벌써 취중진담 시리즈가 7회를 맞았다. 이번회의 주인공은 바로 석달 전까지만 해도 안랩의 선행기술팀 연구원으로 일하다 홀연히 한국방송 KBS 정보보호팀으로 자리를 옮긴 장상근 씨다. (KBS는 팀장 이하는 모두 사원이기 때문에 특별한 직함이 없단다.) 그래서 그를 만나기 위해 스산한 초겨울 비까지 내린 여의도로 발길을 옮겼다.
 
기자는 그를 악성코드 분석에 있어 일가견이 있는 보안전문가 혹은 해커로 알고 있었다. 그런 그가 국내 최대 방송사인 KBS의 정보보호를 양어깨에 짊어지고 가겠다고 하니 만나보지 않을 수 없었다.
 
더군다나 KBS는 지난 3.20 사이버사고의 중심에 있었던 방송사다. 3.20 사태는 KBS, MBC, YTN 등 주요 방송사와 신한은행, NH농협은행, 제주은행 전산망이 2013년 3월 20일 오후 2시경 악성코드에 감염돼, 총 3만 2천 여 대에 달하는 컴퓨터가 일제히 마비되는 사상 초유의 사건이었다. 정부와 국정원은 공격의 주체를 북한이라고 지목한 바 있다. 특히 KBS를 비롯한 방송사에서는 직원들의 PC가 멈추는 등 업무가 마비될 정도였다. 바로 그 혼란스러운 곳에 장상근 씨가 투입된 것이다. 양대창 구이에 소주잔을 기울이며 이야기를 시작했다. 그는 과연 어떤 생각을 가지고 KBS행을 결심했을까.

 
-우선 보안분야 관심은 언제부터 가졌나요?
컴퓨터는 초등학교 4학년 때부터 시작했지만 해킹이라는 것은 중학교 때 알게 됐어요. 그 당시에는 막연하게 해커가 되고 싶다라는 생각만 가지고 있었죠. 그래서 당시 유니텔 해킹 동아리에서 활동하면서 소위 말하는 스크립키드의 시절을 보냈죠. 해킹툴을 사용해 다른 사람 PC를 해킹도 해보고 재미를 느끼던 중 누군가 내 PC를 공격해 모든 정보를 날려버린 적이 있었어요. 충격이었죠. 그때 결심한 것이 바로 공격자 보다는 방어자가 되는 것이 더 필요하다는 생각을 했어요. 장래희망이 그때 정해 진거죠.
 
고등학생 때는 충북 해커스랩을 결성해서 활동했고 그 와중에 모 대학에서 국내 처음 개최한 고교생 해킹방어대회에서 입상한 적이 있었는데 그때 만난 친구가 바로 요즘 상종가를 치고 있는 그레이해쉬 이승진이죠. 대학도 세종대 컴퓨터공학과에 정보보호특기자 수시 전형을 통해 같이 입학하게 되면서 해킹 보안 분야 활동과 공부를 계속 하면서 친해졌지요.
 
개인적으로는 세종대 정보보호동아리(S.S.G)에서 해킹보안 분야에 대해 선후배님들과 함께 공부하고 KUCIS(대학정보보호동아리연합) 활동을 하면서 보안 전문가를 꿈꾸는 친구들과 함께 활동하는 것이 맞아서 계속 보안 분야를 하고 있는 것 같아요.
 
-군에서는 이라크 파병까지 갔다고 들었는데 사실인가요?
네. 병역특례를 하려고 했는데 여의치 않아 군대를 갔죠. 군에서도 사이버보안 관련 업무를 했어요. 일병 때 이라크 자이툰부대 지원을 했죠. 자이툰부대에서 6개월을 복무했는데 거기서는 전산병으로 보직이 변경되었어요. 아주 기초적인 랜선 제작부터 컴퓨터 조립, 시스템 구축, 악성코드 분석, 프린터 수리까지, 그리고 사이버공격 탐지, 분석, 보고, 프로그래밍 등 모든 업무를 담당했죠. 그때 각종 보안시스템들을 다뤄본 경험이 지금 현업에서도 큰 도움이 돼요. 보안 프로그램을 만들고 시스템을 관리하는데 두려움이 없게 된 거죠. 다시 한국으로 복귀하고 나서는 군에서 처음 열린 제1회 해킹방어대회에 참가해 입상을 하기도 했구요. 또 군에서 바이러스, 악성코드 탐지에 백신 업체와 협업하면서 능력도 인정을 받게 됐어요. 그때 하우리와 인연을 맺게 됐죠.
 
-보안업체에서는 얼마나 근무하신거죠?
대학교 3학년 2학기 복학과 동시에 하우리에서 일하기 시작했어요. 하우리에서 만 5년 정도 근무하다가 창업을 하자라는 생각을 갖고 창업 준비를 하기 시작했죠. 하지만 개발했던 것들로는 비즈니스 모델을 만들기가 힘들었어요. 이런저런 고민 중에 안랩 김기영 실장님께서 좋은 기회를 주셔서 안랩 융합제품개발실 내에 선행기술팀을 만들어서 재미난 연구들을 진행했죠. 1년 정도 근무했어요. 돌이켜보면 하우리와 안랩에서 소중한 경험을 얻었어요. 하지만 연구원으로 머물러 있기에는 뭔가 부족함을 느꼈어요. 보안은 한 분야만 안다고 해서 해결되는 문제가 아니거든요. 현업에서 어떤 일들이 일어나고 있고 그 문제들을 해결하려면 어떻게 해야 하는지 구체적인 생각들을 가지고 있었어요. 소위 전문가나 연구가는 우물 안 개구리가 되기 쉬워요. 자기 기술이 최고라고만 생각하죠. 잘못하면 자만심에 빠져 스스로 성장에 한계를 만들어 버릴 수 있어요. 현실에서 그 기술이 어떻게 적용되고 어떤 도움을 줄 수 있는지를 생각해야 할 것 같아요.. 그래서 제가 가진 생각들을 현실 세계에서 한번 구현해 보고 싶었어요. 그때 KBS가 눈에 들어온 거죠.
 
-KBS 입사는 경쟁률이 상당했을 텐데 어떤 과정을 통해 입사하게 됐나요?
정보보호 관련 2명을 채용하는데 정확히는 잘 모르지만 경쟁률이 상당히 높았고 IT 경력 채용은 20년 정도 만에 있는 일이라고 들었어요. 3.20 사건을 겪으면서 보안 영역 만큼은 보안 전문가가 필요 하다고 느껴서 보안 전문가를 채용하게 된거죠.
 
채용은 1차 서류 전형과 2차 전형으로 이루어졌어요. 2차 전형에서는 실무 면접과 인성 검사를 받게 되고 마지막으로 임원 면접을 통해 최종 합격자를 뽑는 과정이었어요. 2차 실무 면접 때에는 30분 동안 KBS 보안 구축 제안서를 작성해 이를 바탕으로 기술 면접을 함께 진행 했어요. 실무에서는 자신이 있었기 때문에 최선을 다해서 설명을 했죠. 그 중 어느 면접관께서 “자격증은 별로 없네요?”라고 질문을 하셨는데, 그에 대해 답변으로 “자격증으로는 실력을 증명 할 수 없습니다.”라고 답변을 했었지요. 합격 이후 면접관과 마주친 적이 있었는데 면접 당시 했던 질문에 답변이 뜨끔했다고 하셨어요. 그 이후 최종 임원 면접에서는 KBS에 왜 지원하게 되었는지 그리고 입사 후 정확한 목표와 비전을 제시했고 지금 그 목표를 실천에 옮기고 있는 중이에요.
 
-KBS에 가서 직접 겪어보니 어땠어요?
처음엔 좀 황당했어요. 정보보호팀이라는 것이 없었고 하나의 IT 업무 중 하나로 하고 있는 상황이었어요. 입사 후 지급 받은 노트북과 책상만 있을 뿐 어디부터 배우고 시작을 해야 하는지 아무것도 준비가 되지 않은 상태로 보안 업체 있을 때와는 전혀 다른 분위기였지요.

물론 보안관련 장비들이 도입되어 있고 운영되고 보안 업체들과 협업해서 보안을 하고 있지만 보안이라는 것이 완벽할 수는 없는 것이잖아요. 이것은 KBS 뿐만 아니라 타 방송사도 마찬가지라고 생각해요. 그나마 방송사 및 언론사 중에는 KBS가 좀 더 체계적으로 보안을 구축을 하려고 노력하고 있는 상황이라고 보면 될 것 같아요.
 
-그래서 제일 먼저 한 업무가 어떤 것이었나요?
여기저기 흩어져 운영 중인 Firewall, IPS와 같은 네트워크 보안 장비 및 ESM, TMS, PMS, Anti-Virus 시스템, 로그 관리 시스템 등 너무 많은 보안 시스템들이 있었어요. 만약 침해사고가 발생 중이더라도 파악하지 못하는 것은 당연하다 싶을 정도로 무엇을 하나 찾기에는 오랜 시간이 걸렸어요. 
 
그래서 쉽고 신속하게 눈으로 파악할 수 있도록 KBS에 맞는 통합 보안 관제 시스템 체계를 개발하기로 마음먹고 개발을 하게 되었죠. 혼자 2개월간 열심히 개발해서 여기저기 흩어진채 운영 중인 보안 장비와 보안 관리 솔루션들을 통합하고 실무에서 쌓은 노하우를 KBS에 적합하게 보안 프로세스를 수립하고 그 위에 운영되도록 만들었어요. 그래서 이제는 사무실에서 전국의 KBS 네트워크에서 어떤 사이버 위협이 몇 건 발생되고 있는지에 대해 신속하고 정확하게 파악이 가능하게 되었고 KBS 네트워크에서 들어오고 나가는 모든 트래픽을 관찰하고 그 중에서 위협이 될 수 있는 부분이 어떤 부분인지 한 눈에 볼 수 있는 시스템도 만들고 있어요.
 
이렇게 해놓으니 이제는 위협 상황이 한 눈에 들어왔어요. 예를 들어 대구 KBS 어느 부서 누구 PC에 현재 어떤 악성코드가 감염됐는지까지 실시간으로 파악할 수 있게 됐어요. 그럼 바로 전화해서 담당자에게 PC 감염 사실을 통보하고 1차 조치 후 지속적인 관찰을 통해 2차 조치가 필요한 경우 원격점검 지원을 하는 프로세스를 만들었어요.
 
이러한 악성코드 대응 프로세스를 통해 악성코드 발생 건수가 90%이상 줄어들었어요. 그리고 보안장비를 튜닝해 새로운 기능의 장비로 변화시키는 작업도 진행하고 있어요. 또 보안업체와 협업해 기존 장비들이 KBS에 최적화 될 수 있도록 만드는 작업도 하고 있죠. 또한 위협이 인지되면 정보보호팀이 파악하고 대응하기 전까지는 공격자를 사전 차단시키는 프로세스를 진행하고 있어요. 안전하지 않다고 판단되면 정보보호팀이 확인하기 전까지 공격자의 접속 경로를 차단하는 것이죠. 방송시스템이라면 그렇게 할 수 없지만 업무 시스템은 안전성을 우선으로 생각하고 해당 선조치후보고 대응 처리 보안 프로세스를 추진하고 있어요.
 
이렇게 체계를 잡는데 3개월이 걸렸네요. 생각해보면 누군가 시켜서 하는 것이라면 3개월이란 짧은 기간 내 할 수 없었을 거에요. 하지만 제 자신이 원했고 꼭 필요로 했었기 때문에 짧은 시간 내에 만들 수 있게 되었던 것 같아요. 그리고 방송사에 적합하게 자체 개발한 통합 보안 관제 시스템 구축을 완료하면서 이제는 ‘KBS 정보보호팀’으로 이름을 바꾸고 출발하게 되었고 방송사, 언론사에 적합한 보안 프로세스 및 솔루션들에 대한 연구와 보안 기술 전파 활동을 할 계획이에요. 그래서 요즘은 즐거운 마음으로 퇴근 후 조금씩 KBS에 필요한 프로그램 개발 작업을 계속 하고 있어요. 누가 시켜서 하는 것도 아니고 책임감과 즐거운 마음으로 일하고 있어요.
 
-보통 결혼 적령기가 되면 갑으로 가는 경우가 많은데, 상근 씨가 KBS로 간 이유도 그런 것이 아닌가 생각했는데 다른 이유가 있는 것 같군요.
KBS로 온 이유는 경험이에요. 현실 경험을 쌓고 싶었어요. 저의 최종 목표는 후배 양성이에요. 계속 보안업체에서 연구만 하다보면 후배들에게 경험에서 비롯된 이야기를 해 줄 수 없다고 생각해요. 전체를 보지 못하고 기술에만 집착하는 우물 안 개구리가 되고 싶지 않았어요. 실제 기업에서 어떤 일들이 발생하고 있고 이를 대응하는데 필요한 것이 무엇인지 기술적, 관리적 부분들에 대해 종합적으로 말해 주고 싶어요. 보안은 기술로만 하는 것이 아니잖아요. 나무만 보는 것이 아니라 숲을 볼 줄 아는 보안전문가가 되어야 한다고 생각해요. KBS로 온 이유도 거기에 있어요.
 
-KBS가 사고를 당한 후라 부담도 될 것 같은데 압박감은 없나요? 다시 사고가 나면 어쩌나 그런 걱정들 말이죠.
잘 해야겠다는 생각은 있어요. 당하더라도 그 전처럼 무방비로 당하진 않도록 해야죠. 보안에서 100%는 없잖아요. 내부적으로 철저한 시스템을 구축해 나갈 거에요. 그리고 하나 더 하고 싶은 일은 사이버테러를 막기에는 한 기관의 힘만으론 부족해요. 금융에 금융ISAC이 있는 것처럼 방송, 언론에도 ISAC이 필요하다고 생각해요. 방송-언론 ISAC을 구성하거나 적어도 방송-언론 보안 협의체를 구성해서 공동대응을 할 수 있도록 그 중심에서 도움을 주고 싶어요. 그래서 이 부분은 내부 시스템이 정비가 좀 되면 적극적으로 추진해 언론사 공동 침해대응체계를 만들어 볼 생각이에요. 현재 KBS에서도 적극적으로 정보보안을 할 수 있도록 지원해주고 있어서 지금이 KBS 정보보호 체계를 잡을 수 있는 최적기라고 생각하고 있어요.
 
-후배 양성이 목표라고 했는데 상근 씨가 꿈꾸는 미래는 어떤 거에요?
지금 제 나이가 서른이에요. 현업에서 10년을 더 일한다고 해도 마흔. 그 중간에 대학원에서 석·박사 학위를 취득할 생각이에요. KBS는 일정 연차가 되면 심사를 통해서 회사에서 대학원 학비를 지원해 주고 있고 10년 정도 연차가 되면 해외 유학도 가능한 부분이 있어요. 그래서 현업에서 충분한 경험을 쌓고 꾸준히 공부하면 후배들을 가르칠 수 있는 기회가 올 수 있을 것 같아요. 보안업체 경험과 현업에서의 치열한 정보보호팀 업무 경험, 대학원에서 이론적 학문을 종합해 후배들에게 전체를 말해 줄 수 있는 선배가 되고 싶어요. 협소한 한 분야의 기술이 아닌 숲을 볼 수 있도록 길을 안내하고 후배들에게 정보보안 전문가라는 사명감을 심어주고 싶은 마음이에요.
 
취중진담을 마치고 돌아오면서 생각나는 단어가 있었다. ‘골수분자’. 그는 아무리 생각해도 보안분야의 골수분자라는 생각이 들었다. 뼛속까지 보안하는 사람. 치열하게 살지만 여유가 있어 보이는 장상근 씨. 웬만한 내공으로는 버티기 힘든 십자가를 짊어졌지만 그는 즐긴다고 한다. 공자는 논어(論語) 옹야편(雍也篇)에서 “知之者 不如好之者, 好之者 不如樂之者”라고 했다. “알기만 하는 사람은 좋아하는 사람만 못하고, 좋아하는 사람은 즐기는 사람보다 못하다.”
 
데일리시큐 길민권 기자 mkgil@dailysecu.com