미래의 IT보안 인재, 종합적인 컨트롤 할 수 있는 능력 갖춰야

[보안뉴스 김경애] 1990년대부터 정보보안 1세대로 IT시장을 이끌어온 안랩의 김홍선 대표. 최근 그는 ‘누가 미래를 가질 것인가?’라는 책 출간을 통해 IT의 대중화에 대해 소개하면서 이에 따른 변화의 코드를 제대로 읽어야 한다고 강조했다.

이에 본지는 18여 년 동안 IT 분야의 대표주자로 IT 보안을 이끌어온 안랩 김홍선 대표의 인터뷰를 통해 IT를 기반으로 한 현 시대의 올바른 해석과 나아가야 할 방향을 짚어보고, 더불어 보안시장의 현 문제점 및 개선방안에 대해 들어봤다. 인터뷰 전문은 다음과 같다.

누가 미래를 가질 것인가? 이 책에 대해 우선 간략히 소개한다면?

IT 대중화에 대한 얘기다. IT는 몇 십 년 동안 우리 삶 속에 깊이 들어와 있다. 그만큼 IT로 인해 개인은 물론 사회 등이 크게 변하면서 일자리 문제, 경제적인 문제, 사회적인 문제 등 우리의 모든 삶이 바뀌었다. 이러한 변화의 흐름을 IT 관점에서 해석한 얘기들을 담고 있다.

책을 출간하게 된 계기는?

한 대학생이 나의 블로그를 보고 리포트를 제출해야 한다고 했다. 그것도 경영학 교수가 내준 숙제라고 했다. 아마도 해당 경영학 교수님이 IT 관점에서 바라본 나의 생각을 좋게 봐주셨던 거 같다. 그 이후 한 언론사 칼럼으로 IT를 대중적으로 풀어쓰게 되면서 내가 보는 관점에서 IT를 얘기하고 싶어 책을 출간하게 됐다.

IT가 중심이 되면서 시장의 흐름이 바뀐 반면, 그 흐름에 법·제도 등이 뒷받침되지 못해 여러 제약이 따르는데 가장 우선적으로 풀어야 할 과제는?

무엇보다 고정관념, 기존 인식을 깨는 것이 가장 중요하다. 물론 많은 인식들이 깨지고 있고, 많은 사람들이 그 필요성을 인지하고 있지만 아직은 변화하지 못하고 있는 실정이다. 현 시스템은 정년, 일자리 등 대다수가 평균수명 60세에 맞춰져 있다.

이제는 100년 정도를 살아가야 하기 때문에 일할 시간이 많아졌고, 노동의 질, 노동의 성과, 환경 등이 달라졌다. 새로운 직종이 만들어지고 있고, 글로벌화 되고 있다. 따라서 과거의 체제에서 벗어나 새로운 일자리에 대한 특성을 봐야 한다. 그러나 안타까운 건 젊은이들이 실패를 두려워하고, 정년이 보장되는 직장을 찾는 등 안정적으로 가려고 한다는 것이다.

IT를 바탕으로 우리나라의 교육, 지원, 인프라 체계가 재편되어야 한다고 했는데, 이를 보다 구체적으로 설명한다면.   

교육의 경우 현 고등학교에서 문과, 이과로 나누는 것은 지금 시대에는 맞지 않다고 생각한다. 학생들이 관심 있고, 좋아하는 공부에 대해서는 깊이 있게 배울 수 있도록 다양한 선택의 기회가 제공되어야 한다. 기업가 입장에서는 청소년들이 무엇을 배워야 일자리가 많아지는지에 대한 관점에서 생각해볼 수 있다.

대학의 경우 평생교육 시스템으로 교육체계를 강화해야 한다. 현재는 평생교육 시스템이 이뤄지지 못하고 있어 학원에서 배우고 있다. 미국의 경우 이러한 시스템으로 40~50세가 되어서도 재교육을 통해 다시 사회에 진출한다.

교육환경에 있어서도 이젠 동영상과 인터넷의 발달로 MIT 교육 강의 등 교육 콘텐츠를 개인이 언제 어디서든 접할 수 있는 시대가 됐다. 이는 개인에게 더욱 막강한 파워가 생긴다는 것을 의미한다. 따라서 대학교육의 커리큘럼보다 더 많은 선택의 기회를 제공해야 한다.  

교육지원 측면에 있어서는 인프라 및 체계가 제대로 갖춰져 있지 않아 특정 분야의 전문인재가 부족하다는 점이 문제라고 할 수 있다. 일례로 보안전문가나 시스템 전문가의 경우도 다른 나라에 비해 턱없이 부족하다. 이에 향후 바람은 우리나라가 보안전문가, 시스템 전문가 인력이 제일 많은 나라 중의 하나로 자리잡았으면 좋겠다는 점이다. 그렇게 되면 일자리가 많아질 것이고, 외국에서 우리나라를 많이 찾을 것이며, 해외에서도 일자리를 많이 얻을 수 있을 것이다.

해외에서의 IT 인프라의 핵심은 바로 클라우드 서비스의 활성화라고 할 수 있다.  클라우드 서비스를 잘 활용하면 창업 후, 장비를 사지 않아도 저렴하게 이용할 수 있고, 여러 실험을 할 수 있다. 그런 인프라가 구축되어야 한다. 즉, 인터넷과 PC만 있으면 아이디어를 낼 수 있고, 실용화 될 수 있는 시스템, 즉 인프라가 조금 더 오픈된 시스템으로 가야 한다고 본다.

이렇듯 IT를 중심으로 두고 비즈니스를 생각해야 하는데, 우리나라의 경우 아직까지는 IT를 단순히 업무의 편이성으로 생각하고, 종속된 부분으로 보는 시각이 적지 않다. IT를 중심에 두고, 새로운 가치를 창출할 수 있는 소프트웨어를 만들어 비즈니스를 고부가가치로 풀어갈 수 있도록 고민해야 한다.

IT 보안 분야에서의 비즈니스 모델은 어떻게 바뀌어야 할까? 

러시아의 카스퍼스키, 미국의 시만텍, 맥아피 등 백신업체는 각 나라에 1~2개가 대부분이다. 우리나라처럼 백신업체가 3개 이상 있는 나라도 거의 없다. 또한, 안랩의 경우 백신 업체의 이미지가 강하지만 백신은 전체 매출의 30%에 불과하고, 이미 백신기술은 포화상태다. 백신을 위한 인프라 투자에도 아마 몇 백억이 들어갔을 것이다. 그만큼 많은 사람들이 안랩이라는 회사에 대한 기대치가 크고, 급변하는 환경을 잘 모르는 것 일수도 있다. 그런 측면에서 조금 더 안랩이 잘했어야 했다. 따라서 앞으로 더욱 노력할 것이다.

그러나 현재 악성코드는 하루 20만개 이상이 쏟아지고 있고, 백신이 98%를 막는다고 해도 나머지 부분에 대한 공격은 끊임없이 이뤄질 것이다. 해커조직은 뚫을 수 있을 때까지 악성코드를 만들어내고 있으며, 조직적이며 치밀하다. 또한, 막강한 자금력을 갖추고 있으며, 암암리에 국가, 조직 등 여러 곳의 서포트도 받고 있다.

현재 안랩의 경우 관제, APT 솔루션, 컨설팅, 모의해킹, 포렌식 등의 거의 모든 IT 보안 분야를 망라하고 있다. 그 가운데서도 매출비중은 크지 않지만 APT 솔루션에 주력하고 있다.

이제 보안은 서비스로, 상대방의 비즈니스에 대해 명확히 알고 업종별 특성에 맞는 프레임 등을 구축해줘야 한다고 생각한다. 이제는 보안위협이 갈수록 지능화, 고도화되는 등 사이버 보안위협의 패러다임이 바뀌어 백신으로 해결할 수 있는 범위를 넘어서고 있다. 이 때문에 전체를 막을 수 있는 통합보안, 사전보안 등 좀더 종합적이고, 입체적인 보안이 필요하다.

갈수록 지능화되고, 고도화되는 사이버 위협에 보다 효과적으로 대응하기 위한 방향성은 무엇인가요?

미국은 대기업이든 중소기업이든 그 시장에서 명확한 포지션을 갖고 대응한다. 그러나 우리나라의 경우 명확한 포지션 없이 따라가려는 경향이 있다. 안랩의 방향은 APT 공격과 같이 고도화되는 공격에 대해 종합적이고, 입체적인 대응으로 로드맵을 풀어가고자 한다. 이를 위해 종합적인 대응기술을 보유함과 동시에 실시간 탐지분석 등의 다양한 솔루션을 갖추고 있다.

현장에 기반을 둔 전문성을 갖춘 인재의 필요성을 강조했는데, 정보보안의 미래인재상에 대해 제시한다면? 

IT·SW 기반 중심으로 사회가 변화하면서 정보보안의 포트폴리오도 좀더 다양해질 것이다. 따라서 보안관제 담당자들이 악성코드 분석도 할줄 알아야 한다. 또한, IT담당자, 일반인들도 기본적인 보안 시스템에 대해 알고 있어야 하고 이에 대처할 수 있는 기본적인 기술도 익히고 있어야 한다. 보안담당자의 경우에는 이보다 훨씬 높은 수준의 전문적인 보안지식을 보유하고 있어야할 뿐 아니라 종합적으로 컨트롤 할 수 있어야 한다.

그러기 위해서는 10년전부터 해온 얘기지만 10만명 이상의 전문보안 인력을 보유해야 한다. 그만큼 보안인력에 대한 수요는 많고, 앞으로도 시장은 계속 커질 전망이다. 이러한 전문인재 양성교육은 실제 악성코드 샘플을 이용한 악성코드 분석 등의 실무적인 교육, 포렌식과 같은 전문적인 교육 중심이 되어야 한다고 본다.  

앞으로 일어날 IT와 IT 보안시장의 미래는 어떻게 예측하는지?

이를테면 구글을 이용해 또 다른 비즈니스 플랫폼이 생기는 것과 같이 이제는 IT가 비즈니스로 접목되면서 IT시장으로 봐야 할지 일반 산업시장으로 봐야 할지 산업 구분의 경계가 모호해지고 있다. 미국의 경우는 보안, 클라우드, 빅데이터에 투자를 많이 하고 있다. 그만큼 앞으로도 IT와 보안의 영향력과 시장규모는 더욱 커질 전망이다. 이는 해외 컨퍼런스의 경우 보안관련 컨퍼런스가 다른 일반 산업 컨퍼런스보다 활발하다는 점에서도 알 수 있다.  

IT 보안 분야의 1세대로서 지금까지 이 길을 지켜올 수 있었던 이유는?

1997년경부터 해서 18년 정도 됐다. 1990년대에는 벤처 기업이 거의 없을 때라 그때가 가장 힘들었다. 특히, 당시에는 IMF로 인해 재정적인 어려움과 인력 부족으로 더욱 힘들었다. 개인적으로는 경영의 실패도 힘든 부분 중 하나였다. 

그러나 다시 시작할 수 있었던 것은 보안이 고객과의 약속이었기 때문이다. 보안은 곧 나의 정체성이기도 했다. 사업에 있어 본질적인 건 사람이므로 사람만 있으면 살아남을 수 있다. 그러나 보안이 무너지면 모든 게 무너질 수 있다.

끊임없는 변화하는 IT 혼돈기 속에서 기업이 흔들림 없이 발전하기 위해 갖춰야 할 역량은?   

IT가 대중화되면서 다양한 디바이스, 빅데이터 등 새로운 비즈니스가 창출되고 있다. 이런 상황에서는 어느 방향을 잡을 것인지가 중요하다.

소셜네트워크인 페이스북, 트위터 등이 앞으로 또 어떻게 진화할지 모르기 때문이다. 따라서 사업적으로 무엇을, 어떻게 수용해서 더 많은 사람들에게 갈 수 있는 수단으로 만들 것인지 고민해야 한다. IT는 이제 대중화 시대에 접어들었기 때문에 그런 관점에서 사업을 보는 게 중요하고, 그런 방향 속에서 찾는다면 더욱 많은 기회를 얻을 수 있으리라 본다.  

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>