마이크로소프트 MVP 류한석

“개발자는 안전한 SW를 개발할 의무가 있다”

-현재 하고 있는 주요 업무와 부서에 대한 설명

솔루션 아키텍트 분야의 마이크로소프트 MVP다. 현재 삼성전자 디지털솔루션센터에서 책임연구원으로 일하고 있다. 회사에서는 주로 디지털 홈, 디지털 오피스 관련 솔루션 개발을 담당하고 있으며, 소프트웨어를 개발하는 전 과정(애플리케이션 개발의 라이프사이클)에서 요구사항 분석 및 정의, 설계, 구현, 테스트 등에 책임을 지고 있다.

또한 ZDNET Korea에서 2003년부터 꾸준히 “류한석의 스마트모델링” 칼럼을 맡고 있으며, 개인 블로그인 피플웨어(peopleware.co.kr)를 운영하고 있기도 하다.

-개발 업무를 주로 하는 것으로 알고 있는데, 개발과 보안의 관계에 대해 어떻게 생각하는가.(개발자들이 보안에 대해 신경을 쓰지 못하는 여러 가지 여건 및 상황 등)

정보 보안에 있어 가장 중요한 요소 중 하나는 ‘안전한 소프트웨어의 사용’이다. 그것을 위해서는 소프트웨어가 처음부터 안전하게 개발되는 것이 중요하다. 즉 보안 요구사항을 반영한 소프트웨어의 개발이다. 그리고 그것은 바로 개발자 및 아키텍트가 책임질 부분이다.

소프트웨어의 중요한 비기능적 요구사항 중 하나로 보안 요구사항을 꼽을 수 있다. 소프트웨어의 설계자인 아키텍트는 보안 요구사항을 고려한 소프트웨어 아키텍처를 디자인해야 하며, 개발자들에게 보안 요구사항의 중요성을 인식시키고 개발에 반영하기 위해 노력해야 한다.

개발자는 아키텍트 및 시스템 관리자와 협력하여 애플리케이션 보안 요구사항을 충족시키는 개발을 해야 한다. 개발자는 바람직한 애플리케이션 보안 개발 기법을 적용하고, 보안이 취약한 지점을 파악하고 그것을 방지하는 방법을 습득해야 한다. 그리고 안전한 프로그래밍 기술을 사용함으로써 결과적으로 안전한 소프트웨어를 개발할 책임이 있다.

현재 시중의 많은 소프트웨어들이 해킹 및 악의적 공격에 취약한 이유는 소프트웨어 개발 과정에서 보안 요구사항을 충분히 반영하지 못했기 때문이다.

안전한 소프트웨어가 개발되지 못하는 이유는, 많은 경우 소프트웨어 개발 과정에서 보안 요구사항 정의 및 안전한 프로그래밍이 간과되기 때문이지만 사실 그 중요성을 인정하는 경우라 할지라도 납기 일정 등으로 인해 반영하지 못하는 경우도 많다.

-그렇지만 앞으로 개발자들의 보안의식은 더욱 중요할 것으로 보이는데 이 부분은 어떻게 개선되어야 할까.

솔루션 개발 시 그리고 SI 프로젝트에서 보안 요구사항의 분석/정의/설계/구현/테스트의 중요성을 인정하고 일정, 예산에 해당 내용을 반영하여야 한다. 무엇보다 보안에 대해 충분히 알고 있고 아키텍처 설계에 해당 내용을 반영할 수 있는 아키텍트가 참여하는 것이 중요하다. 개발자는 그러한 보안 요구사항을 이해한 후 설계 내역에 따라 안전한 프로그래밍을 수행해야 한다.

-현 CISSP 협회 연구분과 이사직을 맡고 있는데 주로 어떤 업무를 담당하고 있는가.

협회가 설립된 지 그리 오래되지는 않아서 회원들의 이익을 위해 충분히 활발한 활동을 하지는 못하고 있다고 생각한다. 그렇지만 부족하나마 협회가 설립된 2005년부터 회원 대상으로 반기마다 보안 관련 세미나를 개최하고 있으며, 앞으로 세미나 또는 토론 등의 오프라인 활동을 보다 강화하려고 생각하고 있다.

또한 협회 회원들끼리 관심이 있는 주제를 정하여 연구회 활동을 할 수 있도록 준비하고 있다. 이를 통해 단순히 선진 기술의 습득뿐만 아니라 한국적 상황에 맞는 연구를 할 수도 있고 학계와 업계가 연계하여 논문 발표 등도 가능할 것으로 기대하고 있다. 다들 생업이 있기에 쉽지는 않겠지만, 보다 생산적인 결과물을 낼 수 있는 방법을 찾고 있다.

-CISSP 자격증은 언제 취득했으며, 취득하게된 된 계기가 있다면.

CISSP는 2004년에 취득했다. CISSP 자격증이 아직까지도 아키텍트 또는 개발자들이 흔히 관심을 갖는 자격증이 아니라는 점에서 볼 때 비교적 이른 취득이었다고 생각한다. 하지만 앞서 언급한 바와 같이, 안전한 소프트웨어의 개발을 위해서는 개발 과정에서 보안 요구사항을 고려한 분석/정의/설계/구현/테스트를 수행하는 것이 중요하다.

보안에 관해 눈을 뜬 계기는 보안 전문가인 브루스 슈나이어의 저서 ┖디지털 보안의 비밀과 거짓말(Secrets and lies)┖을 읽은 다음부터다. 해당 서적에 다음과 같은 글이 나온다.

“보안은 사슬이다. 사슬의 가장 약한 고리만큼만 안전하다. 보안은 제품이 아니라, 프로세스이다.(Security is a process, not a product)”

브루스 슈나이어는 한때 암호학이 완벽한 보안을 이루어줄 것이라고 믿었지만, 이후 실무 경험 및 시행착오를 통해 프로세스 관점에서의 보안을 역설한 바 있다. 보안은 몇몇 보안 제품이나 물리적 장치를 통해서 해결될 수 있는 것이 아니라고 생각한다. 정보 보안을 구성하는 모든 요소에서 보안 마인드가 요청되고 있는 것도 이 때문이다.

브루스 슈나이어의 서적을 읽은 후, 보안 전반에 대해 관심을 갖게 되었고 그에 따라 보안 요구사항 및 안전한 프로그래밍 기법을 반영한 소프트웨어 개발을 수행하게 되었다. 그런 과정에서 자연스럽게 CISSP를 알게 되었으며, 자격증을 취득하게 되었다.

-이 자격증을 취득하고자 하는 독자들께 도움이 될 만한  조언을 해주다면.

CISSP는 그리 어려운 시험은 아니다. 우리가 흔히 자격증(license)이라고 얘기하지만 사실 증명(certification)이라고 하는 것이 보다 정확한 표현이다. 하지만 관행상 그냥 자격증이라고 표현하고 있다.

일반적으로 증명(certification)이라는 개념은 해당 업무를 수행하는데 있어 기본적이고 필수적인 최소한의 지식을 확인하는 것이다. CISSP는 그런 시험이라고 생각한다. 증명서 자체가 실무 능력을 보장하는 것은 아니기 때문이다. 그리고 시험 자체도 그리 어렵지 않다. 보안에 대해 기본적인 지식이 있고 계속 현업을 수행했던 사람이라면, 비교적 적은 시간을 투자하여 시험에 합격할 수 있다.

그러므로 CISSP 취득 자체에 대단한 가치를 부여하기 보다는, 시험을 준비하는 과정에서 보안 관련 지식을 체계적으로 정리하는 것에 더 큰 가치를 부여하고 싶다. 자격증 취득이라는 목표가 있으면 보안 공부를 보다 열심히 할 수 있다.

보안 관련 지식을 체계적으로 습득하고 덤으로 자격증까지 얻는다면 그것으로 충분히 투자할만한 가치가 있는 일이 아닐까.

-또 CISSP 이외에 다른 보안자격증도 취득한 것으로 알고 있는데, 어떤 자격증이 있으며 CISSP와 비교해 설명해준다면.

CISA(Certified Information Systems Auditor)와 CISM(Certified Information Security Manager)을 갖고 있다.

ISACA에서 주관하는 CISA는 정보시스템 감사 전문가라고 할 수 있다. 정보시스템을 감사하는 과정에서 보안 관련된 부분의 감사가 필요하다. 그러한 업무를 수행하기 위해서는 보안 지식이 요구되므로 CISA의 영역 중 일부로 보안이 다루어지고 있다. 하지만 CISSP가 보안 자격증인 반면, CISA의 경우 전체 영역 중 보안은 일부만 차지하고 있기 때문에 자격증이 커버하는 범위의 차이가 있다.

그리고 ISACA의 CISM은 만들어진 지 얼마 안되어서 전세계적으로 그리 확산된 자격증은 아니다. ISC2가 주관하는 CISSP에 대응해서 만들어졌다고 생각하면 이해가 쉬울 것이다. 다루는 영역에 일부 차이는 있지만, 둘 다 보안 전문가를 위한 자격증이다. 다만 두 자격증은 주관하는 협회가 다르고, 아직까지 인지도 측면에서 CISSP가 높다.

-마이크로소프트 MVP에 대해 간략히 설명해 준다면.

마이크로소프트 MVP는 시험에 의해 합격하는 자격증 같은 것이 아니고, 커뮤니티 활동에 뛰어난 개인의 공헌을 인정하여 마이크로소프트가 시상을 하는 것이다. 마이크로소프트 MVP는 뉴스그룹, 동호회, 웹사이트, 저서 및 강연 등 다양한 활동들을 통해 지식과 경험을 기꺼이 공유함으로써 다른 사용자들을 도운 커뮤니티 전문가에게 수여된다.

마이크로소프트의 여러 제품, 기술 분야에 따라 해당 전문가를 선정하고 있으며 제가 선정된 솔루션 아키텍트 분야에는 전 세계적으로 1백 명에 가까운 전문가가 선정되어 있다. 개인적으로는 지난 2002년에 국내 최초로 .NET 분야의 마이크로소프트 MVP로 선정이 되었고, 2005년에 국내 최초로 솔루션 아키텍트 분야의 마이크로소프트 MVP로 선정이 되었다.

-보안 관련해서 주로 방문하는 사이트와 도움이 될 만한 도서가 있다면 소개부탁.

앞서 소개한 브루스 슈나이어의의 ┖디지털 보안의 비밀과 거짓말(Secrets and lies)┖ (나노미디어)를 특히 추천하고 싶다. 보안 마인드를 각성하는데 큰 도움이 되는 책이기 때문이다.

그리고 상세한 보안 기술의 경우 해킹 기술에 맞서 워낙 빠르게 진화하고 있기 때문에 서적으로 출간된 정보보다는 인터넷에서 얻는 정보가 훨씬 유용하다.

주로 마이크로소프트의 보안 개발자 센터(Security Developer Center) http://msdn.microsoft.com/security/ 를 방문한다. Windows 기반의 개발을 하는 경우가 많기 때문에 데스크톱 PC와 서버에서 필요한 보안 관련 정보를 빠르게 얻을 수 있기 곳이다. 또한 Michael Howard의 블로그 http://blogs.msdn.com/michael_howard/도 종종 방문하여 Windows 보안 관련 정보를 얻고 있다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>