오랜만에 취중진담 코너를 재개한다. 9번째 주자는 김기영(사진) 안랩 융합제품개발실장이 낙점됐다. 벤더에 오랫동안 근무했지만 그의 마당발은 다양한 보안분야 인맥을 관통하고 있고 시야도 넓다. 항상 연구하는 자세로 사안을 바라보고 시끄럽지 않지만 영향력 있는 보안통으로 통하고 있다. 얼마전 서초에 위치한 조용한 중화요리집에서 그를 만났다. 맛집은 아니었지만 조용히 술잔을 기울이면서 대화를 하기에는 좋은 장소였다.
 
그의 시작은 포스코다. 전자공학을 전공하고 포스코 장학생으로 입사해 포항에서 근무를 시작했다. 입사하고 얼마 안되 밸트컨베어가 무너지는 사고가 있었는데 이를 해결하기 위한 데이터 분석 프로그램을 만들면서 SW에 적성을 발견했다고 한다. 이후 한국후지쯔로 자리를 옮겨 본격적인 SW 업무를 시작한다. 빠르고 정확한 코딩으로 업무 능력을 인정 받으면서 보안회사인 소프트포럼으로 다시 이직한다. 그때부터 보안과 인연을 맺게 됐다.
 
-보안을 전혀 모르던 상황에서 보안기업에 입사를 한 건가요?
당시 암호나 전자서명 등에 대해 전혀 몰랐죠. 모르고 일하는 것이 싫어서 그때는 일하면서 계속 관련 책을 꺼내놓고 하나하나 마스터하면서 일을 처리했어요. 암호알고리즘을 몰라 책을 파고들고 원서를 뒤지고 표준문서도 보고 그렇게 계속 공부하면서 하나하나 배워나가다 보니 어느덧 주위에서 ‘전문가’라는 말을 하더군요. 지금도 후배들에게 강조하는 부분인데 기본을 확실하게 다져야 응용도 가능하다라는 거죠. 공부를 위한 공부가 아니라 현장에서 필요했기 때문에 더욱 절실하게 공부했던 것 같아요. 그래서 항상 스타트가 더뎌요. 확실히 파악한 다음에 진행하는 스타일이죠.
 
-소프트포럼에서 다시 이니텍으로 옮기셨는데 이유가 있나요?
소프트포럼에서 8년 넘게 근무했죠. 나름 인정도 받았다고 생각해요. 그런데 2004년 경, 뛰어난 보안인력들이 대기업이나 공공으로 많이 빠져나간 시기였어요. 그러면서 회사내에서 기술과 관리를 같이 맡아야 했죠. 비즈니스도 해야 했고. 이제 좀 할만하다 싶었는데 너무 많은 걸 맡게 돼서 최악이었죠. 그때 한창 모바일과 임베디드 보안분야 연구에 열중하던 시기였죠. 그때 연구한 내용들이 요즘 각광을 받고 있네요. 아무튼 좀 힘든 시기여서 이직을 하게 됐어요.
 
-초창기 스마트폰 뱅킹 서비스 개발에도 깊숙이 관여했다고 들었어요.
2004년부터 모바일 시대를 준비해야 한다는 생각에 계속 연구해 왔어요. 이니텍 가서 스마트폰 뱅킹 서비스 플랫폼을 만들고 아이폰 출시만 기다렸죠. 그러던 중, 2009년 아이폰이 국내에 처음 출시됐죠. 다른 은행들의 반응은 시큰둥했어요. 그때 하나은행에서 적극적으로 검토후 국내 처음으로 스마트폰 뱅킹 서비스를 오픈하게 됐죠. 오픈하면서 개인적으로 많은 주목을 받게 됐어요. 그러면서 안랩으로 다시 자리를 옮기게 됐고 현재 안랩에서 모바일과 임베디드 분야 연구와 제품개발 일을 하고 있죠. 주로 모바일, 인터넷뱅킹, 게임 보안, 망분리, 산업시설보안 등을 맡고 있어요. 지금까지 해왔던 업무들의 연장선상에 있는 분야들이죠. 앞으로도 모바일과 임베디드 보안 분야는 주목해야 할 분야라고 생각해요.
 
-국내 보안환경을 저해하는 요소들을 지적한다면 어떤 부분을 지적할 수 있을까요.
차가 좋다고 운전을 잘하는 것이 아니죠. 고객들의 보안제품 의존도가 너무 높아요. 보안제품은 각 단계별 필터에 불과해요. 야구로 치면 투수, 포수, 수비수들이 세워져 있지만 이들이 어떻게 움직이느냐에 따라 경기 결과가 달라져요. 즉 운영을 어떻게 하느냐에 따라 달라지는거죠. 또 원래 해야 할 기능 이외에 다른 기능을 계속 요구하는 경우가 있어요. 유격수에게 1루수까지 맡으라는 식이죠. 이런 관행이 보안분야에 만연해 있어요. 이 때문에 성능저하가 발생하면서 문제가 생기는 경우가 많아요. 보안을 저해하는 요소중 하나죠.
 
또 컴플라이언스가 저해 요인으로 작용해요. 컴플라이언스만 맞추려고 하다 보니 보안이 안되는 거에요. 컴플라이언스는 보안이 아니라는 것을 알아야 해요. 컴플라이언스만 맞추려다 보니 싼 것만 찾게 되고 아무리 성능이 좋아도 컴플라이언스 장르에 들어있지 않으면 살 필요가 없다고 생각해요. 또 최저가 제품 도입하고 사고나면 책임지라고 하고 업데이트나 유지관리는 뒷전이에요. 보안은 업데이트가 가장 중요한데 말이죠. 이런 현실에서 제대로 보안이 될 것이라고 기대하는 것은 과욕이죠.
 
법을 너무 구체적으로 하면 빠져 나갈 틈만 주게 되요. 노자 도덕경에 보면 ‘天網恢恢 疏而不失’이란 말이 있어요. 즉 하늘은 그 그물이 넓고 커서 성긴 것 같지만, 그러나 이를 빠져나갈 수 있는 것은 아무것도 없다라는 말이죠. 이런 보안관련 법이 필요하다고 생각해요. 너무 구체화한다면 그 규제만 지키려고 할 뿐 진짜 보안은 안되는거죠.
 
제도에 갇혀 창의적인 보안이 안되고 있어요. 자기 조직에 맞는 이상적인 보안을 구현하는 것이 아니라 컴플라이언스만 생각하다 보니 도입후 제대로 사용도 하지 않고 빈 박스만 선반에 올려놓고 점검 나오면 빈 박스 보여주면서 컴플라이언스 지키고 있다고만 해서는 실제 보안은 요원한 일이에요.
 
보안제품 하나 도입했다고 보안이 되는게 아니죠. 분야별 솔루션과 이를 효과적으로 관리할 수 있는 똑똑한 사람, 그리고 취약한 서비스 구조부터 바꿔야 해요. 안전한 서비스 구조 위에 보안솔루션, 보안전문가가 제 역할을 다 하고 앞 단이 뚫려도 후속 대응이 단계별로 가능하도록 하는 보안이 필요하다고 생각해요.
 
-보안인력 양성의 문제점에 대한 말도 많이 나오고 있어요. 실장님은 어떻게 생각해요?
너무 해킹, 공격 중심으로 가는 것이 아닌가 생각해요. 그동안 공격을 너무 고려하지 않아 이 부분에 대한 관심도 상당히 중요하지만 많은 친구들이 보안에 대해 왜곡된 생각을 가지는게 아닌가 걱정이 되는 부분도 있어요.
 
공격기술과 방어기술은 완전히 달라요. 공격자는 물불을 가리지 않고 공격이 가능해요. 하지만 방어자는 지켜야 할 룰이 너무 많아요. 공격자가 어떻게 공격하는지 아는 것은 아주 중요해요. 하지만 해킹방법을 안다고 해서 방어방법을 도출할 수 있는 것은 아니에요. 방어방법은 아주 제한적이에요. 운신의 폭이 거의 없어요. 서비스를 지켜 내면서 방어를 해야 하기 때문에 공격자보다 어려운 상황에서 방어작업을 하는거죠. 영화에서 보면 공격자는 무자비하게 공격하지만 주인공은 연약한 여성을 지켜내면서 공격자를 상대해야 하는 상황과 비슷하죠.
 
방어자 교육도 활성화되어야 해요. 전반적인 보안의 기본개념과 이론, 실습교육도 중요하지만 더 중요한 것은 View(뷰)를 가질 수 있는 교육이 필요해요. 기술만 뛰어난 것이 아니라 기술을 뛰어넘어 연계해서 볼 수 있는 시야를 기를 수 있는 교육말이죠. 그래서 보안기업들도 담당자들이 전체적인 뷰를 가질 수 있도록 한눈에 보고 관리할 수 있는 제품들을 많이 내놔야 한다고 생각해요.
 
기관에서 하는 보안관련 회의를 나가보면 답답해요. 각자 자기분야 이야기만 해요. 자기 입장만 이야기하는거죠. 암호 전문가는 암호만, 악성코드 전문가는 악성코드만, 네트워크 전문가는 네트워크 보안만 이야기해요. 모두 보안을 이야기하는 것이 아니라 보안의 일부만 이야기해요. 연계와 연동이 중요해요. 기업의 목적과 보안이 따로 있는 것이 아니죠. 기업이 잘 운영되고 중요 정보가 보호될 수 있도록 하기 위해 보안이 있는 것처럼 통합적인 관점에서 보안을 볼 수 있는 교육이 필요해요.
 
보안은 사과상자 닫기라고 생각해요. 어느 한쪽만 닫는다고 해서 상자가 닫히는 것이 아니죠. 4면의 상자 덮개를 조화롭게 움직여야 상자가 닫히는 것과 같은 이치죠. 보안도 같이 움직여야 가능한 일이죠.
 
-SW 분야에 오래 일하셨는데 여전히 현실은 어려운 상황인가요?
얼마전 정부기관이 주관하는 회의에 참석했는데 모 대학 교수님이 모 SW를 무료로 학교에 배포해 달라고 하시더군요. B2C 시장이 죽은 마당에 B2B에서도 공짜로 달라고 하면 과연 SW기업들은 어디서 돈을 벌어야 할까요. 자신들이 배출한 제자들이 사회에 나오면 SW기업에서 일자리를 찾아야 하는데 SW기업들이 문을 닫는다면 결국 제자들의 사회진출을 막는다는 것을 모르는 것 같아요.
 
SW산업 전체가 비슷하지만 특히나 보안분야는 최저가 경쟁이 너무 심해요. 보안을 위해 제품을 사는 것이 아니라 그냥 싼 제품만 사려고 하는 것 같아요. 제품 가치에 걸 맞는 대가를 지불해야 하고 좋은 성능의 제품을 도입해 줘야 계속 발전해 갈 수 있는데 힘든 상황이죠. 싼 것만 찾으니 보안산업도 죽게 되고 결국 싼 제품 도입해서 제대로 유지관리도 못받다가 비용만 쓰고 사용도 못하는 경우가 많아요. 구매자의 인식과 보안기업들의 인식이 같이 올라가야 할 것 같아요.
 
-30대와 40대, 어떤 부분이 달라졌다고 생각하세요?
30대는 기술이 최고인줄 알았어요. 그래서 기술에만 집중했죠. 기술로 승부를 보려고요. 더 완벽하게 더 빠르게. 하지만 40대 들면서 제품을 개발할 때도 기술도 중요하지만 왜 이렇게 만들어야 하는지 특성을 파악하고 사용자 입장에서 제품을 생각하게 되요. 그리고 내가 기술이 아무리 좋아도 나 혼자 할 수 없다는 생각을 가지게 됐죠. 보안제품을 개발할 때도 사과상자 닫기 이론이 적용된다고 생각해요.
 
-마지막으로 후배들에게 한마디 해 주신다면.
많은 사람을 만나보라고 말해주고 싶어요. 사람마다 하는 이야기도 다르고 전공도 다르죠. 여러 이야기를 듣다 보면 전체를 볼 수 있는 안목이 생긴다고 생각해요. 기술만 안다고 보안이 되는 것이 아니죠. 다양한 분야에 이해가 필요해요. 인문학적 소양도 필요해요. 요즘 아이디어 상당부분이 학교때 배운 과학이나 심리학 등에서 배운 부분이 모티브가 될 때가 많아요. 보안도 사람이 하는 것이고 공격도 사람이 하는 거죠. 공격자도 사람이란 것을 인식하면 기술 이외 방어기법을 만들 수가 있어요. 실제 게임해킹 방어에 이런 부분이 많이 도입되기도 하죠. 시스템과 시그니쳐로만 방어할 때와는 다른 차원의 방어를 할 수 있기도 해요.
 
터널비전 현상에 빠지면 안되요. 시야가 좁아지면 답이 너무 작아 보여요. 터널 밖으로 나오면 세상은 너무 넓어요. 기술에만 묻히지 말고 다양한 활동과 여가활동, 독서, 많은 사람들과의 대화를 통해 더 많은 것을 얻을 수 있다고 생각해요. 특히 기술서적만 읽지 말고 다양한 분야의 독서가 필요해요.
 
또 요즘 젊은 친구들 회사에서 보면 너무 조급해요. 짧은 시간에 너무 많이 담으려고 해요. 갈증은 이해가 되지만 세상에 가로질러 가는 방법은 없어요. 성급한 느낌이 들어요. 1~2년 해 놓고 내 체질이 아니라는 둥, 발전이 없다는 둥 불평하면 안되죠. 계속 새로운 것을 배우고 기술을 쌓는 것도 좋지만 한 분야를 열심히 하면서 다양한 교양과 넓은 시야를 가지려고 노력하는 모습이 보기 좋아요. 돌아가는 지름길이란 말이 있죠. 저도 예전에 쓸데없는 짓이라고 생각했던 것들이 지금 제 삶에서 너무 소중하게 작용하고 있어요. 조급해 하지말고 천천히 다양한 것을 해보길 바래요. 그리고 건강을 잘 챙겼으면 좋겠어요.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com