“천재는 노력하는 자를 따라가지 못하고 노력하는 자는 즐기는 자를 따라가지 못한다”는 말이 있다. 성공한 이들은 모두 자기가 하는 일을 즐기고 있는 사람들이다. 야후코리아의 최병걸 보안팀 차장이 그렇다. 통상적으로 보안 업무가 힘들다고 알려져 있지만 그는 이 일을 무척 좋아하고 즐긴다. 새로운 도전정신과 열정으로 보안 업무를 즐겁게 하고 있는 그를 따라갈 자 누구인가.

‘Paranoids’를 말한다

야후는 전 세계적으로 6억 명의 사용자들이 이용하고 있는 야후 네트워크를 통해 풍부한 글로벌 콘텐츠, 앞선 인터넷 기술력을 바탕으로 한국 시장에 대한 경험과 노하우를 접목해 국내 IT 환경에 최적화한 포털 서비스를 제공하는 데 주력하고 있다.

야후의 보안팀은 영어로 ‘Paranoids’라는 이름을 가지고 있다. 이름 그대로는 편집증자들이 모인 팀이라고 할 수도 있지만 보안과 관련해 끊임없이 의심하고 파고드는 전문가들로 구성된 팀이라는 의미로 9년전 초대 Cheif Paranoid였던 Arturo Bejar가 만든 재미있는 이름이다. 야후는 본사의 Core-Paranoids와 각 조직별로 소속된 Dedicated Paranoids가 유기적으로 협력해 보안업무를 수행하고 있다. 최병걸 차장은 한국 지사에 소속된 Dedicated Paranoid로서 한국에서 일어나는 보안 이슈를 Core-Paranoids와 같이 협력해 해결하는 역할을 맡고 있다.

최 차장은 “야후는 대부분 자체개발하거나 커스터마이징한 솔루션을 사용하고 있다”며 “자체 보안점검툴과 코드점검툴부터 네트워크 관리와 시스템 관리 그리고 야후환경에 최적화돼 있는 개발 언어 및 OS 등을 도입, 개발해 사용하고 있다”고 밝혔다.

그는 또 “추가적인 보안 침투방법이 알려지는 경우 즉시 시스템에 반영해 대응하고 있다”며 “내부 버그추적시스템과 연동해 문제의 심각성에 따라 단계별로 보안취약점이 보고되고 즉시 관련 관리자 및 담당자에 연락해 일정기간 안에 해결될 수 있도록 추적하며 이슈해결 이후에도 추가로 리뷰를 받는 등 일련의 보안취약점 관리시스템이 프로세스면에서 잘 구축돼 있다”고 자신감을 드러냈다.

보안에 대해 열정을 쏟다

야후 본사는 적어도 일년에 한번 전세계 야후 보안담당자들이 한자리에 모여 교육을 비롯한 각종 정보를 공유하는 장이 마련된다. 이는 야후의 보안에 대한 열정을 보여주는 대목이다. 이들은 각 나라별 보안 이슈와 신규 취약점, 그리고 새로운 기술과 가상 해킹까지 다양한 정보를 교류하고 있다.

이와 관련 최 차장은 “보안은 각 나라마다 기준이 다르고 주된 보안이슈도 조금씩 차이가 있지만 전세계를 대상으로 제공되는 글로벌 프로덕트가 많아지고 있는 만큼 한국 시장의 요구사항과 차이점에 따른 이슈를 조정할 수 있도록 노력할 예정”이라며 “요즘 새롭게 대두되고 있는 신규 취약점 및 공격방법과 새로운 환경에 대한 보안 요구사항에 대한 교육을 강화할 계획”이라고 전했다.

그는 “보안 업무를 시작했을 때만해도 국내 보안여건이 관련 법규 등을 포함해 사용자들의 보안의식이나 기술적 기반이 본사의 요구사항에 비해 부족한 부분이 많았다”며 “협력업체를 통한 서비스 교류 및 개발도 많다 보니 생각보다 많은 보안 취약점이 협력업체에서 제공된 부분에서 발견돼 문제가 되는 경우도 있었지만 지금은 국내 보안여건도 예전보다 좋아졌고 협력업체의 보안 강화를 위해 솔루션이나 교육 등 많은 노력을 기울이고 있다”고 밝혔다.

특히 최근 한국에서 보고된 보안사고는 외국에서는 이미 오래 전에 보고되고 대응책을 강구하던 부분이다. 그는 예전에는 힘이 많이 들었지만 요즘에는 예전보단 이해하는 이들이 많아져서 업무가 상대적으로 수월해 졌다고 웃음지었다.

마법의 총알은 없다

야후는 자체 솔루션이 많다 보니 보안팀 인력 충원시에도 야후 자체 솔루션에 대한 이해가 중요할 수밖에 없다. 그래서 주로 사내 인크루팅을 통해 인력을 충원한다. 야후에 입사하기 전부터 보안에 관심이 많았던 최 차장은 입사 후 사내 채용공고 기회가 생겨 보안 업무를 시작할 수 있었다. 2006년도부터 시작했으니 올해로 5년차다. 사실 그가 보안 업무를 시작하기 전만 해도 ‘보안’하면 ‘백신’ 밖에 떠올리지 못했다고. 단순히 바이러스와 같은 악성코드를 찾아내 시스템을 안정화 시키는 정도로 생각했다고 한다.

최 차장은 “보안업무를 막 시작했을 당시에는 보안은 경찰 업무와 같다고 생각했었다”며 “취약한 부분을 찾아내고 잘못된 코드를 적발해 수정하도록 지시하고 불평하는 사람들과 싸우는 등 보안 업무의 단면만을 바라봤기 때문”이라고 말했다. 하지만 지금은 ‘보안’에 대한 개념이 ‘안전’이 필요한 사람과 조직을 돕는 것으로 바뀌었다고 밝혔다.

그는 “최근 일어났던 대규모 보안 침해사고로 인해 기업들과 개인들의 보안 의식이 상당히 높아졌다”며 “최근 급격히 확대되고 있는 스마트폰 사용과 같이 나날이 새로워지는 개발 환경과 다양한 침해경로로부터 보호해야 할 중요정보들을 안전하게 관리하기 위한 방법들이 요구되고 있어서 이에 대응하기 위한 솔루션 도입 및 컨설팅 등을 통한 지원업무에 주안점을 두고 있다”고 설명했다.

그러나 국내는 생각보다 방화벽에 대한 의존도가 높다는 점이 문제다. 즉 프로그램 자체적으로 발생된 취약점이 방화벽이라는 외부솔루션으로 자동으로 해결될 거라 생각하는 이들이 많다는 것에 아쉬움을 토로했다

최 차장은 “Paranoids들은 이것을 ‘Magic Bullet’이라고 부르는데 한마디로 모든 것을 다 해결해주는 마법의 총알은 없다는 것”이라며 “근본적으로 개발자들이 자주하게 되는 실수들, 그리고 그러한 문제들을 적절히 해결하기 위해 개발자들이 스스로 보완하고 대응할 수 있도록 기술 교류와 교육 및 학술모임이 많이 확대됐으면 좋겠다”고 바람을 밝혔다.

<글/사진 : 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제122호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>