거대 플랫폼 ‘배달의민족’ 지키는 권현준 우아한형제들 엔지니어, 오펜시브 아키텍처 제시
“무작정 AI 막는 건 자해 행위”... 프롬프트 인젝션 등 막는 ‘MCP 체커’로 혁신 견인

[보안뉴스 조재호 기자] “수천만 트래픽이 쏟아지는 현장에서 취약점을 이유로 장벽만 쌓는 것은 가장 쉬운 도피처가 될 수 있겠지만, 서비스의 혁신을 막는 자해행위입니다. 진짜 아키텍트는 통제로 비즈니스의 숨통을 조이는 대신, 공격자의 맥락을 먼저 읽어내고, 개발팀이 감당할 수 있는 최적의 ‘보안 밸런스’를 찾아 시스템의 체질을 유연하게 바꿔야 합니다.”

권현준 우아한형제들 SOC팀 시큐리티 엔지니어는 고도화되는 사이버 위협 속에서 보안이 종종 비즈니스의 ‘통제 장치’나 ‘속도 저하의 주범’으로 치부되는 현실을 지적하며 이같이 말했다.


그는 과거 수동적 방어와 규제 준수에 머물던 보수적인 레거시 관제 환경(SOC)에서 실무를 시작, 현재 클라우드 네이티브 환경의 아키텍처를 진두지휘하며 과거의 방어 관습을 앞장서서 타파하고 있다.

수천만 명의 트래픽이 실시간 교차하는 국민 배달앱 ‘배달의민족’의 보안 최전선에서, 그는 쏟아지는 사이버 공격에 맞서 수동적인 방패만 드는 대신 철저히 ‘오펜시브’ 관점으로 거대 플랫폼의 뼈대를 다시 세우고 있다.

비용과 보안 균형... “맹목적 차단이 비즈니스 죽인다”
수천만 명의 이용자와 식당 업주, 라이더가 연결된 거대 플랫폼에서 권 엔지니어가 꼽은 가장 큰 난제는 ‘비용과 보안 의 괴리’다. 보안 허들을 무작정 높이면 인프라 비용뿐 아니라 기능 개선을 위한 인적 리소스까지 급증하기 때문이다.

그는 정부나 기관이 제시하는 체크리스트 방식 가이드라인을 기계적으로 받아들이지 않는다. 단순히 규제 준수 여부를 따지는 대신, 특정 항목의 미흡함이 실제 비즈니스에 영향을 줄 수 있는 ‘진짜 위협’인지 분석한다. 이를 바탕으로 무작정 장벽을 쌓는 것보다 개발 부서가 납득할 수 있는 최적의 보안 밸런스를 맞추는 데 주력한다. 비즈니스의 속도를 늦추는 보안은 실패한 보안이라는 것이 그의 철학이다.

“AI 도입, 막지 말고 트랙 깔아라”... ‘MCP 체커’로 개발 병목 해소
이러한 철학은 생성형 AI 도입 과정에서 빛을 발했다. 개발 조직은 생산성 향상을 위해 오픈소스 기반의 AI 연결 도구를 적극적으로 서비스에 연동하고 있다. 하지만 기존의 수동적 보안 방식이라면, 보안팀 승인과 검수 절차를 거치는 데 수일이 걸려 개발 속도를 늦추는 심각한 병목 현상이 발생한다.

권 엔지니어는 AI 도입을 억제하는 대신, 이를 안전하게 수용할 수 있는 데브섹옵스(DevSecOps) 자동화 시스템 구축에 속도를 냈다. 단순히 승인 속도만 높인 것이 아니라, 새로운 기술 생태계의 편의성 이면에 숨은 치명적 위협까지 구조적으로 차단한 것이다.

최근 업계에서는 대형언어모델(LLM)이 사내 데이터베이스나 외부 도구와 원활하게 통신할 수 있도록 돕는 범용 연결 표준 ‘모델 컨텍스트 프로토콜’(MCP·Model Context Protocol) 생태계가 빠르게 확산하고 있다. 이러한 연결은 편의성과 동시에, AI가 악의적 명령을 수행하게 만드는 프롬프트 인젝션이나 사내 민감 데이터를 외부로 유출하는 등의 치명적 보안 위협을 동반한다.

권 엔지니어는 이러한 AI 연동 간 위협을 시스템이 선제적으로 필터링하고, 검증된 안전한 통신만 허가하도록 자체 ‘MCP 체커’와 ‘MCP 게이트웨이’를 선도적으로 도입했다. 그는 “보안이 혁신의 속도를 늦추지 않도록, 개발자들이 승인을 기다릴 필요 없이 안전하게 달릴 수 있는 검증된 트랙을 깔아주는 것이 보안 엔지니어의 진짜 실력”이라고 말했다.

오펜시브로 찾고 자동화로 막는다... 클라우드 횡적 이동 원천 차단
클라우드 인프라 보호에 있어 그는 철저한 ‘공격자의 시선’을 내재화할 것을 주문한다. 단순한 패턴 매칭 기반 웹방화벽(WAF)이나 탐지 솔루션만으론 복잡하게 얽힌 해커의 ‘맥락’을 읽어낼 수 없기 때문이다.

클라우드 환경에서 누군가 식별 및 접근 관리(IAM) 권한을 탈취해 내부망에 침투한 뒤, 온프레미스에는 없는 복잡한 권한 체계를 악용하여 횡적 이동을 시도할 경우, 수동적 탐지 도구만으론 수천 개의 정상 이벤트 속에서 진짜 침투 맥락을 파악하지 못해 기업의 핵심 데이터베이스가 통째로 탈취되는 보안 사고로 직결될 수 있다.

이러한 숨겨진 경로를 파악하기 위해 권 엔지니어는 지속적 내부 모의해킹(Red Teaming)과 공격 표면 관리를 진행했다. 공격자의 시선으로 먼저 시스템을 뚫어본 뒤, 발견된 취약점은 지속적 통합 및 배포(CI/CD) 파이프라인에서 안정성이 입증된 인프라 스냅샷인 ‘골든 AMI’만을 강제 배포하게 하는 방어적 자동화로 원천 통제하는 방식이다. 오펜시브 보안으로 맥락을 찾고 데브섹옵스로 경로를 끊어내는 공수 조화인 셈이다.

아울러 코로나19 이후 중단됐던 사내 테크니컬 미팅을 부활시켜 내부 엔지니어들과 최신 클라우드 공격 기법을 공유하고, 서비스 로직에 숨겨진 잠재적 취약점을 공격자보다 먼저 도출해내고 있다고 설명했다.

채용 혹한기의 딜레마... 툴에 갇힌 주니어 생태계 보듬는 ‘비버댐’
이처럼 비즈니스 로직을 꿰뚫고 오펜시브와 데브섹옵스를 넘나드는 아키텍처를 구현하려면 고도화된 실무 인재가 필수적이다. 하지만 권 엔지니어가 진단한 현재 보안 채용 시장은 극단적 양극화의 늪에 빠져 있다.

과거 학위나 자격증처럼 정형화된 스펙이라는 방패 없이, 오직 실무 역량 하나만으로 야전에서 자신을 증명해야 했던 그는 “목에 칼이 들어온 느낌”으로 치열하게 생존하며 지금의 자리에 올랐다. 그렇기에 얼어붙은 주니어 생태계를 바라보는 그의 시선엔 안타까움이 배어 있다.

그는 “기업은 당장 투입할 융합형 인재를 원하지만, 정작 실무를 경험할 기회조차 얻지 못한 주니어들은 조급함 속에서 자신이 완벽히 이해하지도 못한 화려한 해킹 툴 경험으로만 채운 ‘풍선 같은 포트폴리오’에 매달릴 수밖에 없는 구조적 모순이 발생하고 있다”고 분석했다. 기술과 툴의 껍데기에 매몰될 것이 아니라, 자신이 보호해야 할 회사의 서비스 흐름을 이해하는 ‘기본기’를 닦을 환경이 절실하다는 지적이다.

이러한 현장의 간극을 메우고 기회의 사다리를 잇기 위해, 그는 비영리 클라우드 보안 커뮤니티 ‘비버댐’(Beaver Dam)을 이끌고 있다. 5명의 시니어 멘토와 함께 ‘베이비 비버스’라는 교육 프로그램을 론칭해 내실 있는 실무형 인재 양성에 나섰다.

권 엔지니어는 “과거처럼 기술과 정보를 감추던 폐쇄적 관습을 버리고, 투명하게 지식을 공유하며 동반 성장하는 커뮤니티 문화야말로 척박한 보안 생태계를 지탱하는 가장 강력한 무기”라며 후배들의 적극적 참여를 요청했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>