케빈 맨디아 Kevin Mandia는 중국 인민해방군(the People’s Liberation Army)이 조직적으로 미국 기업을 해킹했다는 사실을 밝혀낸 인물이다. 포춘이 그가 보고서를 공개한 이유와 어떻게 엄청난 후폭풍을 감당하고 있는지 독점 보도한다.
CEO인 케빈 맨디아는 최고경영자 MBA 과정을 듣는 하버드 경영대학원의 맥아더 홀 McArthur Hall에서 60페이지짜리 보고서를 든 채 위험한 결정에 대해 고민하고 있었다. 이 보고서를 공개해야 할까? 7년간 약 150개의 고객 기업을 조사해 중국이 미국의 기업 기밀을 빼냈다는 사실을 상세히 밝힌 내용이었다. 중국 군 부대가 미국 기업을 조직적으로 해킹하고 감시했을 가능성이 높다는 내용이 공개되면 맨디아와 그가 만든 신생 사이버 보안회사는 보복을 당할 수도 있었다. 또 이미 경직돼 있는 미·중 관계가 더욱 악화될 가능성도 컸다. 미 공군에서 정보 장교를 지냈던 42세의 맨디아는 위험에 익숙한 인물이었다. 하지만 2월 어느 날 저녁, 결정을 저울질하던 순간에는 보고서 공개가 옳은 선택이라고 확신하지 못했다. 그는 “등에 커다란 과녁이 붙을지도 몰랐다”고 말했다. 그는 계속 고민을 거듭했다.
맨디아가 ‘APT1: 중국의 사이버 첩보부대 폭로(Exposing One of China’s Cyber Espionage Units)’라는 제목의 보고서를 공개했다는 사실은 이미 전 세계에 알려져 있다. 하지만 그에 대해선 아직 알려진 것이 없다. 그가 어떻게 미국 최고의 사설 사이버탐정이 됐고, 어떻게 보고서 공개를 위한 준비를 했는지, 또 맨디아와 그의 기업 맨디언트 Mandiant는 어떻게 정치적 파장에 대처하는지 드러나지 않았다. 요즘 사이버 스파이와 데이터 마이닝 data mining *역주: 대규모의 데이터베이스로부터 과거에는 알지 못했던, 그리고 미래에 실행 가능한 정보만을 추출해 중요한 의사 결정에 이용하는 과정, 첩보활동에 관한 뉴스 보도가 늘고 있는 상황에서 맨디아는 포춘과 독점 인터뷰를 가졌다.
미 정보기관 관계자들은 수년간 중국 정부가 대규모로 미국의 기업 기밀을 빼돌리고 있다고 주장해왔다. 맨디아의 보고서는 이런 주장을 뒷받침하는 증거가 됐다. 독립적 초당파 단체인 미국 지적재산절도위원회(Commission on the Theft of American Intellectual Property)는 지적재산권침해로 인한 미국의 연간 피해액이 약 3,000억 달러에 달하며 약 120만 개의 일자리가 없어지는데, 중국이 바로 지적재산권침해의 주범이라고 발표했다. 키스 알렉산더 Keith Alexander 국가안보국(National Security Agency) 국장은 중국의 사이버 첩보활동을 “역사상 가장 큰 규모의 부의 이전”으로 비유한다. 정부 주도하의 해킹은 미국의 안보도 위협한다. 지난 5월 미 국방부는 중국이 군대를 현대화하기 위해 미국의 방위산업기지를 해킹해 최첨단 무기 설계도를 빼내갔다고 주장했다. 미국의 사이버 절도 주장과 중국의 적극적인 반박은 세계 2대 경제 대국 간 갈등의 핵심으로 떠올랐다.
미국 정부 관료들은 이전에는 주로 비밀리에 항의했다. 이에 대해 중국 정부는 공식적으로 부인하거나, 공격적인 반응을 보이거나, 역으로 NSA 등 미국 정부 기관들의 해킹을 지적했다(전 NSA 요원 에드워드 스노든 Edward Snowden이 NSA가 중국 컴퓨터를 해킹했다고 폭로함에 따라 앞으로 두 나라의 관계가 더 복잡해질 가능성이 있다).
그런데 오바마 행정부는 최근 몇 달 전부터 선제공격을 하기 시작했다. 맨디아는 2월 오바마 대통령이 연두교서를 통해 “기업 기밀을 훔치는 외국 기업과 정부들”을 비난하자 백악관이 조용한 외교를 그만두고 싸울 태세를 갖추고 있다는 신호를 읽었다. 맨디아가 오매불망 기다리던 상황이었다. 오바마의 연설 6일 후 정보 기관 관계자들의 확인을 거친 맨디아의 보고서가 뉴욕 타임스 New York Times 1면에 실렸다.
중국에 우호적이라는 평가를 받았던 톰 도닐런 Tom Donilon 전 국가안보보좌관은 중국이 전례 없는 규모로 해킹을 통해 영업 기밀과 독점 기술을 선별해 빼내고 있다고 비난했다. 6월 오바마 대통령은 캘리포니아에서 시진핑 Xi Jinping 중국 국가주석과 만나 직접 사이버 안보 문제를 제기했다(시 주석은 이 혐의를 인정하지 않았다).
맨디아의 보고서는 학술적이고 냉정한 어조이지만 세부적인 내용은 다소 충격적이다. 상하이에 소재한 중국군 부대가 20개 산업에 속하는 147개 미국 기업을 해킹해 기술개발 계획, 독점 제조 공정, 심지어 경영진의 연락처까지 빼내갔다는 증거를 제시하고 있다. 상하이에 위치한 12층짜리 건물의 사진도 실려 있다. 음식점과 안마 시술소 사이에 끼어 있는 이 건물은 인민해방군 61398부대의 본부로 해커 수백 명(많게는 수천 명)의 본거지다. 보고서에 따르면, 포춘 500대 기업을 목표로 삼는 APT1(고급 지속 위험·Advanced Persistent Threat의 약자)은 4개의 거대한 네트워크를 사용하는 중국에서 가장 끈질긴 사이버 범죄 집단이며, 정부 주도하에 운영될 가능성이 크다. 보고서는 이외에도 중국군과 연계된 비슷한 활동이 있을 것으로 예측하고 있다. 비밀 취급 인가를 갖고 있는 맨디아는 자사의 기업 고객을 위해 조사한 내용을 바탕으로 보고서를 썼다. 하지만 보고서에 피해 기업을 명시하지도, 기밀 정보를 쓰지도 않았다고 말했다. 맨디아는 정보기관의 고위 관계자들에게 보고서를 검증 받는 데 주의를 기울였다. 이들은 공개를 강력하게 반대하지는 않았다.
예상했던 대로 중국 정부는 거세게 반발했고, 특히 맨디아와 버지니아 주 북부에 위치한 그의 회사를 비난했다. 중국 외교부는 “무책임하고 비전문적인 행동”이라고 반박했다. 신화통신은 회사 수익을 늘리려는 ‘상업적인 목적’으로 보고서를 썼다고 비난했다. 중국 대사관은 계속된 인터뷰 요청에 응답하지 않았다.
그러나 맨디아가 상업적인 목적으로 보고서를 공개한 것은 아니었다.물론 보고서가 연간 약 1억 달러의 매출을 올리는 벤처기업 맨디언트에 중요한 마케팅 기회가 된 것은 사실이다. 하지만 신생기업인 맨디언트와 설립자인 맨디아에게 불리하게 작용한 면도 컸다. 한 투자자는 맨디아를 비롯한 직원들의 이메일이 해킹 당하고, 논란의 여지가 있는 이메일이 공개될까 우려했다. 맨디아는 맨디언트의 컴퓨터 시스템에 대한 공격이 늘어났다고 주장했다. 또 여전히 중국의 보복 가능성을 염두에 두고 있다고 말했다.
하지만 보고서 공개를 결정한 건 전혀 선택의 문제가 아니었다. 맨디아는 사실상 본인의 세계관(세계가 도덕적이고 국수주의적이며 경쟁이 치열하다고 본다) 때문에 어쩔 수 없이 보고서를 공개했다. 그는 “우리는 중국이 발뺌하는 데 넌더리가 났다”며 정보기관과 기업 보안업계를 언급했다. “중국군이 범인인 걸 알면서 중국의 이름 없는 해커를 지목하는 데도 질렸다.” 180cm가 넘는 키에 적갈색 머리카락을 가진 맨디아는 여러모로 사람들이 생각하는 범죄에 맞서 싸우는 영웅 이미지(퇴역 군인, 국수주의자, 컴퓨터 전문가, 배우 리암 니슨 Liam Neeson 같은 멋진 외모)와 닮았다. 그러나 이야기를 나누면서 필자는 그가 대쪽 같은 성격이면서 유머감각도 있고, 권위주의를 싫어하는 복잡한 인물이라는 점을 알게 되었다. 그는 공군이 너무 관료주의적이어서 그만둔 인물이었다. 그리고 APT1 보고서(온라인으로 볼 수 있다)를 공개하기 전에 회사 이사진 중 다섯 명에게만 알렸다. 그는 맨디언트의 고객인 뉴욕 타임스가 컴퓨터 해킹을 폭로했을 당시, 중국 당국자들이 ‘확실한 증거’를 요구해 와 보고서를 공개한 면도 있다고 인정했다.
보고서가 공개되자마자 비밀협상은 공격과 반격 양상으로 바뀌었다. 불과 얼마 전까지 국무부 혁신 담당 수석 자문관이었던 알렉 로스 Alec Ross는 “보고서는 대중의 인식을 완전히 바꿨다. 사이버 공격의 경제적 여파는 무시할 수 없는 수준이 됐다. 이 보고서 덕분에 중국을 압박하는 것이 한결 쉬워졌다. 중국은 이제 댈만한 핑계가 없어졌다”고 말했다. 상원의 신종 위협 분과위원회 의장인 케이 헤이건 Kay Hagan 노스캐롤라이나 주 민주당 의원은 “보고서가 기술 절도의 심각성을 분명히 알렸다”고 평가했다.
맨디아와 필자는 평범한 검은색 SUV를 타고 그의 사무실로 돌아가고 있었다. 맨디아가 상원 청문회에서 증언한 후 돌아가는 길이었다. 정치적으로 민감한 사안인 만큼 맨디아의 호소와 신뢰성은 당파를 넘어 지지를 받았다. 그는 APT1은 빙산의 일각에 불과하다고 설명했다. 맨디아는 “마음만 먹었다면 더 분명한 증거도 댈 수 있었다”고 자랑했다. “하지만 그랬다면 중국을 너무 심하게 몰아붙이는 결과를 가져왔을 것이다. 난 중국에 어퍼컷을 날리고 싶었던 것이 아니다. 그저 중국을 잡고 싶었을 뿐이다.”
그는 열정적이고 큰소리치는 스타일이지만 보고서를 공개할 타이밍을 정할 때는 꼼꼼함을 보였다. 보고서는 대부분 중국인들이 (해커들도) 일을 쉬거나 업무를 적게 하는 춘절 기간에 공개됐다. 그래서 보안이 취약한 회사들은 보안을 강화할 시간을 벌었다. 맨디아는 뉴욕 타임스의 보고서에 대한 기사에 협조했다. 맨디아는 뉴욕 타임스가 권위 있을 뿐만 아니라 정보통의 정보를 독자적으로 확인하기 때문에 자신의 주장이 더 신뢰성을 얻을 것이란 점을 알고 있었다. 더 나아가 자신이 보호받을 수도 있다고 생각했다.
그는 차를 타고 가면서 진지한 표정으로 “무슨 일이 일어나면 나는 그에 걸맞은 복수를 당할 거다”라고 말했다. 그가 농담을 한다고 얘기할 순 없다. 농담이 아니었다. 맨디언트는 보고서 공개 후 컴퓨터 시스템에 침입하려는 스피어 피싱 spear phishing *역주: 특정인을 목표로 개인정보를 훔치는 행위 공격이 늘었다고 밝혔다. 맨디아가 직원들에게 보낸 가짜 자동차 수리 영수증과 이메일이 갑자기 공개됐다. 맨디아는 “중국 정부가 내 삶을 파괴할 수 있다는 것은 분명하다”고 말했다. “내 이메일을 해킹하고 내용을 바꿔 인터넷에 올릴 수도 있고, 무엇이든 원하는 대로 할 수 있다.”
맨디아는 이는 분명 중국 해커들의 전형적인 수법이 아니라고 밝혔다. 핵티비스트 hacktivist *역주: 해커(hacker)와 행동주의자(activist)의 합성어로, 인터넷을 통한 컴퓨터 해킹을 투쟁수단으로 사용하는 새로운 형태의 행동주의자들 그룹 어나니머스 Anonymous처럼 공개적으로 망신을 주는 것은 중국 해커들의 방식이 아니다. 중국 해킹 공격의 목적은 엄청난 피해를 주려는 것도 아니다(전 세계 해커들의 분포를 자세히 알고 싶다면 이 기사에 포함된 차트를 참조하라). 시스템과 파일을 손상시키지도 않는다. 회사나 공익사업을 파괴하려고 시도하는 것도 아니다. 맨디아는 “자료를 훼손하거나 기계를 정지시키는 것을 본 적이 없다. 파괴적인 행동은 본 적이 없다”고 딱 잘라 말했다.
단순히 메시지를 보내고자 하는 것이 해커들의 목적일 때도 있다. 뉴욕 타임스가 지난해 10월 25일자 지면에 당시 원자바오 총리 일가의 사업 거래에 대한 기사를 싣자 중국 정부 관계자들은 “대가”를 치를 것이라고 경고했다. 수개월 동안 은밀히 뉴욕 타임스의 네트워크를 조사한 맨디언트 팀은 해커들이 대학교 네트워크를 통해 뉴욕 타임스의 네트워크에 접속하고, 직원들의 비밀번호를 빼내는 것을 주시했다. 데이비드 생어 David Sanger 뉴욕 타임스 워싱턴 수석특파원은 포춘과의 인터뷰에서 “우리가 뉴욕 타임스 침입사건에 대해 기사를 쓸 거라고 전혀 의심하지 않았던 것 같다”고 말했다. 기업들은 보통 해킹 당했다는 사실을 공개적으로 밝히는 걸 꺼린다. “우리에게 문제는 오직 타이밍이었다. 해커들이 시스템에서 나갈 때까지 수개월 동안 기다려야 했다.” 뉴욕 타임스는 해커들의 접근이 완전히 차단되자마자 기사를 게재했다. 1월 30일자 기사에서 질 에이브럼슨 Jill Abramson 기자는 해커들이 원자바오 일가 수사와 관련된 중요한 파일과 이메일에는 접근하지 못했다고 썼다.
뉴욕 타임스가 해킹 당했다는 기사가 나가고 몇 주 뒤, 생어와 다른 두 명의 기자들은 미국의 다른 피해 기업들에 관한 맨디언트 보고서의 결론을 공개하고 확인했다. 생어는 “기사에도 밝혔듯이 특정 IP위치의 개인 해커들을 추적할 수 있고, 경우에 따라서는 그들이 컴퓨터 스크린으로 무엇을 하는지 볼 수도 있다. 하지만 61398부대 앞까지만 위치를 알아낼 수 있는 한계가 있었다”고 말했다. 61398부대는 인민해방군의 사이버 활동 전담 부대로 추정된다. “그러나 해킹의 본거지가 다른 곳이라면 부대 주위의 국수 가게였다고 믿을 수밖에 없다.”
국방부와 정보기관, 정부와 계약한 관련 기업들은 수십 년간 시스템의 보안을 강화했지만 대부분 미국 기업들은 공격에 취약한 상태다. 맨디아는 최근 고위급 사이버 보안 전문가들에게 “미국 기업 중 5%만이 내부보안에서 1등급”이라고 지적했다. 맨디아는 해킹이 일어나면 방화벽으로 차단하고 저지할 수 있지만 완전히 사이버 공격을 막을 순 없다는 굳은 믿음을 바탕으로 회사를 설립했다. “책에 쓰여 있는 모든 기술을 이용해도 해킹 당할 가능성이 있다.”
맨디아는 해킹 예방을 선전하는 대신, 시스템에 누군가 침입한 것이 감지되면 곧바로 기업 본사에 맨디언트 팀(대부분 전직 정보 장교와 컴퓨터 수사 전문가들로 구성돼 있다)을 보낸다. 맨디언트는 이 비즈니스 모델 덕분에 다른 회사들과 차별화할 수 있었고, 연 평균 65%의 매출 성장을 기록할 수 있었다. 현재 더블린 Dublin을 포함한 9곳의 지부에 319명의 직원을 거느리고 있다. 맨디언트는 지난봄 ADT 보안 시스템과 비슷한 사이버보안 소프트웨어 제품을 출시했다. 이 소프트웨어는 네트워크를 감시하고 공격이 있으면 경보를 울려 공격한 해커를 차단한다. 그 후 지역 경찰이 주거 침입 사건에 출동하듯, 맨디언트 팀이 문제에 접근한다.
사이버보안은 인기 있는 사업이 됐다. 기존 보안 회사들은 특히 온라인 서비스를 개선하고 있다. 맨디아는 2011년 본격적으로 맨디언트를 키우기 위한 작업에 착수했다. 그는 J.P. 모건 체이스의 사모펀드인 원 에퀴티 파트너 One Equity Partners와 실리콘밸리의 유명한 회사 클라이너 퍼킨스 커필드&바이어스 Kleiner Perkins Caufield & Byers로부터 7,000만 달러를 투자 받았다. 엔젤 투자자들의 맨디언트 주식을 모두 사들인 사모펀드들은 맨디언트가 속한 시장이 앞으로 쭉 성장할 거라고 확신한다. 맨디언트의 이사도 맡고 있는 원 에퀴티의 조디 거소 Jody Gessow는 “한 해에 IT부문에 약 1억~5억 달러를 쓰는 대기업이라면 몇 백만 달러 더 투자해서 해킹 당하는 것을 확실히 막고 물리치고 싶지 않겠나”라고 반문했다.
기업들은 보통 시스템이 처음 침입 받고 몇 달이 지나서야 멘디언트 사무실(간판도 없이 회사 로고 M이 그려진 풋볼 헬멧으로 사무실을 꾸며 놓았다)에 전화를 건다. 기업들이 해킹 이후 맨디언트에 의뢰하는 데 걸리는 평균 기간은 2011년에는 1년이었으나 지난 해는 113일로 줄었다. 회사 시스템이 느려지는 등의 증상이 나타나면 회사 내부 보안 시스템이 알아서 해킹 탐색에 나서는 경우도 있다. 그러나 고위 간부들이 FBI로부터 연락을 받고 해킹을 알아차리는 경우도 많다. 중국 해커들은 상사인 척하고 이메일을 보내거나, 콘퍼런스의 주최자를 가장해 첨부파일을 보내는 등 굉장히 속이기 쉬운 기술을 이용해 회사 시스템에 침투한다. 유명한 컴퓨터 보안업체 RSA의 경우, 한 직원이 ‘2011년 채용 계획’이라는 이름의 파일을 열자 시스템이 해킹 당했다.
맨디아는 불안에 떠는 경영진의 전화를 받을 때마다 해킹 당한 기업들이 고립돼 있다는 사실을 뼈저리게 인식한다. SEC(미국증권거래위원회)는 투자 결정에 중요하다고 생각되는 위험을 공개해야 한다고 명시하고 있다. 하지만 피해 기업 경영진은 해킹 사실을 드러내길 꺼린다. 맨디아는 “내가 함께 일한 경영자들은 굉장히 불안해 했다. 공개적으로 깃발을 흔들면서 ‘우리 회사는 해킹 당했으니 신뢰성이 떨어진다’고 광고할 순 없지 않은가”라고 말했다. 맨디언트는 회사 지지자들이 NSA에 필적한다고 평가하는 특정 해커와 기술에 대한 방대한 지식 베이스를 제공한다. 맨디아는 공군 소위 시절부터 국방부에서 사이버범죄를 수사하며 네트워크에 드나드는 것들을 추적하기 위해 네트워크를 주의 깊게 관찰했다. 1990년대 초 당시는 여전히 전화선에 연결한 모뎀을 쓸 때였다. 1급 비밀 취급 인가를 받아 활동하던 맨디아는 공군특수수사대(the Air Force Of Special Investigation)에서 교육을 받으며 군사 기지 아동 포르노부터 중국·러시아 해커까지 모든 것을 철저히 조사했다. 그는 1998년 유닉스 시스템에서 윈도로 공격이 옮겨갈 때 그 중심에 있었다. 그는 “인터넷 상거래가 증가하기 시작했다. 모두들 아무 준비 없이 맨손으로 온라인에 뛰어들었다”고 당시를 회상했다. FBI는 그에게 컴퓨터 보안 전문가들을 교육해달라고 요청했다. 맨디아는 2001년 이에 대한 책을 출간했다(‘사건 대응과 컴퓨터 수사 (Incident Response and Computer Forensics)’라는 그다지 끌리지 않는 제목이었다).
맨디아를 세르게이 브린 Sergey Brin이나 래리 페이지 Larry Page 등 그가 보호하는 기업가들과 혼동하는 사람은 없을 것이다(구글도 맨디언트의 고객사다). 맨디아는 1980년 9학년이었을 때 반에서 두 번째로 라디오 색 Radio Shack의 TRS-80 컴퓨터를 산 아이였다. 그는 그 후 계속 컴퓨터 앞에서 살았다. 하지만 10대 시절은 검시관이 과학과 법의학을 이용해 살인 사건을 해결하는 드라마 퀸시 M.E. Quincy M.E.를 보며 보냈다. 뉴욕 주의 로체스터 Rochester에 위치한 고등학교에 진학했으나 3학년 때 부모님이 이혼하면서 인력관리 전문가였던 아버지를 따라 피츠버그 Pittsburgh로 이사했다. 10대 때 두왑 doo-wop *역주: 1950년대 유행한 ‘리듬 앤드 블루스’ 스타일로 리드 보컬의 배경에 허밍풍의 코러스가 어우러진다 코러스를 했던 어머니는 메리 케이 Mary Kay 화장품의 외판원이었다. 어머니의 음악적 유전자를 물려받은 맨디아는 8학년 때부터 독학으로 기타를 배웠다. 그는 펄 잼부터 클래식까지 다양한 음악을 좋아했다. 실제로 최근 회사 일로 바빠지기 전까지 여러 밴드를 이끌며 친구들과 공연을 했다. 요즘은 두 어린 딸을 재우기 위해 “평범한 ‘에델바이스’를 연주한다”고 말한다.
맨디아는 공군 ROTC 장학금을 받고 펜실베이니아 주 이스턴에 위치한 라파예트 Lafayette 대학을 다녔다. 그때 사교클럽에 가입하고 미식축구도 했다. 1993년 국방부에 들어가 쭉 컴퓨터 보안을 맡았다. 공군에서 “그나마 가장 나은” 일이었기 때문이었다. 맨디아는 여전히 CSI처럼 과학으로 범죄를 해결하는 데 관심이 있었다. 그래서 조지 워싱턴 대학교의 법의학 과정에 등록했다. 한 친구는 “많은 중위들이 케빈이 날로 커지고 있던 컴퓨터 세계를 공부하지 않고, 대신 밤마다 시체를 연구하는 데 미쳐 있다고 생각했다”고 회상한다. 하지만 맨디아는 법의학 공부를 통해 컴퓨터 범죄 수사의 선구자가 될 수 있었다.
맨디아는 1998년 위계질서와 복잡한 절차에 질려 군을 떠났다. 그는 “어떤 의도를 가지고 빠르게 행동하고 싶다면 공무원은 좋은 선택이 아니다”라고 말한다. 맨디아는 인터뷰에서 웃으며 내게 “누군가 잘못된 결정을 내리는 바람에 시속 100마일로 벽에 머리를 박는 걸 보면 재미있다. 나도 그런 적이 있다”고 말했다. 맨디아는 군을 나와 민간기업에서 일하다가 새로운 도전을 위해 회사를 박차고 나왔다.
그는 2004년 맨디언트의 전신인 레드 클리프 Red Cliff라는 회사를 만들었다. 당시 사무실 벽에는 ‘악을 찾아 범죄를 예방하자’라는 모토가 걸려 있었다. 어린 시절부터 친구인 더그 델라마터 Doug DelaMater는 “악을 물리친다는 생각이 그를 움직이는 원동력이었다. 돈을 벌려는 목적은 전혀 없었다”고 말한다. 그리고 9개월 뒤 맨디아는 고환암 판정을 받았다. 32세의 나이였다. 그는 편두통을 앓았다는 이야기를 하듯이 무덤덤하게 “매일 아침 치료 받고 토하고 다시 일하러 갔다”고 말했다. 현재는 암이 완치된 상태다.
친구들은 맨디아가 언제나 그런 강한 의지를 보였다고 말한다. 공군 중위였을 때 한 대위가 5km 마라톤을 우승할 거라고 자신하자 그의 전의도 불타 올랐다. 맨디아는 마라톤 장소로 가는 버스를 놓쳤는데도 포기하지 않고 출발 지점까지 뛰어갔다. 결국 마라톤에 참여했고 1등을 했다. 대학 시절 친구이자 초기 투자자인 라이언 스케들러 Ryan Schedler는 “그는 이겨야만 직성이 풀린다. 그는 사람들을 얼마든지 지치게 만들 수 있다”고 말한다.
이런 점은 그를 좋은 기업가로 만들었지만 -맨디언트를 전략적 바이어에게 매각하거나 상장하길 바라는 이 두 시나리오를 위해 맨디아는 악당들을 때려눕히는 임무보다 이익을 늘리는 데 집중해야 한다- 직원들과 투자자들을 좌절시키기도 했다(그는 한 잠재적 투자자가 “그래서 출구 전략이 무엇입니까?”라고 묻자 면전에서 웃은 적이 있다). 맨디아는 자금이 풍부하고 연줄이 든든한 휼렛-패커드 Hewlett-Packard 같은 경쟁기업들이 맨디언트의 사업을 주시하는 요즘 같은 때 더욱 경영자의 태도를 갖출 필요성이 있다는 걸 인식하고 있다. 그래서 하버드 경영대학원의 경영자 프로그램에 등록했다.
하지만 그는 회사 생활에 대해 애증을 가진 듯하다(그의 경영스타일의 특징은 색다른 유머감각이다. 맨디아는 사무실 내 모든 인턴들을 “테드”라고 부른다고 알려져 있다). 맨디아는 필자에게 “투자자들에게 나에 대해 물어보면 고집이 세고, 남의 말을 안 듣고, 지시를 잘 안 따르고, 구제불능이라는 사실만 알 수 있을 것이다”라고 이야기했다. 그는 “이사회가 말하는 대로 다하다간 실패한다”고 덧붙였다. 그는 ‘가치창출’에 대해 말하는 재무 담당 직원들을 신나게 조롱하다가 갑자기 말을 멈추더니 “참고로 난 이사진을 좋아한다. 하지만 회의를 하면서 ‘이거 생각해봤어요? 저거 생각해봤어요?’ 계속 이런 질문을 듣다 보면 방어적인 태도를 취하게 된다”고 말했다.
맨디아를 지지하는 사람들이 그의 가시 돋친 말을 신경 쓰지 않는다고 해서 새삼 놀랄 일은 아니다. 그들은 맨디아를 자신의 돈을 늘려줄 사람으로 본다. 맨디언트의 이사이자 클라이너 퍼킨스가 컴퓨터 보안회사에 투자하도록 만든 테드 슐레인 Ted Schlein은 맨디아를 아마존의 CEO 제프 베조스 Jeff Bezos와 비교한다. 슐레인은 “베조스는 꿈이 있었다. 돈이 목적이 아니라 가진 뜻이 있었고, 이를 위해 절대 주저하지 않았다. 다른 사람들의 말을 안 들을 때도 많았고, 이익이 나는지 신경 쓰지도 않았다. 하지만 자신의 사명이 옳다고 믿었다. 케빈도 비슷한 점이 많다”고 말했다.
맨디언트의 보고서가 발표된 이후 관료들은 중국의 사이버 첩보 활동을 막을 ‘방안’을 고심하고 있다. 맨디아는 이에 대해 “의회가 암 치료제를 입법화하려는 거나 마찬가지”라고 말한다. 그는 “해킹을 막을 수 없다. 알아차리고 시스템을 복구하는 데 걸리는 시간을 줄일 수 있을 뿐이다”라고 지적한다. 그는 규제조치, 주주 소송 등의 처벌로부터 기업들을 법적으로 보호하면 서로 침입받은 정보를 자유롭게 공유할 수 있어 도움이 될 것이라고 주장한다.
지난 1월 오바마 대통령은 주요 인프라를 보호하기 위한 행정명령에 서명했다. 이 행정명령은 정부와 민간 부문 간 정보를 공유하는 것을 골자로 한다. 더불어 정부기관들이 주요 인프라에 관계된 민간기업들이 지켜야 할 임의표준을 마련하도록 지시했다. 맨디아가 지지한 정보 공유 법안도 지난 4월 양당의 지지를 받아 하원을 통과했다.
맨디아는 조지타운 Georgetown의 포 시즌스 Four Seasons 호텔에서 마티니를 마시면서 필자에게 해킹 위험은 줄어들지 않을 것이라고 강조했다. 그는 “모든 기업은 중국과 거래하고 싶어한다. 해킹을 당하면 모든 수단을 동원해 네트워크 보안을 정비할 것이다. 그러나 중국의 ‘개자식들(SOBs)’을 비난하지는 않을 것이다. 모두들 중국과 거래를 원하기 때문에 큰 목소리를 내길 꺼린다. (그들은 중국과) 좋은 관계를 유지하고 싶어한다”고 목소리를 높였다. 미국 기업들이 중국에서 사업할 노하우을 배우는 대신, 자발적으로 중국 기업들에게 IP 접근을 허가해 ‘기술 이전’을 자초한다고 비판하는 목소리도 많다.
이로 인해 맨디아는 자연스럽게 국가를 위한 대의를 인생의 사명으로 정했다. 그는 “사이버공간에서 최악의 상황은 미국이 골키퍼 같은 존재라는 점”이라며 “따라서 우리는 사이버공간에서 득점할 수 없다. 모든 것을 잃을 뿐이다”라고 말했다.
