바로 조주봉 팀장이 추천한 네 번째 차세대 보안리더는 안랩의 심선영 책임연구원이다. 화사한 벚꽃을 연상케 하는 고운 외모와 달리 살벌한 사이버상에서의 이슈 중심에 그녀가 있다.

‘RedHidden’s 새빨간 거짓말’ 블로그 운영자이자 국내 몇 안 되는 여성보안전문가인 심선영 책임연구원은 지난 2005년 안랩에 입사해 9년째 취약점 분석가로 왕성한 활동을 펼치고 있다. 국내외 유명 컨퍼런스에서 취약점 관련 발표를 다수 했으며, 해킹대회 참가는 물론 문제출제위원 및 운영자로도 활약하고 있다. 또한, KISA 최정예 사이버보안 인력 양성을 비롯해 보안실무자 및 학생 등을 대상으로 한 강사로도 종횡무진하고 있다.

하지만 인터뷰하는 동안 ‘겸손’이라는 단어가 계속 기자의 귓가를 맴돌게 했다. 사람의 언행을 보면 그 사람의 마음이 느껴지듯 그에게서 겸손함이 너무나 자연스럽게 묻어났다. 그럼 지금부터 조주봉 팀장이 추천한 네 번째 차세대 보안리더 심선영 책임연구원을 만나보자.

Q. 심선영 책임을 추천한 조주봉 팀장에 대해 말한다면?

조주봉 팀장은 제겐 스승이자 친구 같은 분입니다. 차세대 보안리더로서 언더그라운드때부터 탄탄하게 실력을 갖춰온 능력 있는 보안전문가죠. 게다가 굉장히 겸손해요. 어려서부터 컴퓨터를 놀이 삼아 가까이한 경험들이 기본기가 되어 있기 때문에 누구나 인정하는 분이죠. 그만큼 호기심도 많고 정보보호 분야에 다방면으로 전문적인 지식을 골고루 섭렵하고 있어요. 그러다 보니 만나 대화를 나누게 되면 일상적인 대화보다 기술이야기가 더 많아요(웃음).

Q. 최근 관심 있게 분석하고 있는 보안위협은 무엇인가요?

Q. 취약점 분석 전문가로 가장 기억에 남는 제로데이 취약점은 무엇인가요?

최근 IoT 분야가 화두잖아요. 특히, 공유기 DNS를 변조하거나 공유기 자체를 악성코드에 감염시키는 등 공유기가 최근 이슈로 부각되고 있죠. 그래서인지 지난 2012년 조주봉 팀장과 함께 발표한 공유기 취약점을 이용한 공격기술이 기억에 남네요. 당시에는 주변에서 보편화되어 있지 않은 분야라 신기하다고만 느꼈지 실제 일상생활에서 공격에 직접 활용될 것으로 예상하지 못했거든요. 잠재적 제로데이 취약점으로만 존재하다가 최근 실제 대량공격으로 이어진 사건이지요.

Q. 보안에 있어 가장 중요한 것은 무엇이라고 보시나요?

일반적으로 보안사고가 발생하면 마치 특정 기업이나 단체만의 문제로 취급되어 원인분석 및 사후처리보다는 “왜 막지 못했느냐”라는 책임 측면만 치중하는 경우가 종종 있죠. 하지만 어느 누구도 100% 안전할 수 없거든요. 보안은 하나의 철판으로 막는 게 아니라 그물망처럼 사이사이를 메워가며 틈새를 자꾸 작게 만들어야 해요. 따라서 사고가 일어났을 때에는 빠른 대응과 재발 방지가 중요합니다.

Q. 여성보안전문가 타이틀이 많이 따라다니는 것에 대해 부담은 없나요?

Q. 업무가 여성이 하기엔 어려운 점은 없나요?

결혼해서 육아 문제로 힘들어 하는 후배들은 있더라고요. 저는 남편이 같은 분야라 그런지 업무에 집중하도록 배려해주기 때문에 특별히 불편한 점은 없어요. 그러나 보안 이슈로 주말에 갑자기 나가거나, 자발적으로 나오는 경우도 많기 때문에 이쪽 분야는 정말 좋아하지 않으면 안 되죠.

Q. 정보보안전문가로서 가장 고민하는 부분이 있다면?

아무래도 이 분야는 늘 새로운 것을 받아들일 수 있어야 하기 때문에 나이가 들어갈수록 이 부분이 스트레스로 작용하죠죠. 지금껏 적성에 잘 맞고 이 일이 재미있어서 지금 이 자리까지 왔지만, 끊임없이 공부하지 않으면 안 되거든요.

Q. 쌓인 스트레스는 어떻게 해소하시나요?

스트레스 해소는 솔직히 잘 못하고 있는 것 같아요(웃음). 아무래도 머리를 많이 쓰다보니 머리를 비우고 싶다는 생각을 많이 해요. 그러다 보니 단순한 게임이나 일과 전혀 무관한 그림 그리기 등의 취미활동을 하기도 해요. 때로는 해야 하는 업무 말고 키덜트 장난감 같은 걸 가지고 놀면서 스트레스를 풀기도 하죠.

Q. 그럼에도 불구하고 여성보안전문가로 지금껏 활발하게 활동하고 있는 비결은 무엇인가요?

우선 이 분야 일을 좋아하는 게 가장 큰 비결이에요. 회사에서는 근무자의 역량에 대한 배려가 있고요. 또 다른 비결은 인맥이에요. 업무적으로 치우쳐 있다고 생각하면 호기심 많은 조주봉 팀장 등과 같은 지인들과 얘길 많이 나눠요. 그러다보면 해당 보안 분야에 대해 보다 많이 배우고, 시각을 넓힐 수가 있거든요.

Q. 보안전문가로서 가장 우선적으로 갖춰야 할 소양은 무엇이라고 생각하시나요? 

한쪽 분야만 너무 깊이 알게 되면 바로 옆을 보지 못하는 경향이 있어요. 한쪽으로 치우치는 사고보단 다양한 의견을 수렴할 수 있는 오픈된 사고와 소양이 중요해요. 보안은 혼자서 할 수 없기 때문에 반드시 필요한 덕목이죠. 그리고 기술적으로 뛰어난 실력을 지닐수록, 즉 전문가일수록 겸손해야 해요.

Q. 앞으로 계획 또는 목표가 있다면?

제가 아무래도 여성 취약점 분석가로는 앞에서 걸어가는 입장이기 때문에 이 분야하면 바로 떠오를 수 있고, 힘을 보탤 수 있는 영향력 있는 리더로 계속 성장하고 싶어요.

또 한 가지는 현재 블로그를 운영중에 있는데,  꽤 괜찮은 보안 블로그로 인정받으며 꾸준히 운영하고 싶습니다. 사실 보안용어들이 어렵잖아요. 그런데 최근에는 3.4 또는 7.7 디도스 등과 같은 굵직한 보안사건 이후로 언론에서도 쉬운 그림이나 도식화로 이해하기 쉽게 전달하고 있는 것 같아요. 권혁주 웹툰 작가의 씬커와 같은 만화도 일반인들이 접하기 어려워하는 해킹이라는 딱딱한 주제를 재밌게 풀어가기도 해요. 이젠 보안 분야가 만화, 드라마, 영화 등에서 소재로 쓰이는걸 보면 생각보다 많이 근접해 있는 것 같아요.

그래서 보안에 대한 전문성이 있으면서도 독자들이 잘 이해할 수 있도록 제가 좋아하는 그림이랑 보안을 접목해 보고 싶어요. 이를 바탕으로 보안전문가와 일반인 등 다양한 사람들이 찾아올 수 있는 블로그를 운영하는 것이죠. 현재 제가 운영하고 있는 블로그의 경우 기술적으로 깊이 있는 내용 위주로만 되어 있거든요. 나름 이해하기 쉽도록 만화나 그림도 넣었습니다만(웃음)...

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>