국 보안 커뮤니티가 더 성장하려면 결국 글로벌하고 연결되어야 한다. 해외의 좋은 커뮤니티들이 어떻게 굴러가는지 보고, 그쪽 사람들하고 직접 연결되고, 우리가 하는 일을 그쪽에 보여주고, 그쪽에서 하는 일을 우리가 가져오고. 이 양방향이 활발해질수록 우리 업계 전체가 더 풍성해진다.

이게 내가 컨퍼런스 발표를 계속 하는 이유 중 하나다. 해외 컨퍼런스에 한국 사람이 한 명이라도 더 서면, 그게 다음 사람한테 길이 된다. “아, 저 사람도 갔으니까 나도 한번 도전해볼까” 하는 흐름이 생긴다. 한국 보안 커뮤니티가 글로벌하고 연결될 수 있는 다리를 놓는 일. 이게 지금 내가 가장 의미 있다고 느끼는 일 중 하나다.

Cloud Village CTF 운영팀에 최근에 봉사자로 합류한 것도 같은 맥락이다. 처음에는 플레이어로만 참가했었다. BSidesSF Cloud Village CTF에서 3등, RSAC Cloud Village CTF에서 2등. 등수도 나쁘지 않았고 재밌었다. 그런데 플레이어로 몇 번 뛰다 보니, 무대 위에서 점수 따는 것 말고 무대 자체를 만드는 자리에 가보고 싶다는 생각이 들었다.

그래서 이번에 DEF CON Cloud Village CTF에는 운영팀(CTFOps) 쪽으로 지원해서 들어갔다. 문제 출제하고, 인프라 보고, 등록 받고, 새벽까지 마지막 점검하는 일들. 플레이어 자리에서 한 발 옮겨서 운영자 자리로 옮긴 거다. 작은 변화 같지만 이게 진짜 큰 차이를 만든다고 생각한다. 한국에서 온 사람이 무대 위 플레이어로만 있는 게 아니라, 무대를 만드는 자리에도 한 명 앉아있다는 것. 다음에 한국 친구들이 거기 갔을 때 “아, 저 사람 한국분이네”라고 자연스럽게 연결될 수 있는 통로가 하나 더 생기는 거니까.

OWASP가 글로벌 조직이라는 점도 그래서 더 의미가 크다. Seoul 챕터를 하면서 자연스럽게 다른 나라 챕터들하고 연결되고, 그쪽 행사 가서 우리 이야기 하고, 그쪽 사람들 한국 오면 같이 시간 보내고. 이런 연결이 쌓이다 보면 한국 보안 업계가 점점 더 넓은 무대 위에 올라가게 된다. 누군가는 이 다리를 놓는 일을 해야 한다. 그게 거창한 이야기가 아니라, 그냥 한 명 한 명 만나서 이야기 나누고 술 한잔 하면서 친해지는 일들의 누적이다.

AI 시대일수록 사람을 연결하는 일이 더 중요해진다

이건 요즘 가장 많이 생각하는 주제다.

AI가 거의 모든 걸 대체하고 있다. 코드도 쓰고, 분석도 하고, 보고서도 쓰고, 심지어 보안 운영도 일부 대체한다. 이런 시대에 “사람이 모여서 뭘 한다”는 게 비효율적으로 보일 수도 있다. 그런데 나는 정확히 반대로 생각한다. AI가 더 많은 걸 처리할수록, 사람을 연결하는 일은 더 중요해진다.

AI는 정보를 준다. 답을 준다. 그런데 답이 너무 많아진 시대에 정작 부족한 건 “어떤 답을 골라야 하는지”에 대한 감각이다. 그건 사람한테서 온다. 비슷한 고민을 먼저 해본 사람, 비슷한 길을 먼저 걸어본 사람, 그 사람의 표정과 망설임과 확신을 직접 봤을 때 비로소 알게 되는 것들이 있다. 그건 AI가 못 주는 영역이다.

그리고 AI 시대일수록 “신뢰”가 더 비싸진다. 정보가 넘쳐나는 시대에 누군가가 “이 사람 믿을 만하다”고 보증해주는 게 점점 더 큰 가치를 갖는다. 그 신뢰는 결국 사람과 사람 사이에서만 만들어진다. 같이 밤새 문제 풀어본 사이, 같이 컨퍼런스 다녀온 사이, 서로의 발표를 들어준 사이. 이런 관계가 AI가 못 만드는 자산이다.

그래서 나는 오히려 AI가 더 강력해질수록 커뮤니티 활동이 더 중요해진다고 생각한다. 우리가 만나서 시간을 쓰는 일, 서로를 알아가는 일, 같이 술 한잔 하면서 푸념을 듣는 일. 이런 게 점점 더 귀해질 거다.

진짜 관계는 같이 무언가를 만들 때 생긴다

여기서 한 가지 더 짚고 싶은 게 있다.

그냥 카페에서 커피 한잔 마시고 친해지는 거랑, 같이 일해본 사이는 정말 다르다. 그것도 많이 다르다. 대회나 컨퍼런스도 마찬가지다. 단순히 대회만 같이 나간다고 해서 관계가 형성되는 게 아니다. 이건 내가 직접 겪어보고 알게 된 거다. CTF 같이 뛰어서 같이 점수 따고, 같은 컨퍼런스에 가서 같은 발표를 듣고. 이런 것만으로는 관계가 깊어지지 않는다. 명함 몇 장 교환하고 LinkedIn에서 서로 팔로우하는 정도에서 끝나기 쉽다.

진짜 관계는 같이 무언가를 만들 때 생긴다. CTF를 같이 운영해보거나, 행사를 같이 준비하거나, 발표를 같이 기획하거나. 무대 위에서 만나는 게 아니라 무대 뒤에서 같이 의자 나르고 새벽까지 디버깅하면서 만나야 진짜 관계가 된다. 그래서 나는 점점 더 “참가자”보다 “운영 도우는 사람” 쪽으로 시간을 옮기고 있다. 그게 더 피곤하고 더 안 보이는 일인데, 그 자리에서 진짜 사람을 만난다.

비버댐에서 후배들하고 같이 CTF하며 새벽까지 같이 문제 풀어본 사이, 화이트햇스쿨에서 같이 과제 봐주고 디펜스 들어가본 사이, OWASP 행사 같이 준비하면서 마지막 점검하던 사이, Cloud Village CTF 운영팀에서 같이 문제 출제하고 인프라 디버깅하던 사이. 이런 관계들이 그냥 커피 한잔 마신 관계랑 비교가 안 된다.

왜 그런가 생각해봤는데, 같이 일을 하면 그 사람의 진짜 모습이 보인다. 어려운 상황에서 어떻게 반응하는지, 막혔을 때 어떻게 풀어가는지, 다른 사람한테 어떻게 대하는지, 본인이 손해 볼 때 어떤 선택을 하는지. 이런 건 카페에서 이야기 나누는 걸로는 절대 안 보인다. 같이 무언가를 만드는 과정에서만 보인다.

그래서 내가 커뮤니티 활동을 좋아한다. 단순히 인맥 쌓는 자리가 아니다. 사람을 진짜로 알게 되는 자리다. 그리고 이렇게 만들어진 관계는 시간이 지나도 잘 안 무너진다. 5년 뒤 10년 뒤에 어디서든 마주치면, 그 한 번의 같이 일했던 기억으로 다시 연결된다. 이게 진짜 자산이다.

같이 새벽 3시까지 행사 준비하면서 음료수도 나눠 먹은 사이는 시간이 지나도 그 기억이 남는다.

그래서 계속 한다

회사가 더 커지고 바빠져도 이건 계속할 거다. 시간이 부족하면 다른 걸 줄이면 된다. 멘토링이랑 커뮤니티 활동은 줄이고 싶지 않다. 왜냐하면 이게 내가 이 업계에 있는 이유의 절반쯤은 되기 때문이다.

내가 멘토로서 잘하고 있는지는 잘 모르겠다. 어떤 친구한테는 도움이 됐을 수도 있고, 어떤 친구한테는 그렇지 않았을 수도 있다. 그건 그 친구들이 판단할 일이다. 다만 내가 분명하게 말할 수 있는 건, 내 길을 정답으로 강요하지 않고, 그 친구가 자기 길을 찾는 데 작게라도 도움이 되는 사람으로 남고 싶다는 것이다.

내가 받은 만큼 다음 세대한테 넘겨주는 일. 그리고 한국 보안 커뮤니티가 더 넓은 무대로 나갈 수 있게 작은 다리 하나 놓는 일. 그게 보안 업계라는 좁고 따뜻한 동네에서 내가 할 수 있는 가장 정직한 일이라고 믿는다.

Discover more from Ben DH Kim – Notes from Building Cyber Security Startup

Subscribe to get the latest posts sent to your email.

Leave a comment

Hello.

Ben DH Kim

CEO of Cremit. Aiming to be the #1 Non-Human Identity Security Platform globally.

Love Hacking, Cybersecurity, Philosophy.

Ex-(not so good) Hacker & Software Engineer. Formerly @ Sendbird, Watcha, Class101.

This is my space to share thoughts on tech, security, business, and philosophical ideas.

Let’s connect

Join the fun!

Stay updated with our latest tutorials and ideas by joining our newsletter.

최근 글

Discover more from Ben DH Kim - Notes from Building Cyber Security Startup

Subscribe now to keep reading and get access to the full archive.

Continue reading