릴레이 인터뷰②...

김태성 안철수연구소 엔진개발팀 선임연구원

해외 해커나 보안 종사자들은 활발한 커뮤니티를 형성하고 있다고 한다. 그래서 해킹 기법뿐만 아니라 보안 기술들도 공유하면서 스스로를 키워나간다고 한다. 하지만 우리나라는 해커나 보안 고수들이 ‘은둔’하는 경우가 많다. 그래서 커뮤니티의 힘을 도출해 내지 못하고 있는 것이 현실이다. 이에 <릴레이 인터뷰>는 다양한 분야에 ‘숨어있는’ 전문가들을 찾아 차례로 소개할 예정이다.

이번에 소개할 인물은 김태성 안철수연구소 엔진개발팀 선임연구원이다. 그가 안철수연구소에서 근무한지 햇수로 6년째, 그 전에는 현대전자(하이닉스 반도체)에서 5년간 보안업무에 종사했다고 한다.

Interview

SW개발 프로세스 정립...아직 정착 안돼

개발초기부터 정확한 로드맵과 보안성 검토돼야

“열정과 자부심 그리고 윤리성 없으면 보안은 힘들어”

지금 하고 있는 업무는

현재 안철수연구소 엔진개발팀장을 맡고 있다. 주로 AV(안티바이러스)엔진개발 업무와 AV와 관련된 대외적인 업무를 총괄담당하고 있다. 여기는 2001년 10월부터 일해 왔고, 그 전에는 하이닉스의 전신인 현대전자에서 5년간 보안업무를 담당해왔다. 보안업무만 10년이 넘었다.

CISSP 인증은 언제, 어떤 계기로 받게 됐나

2001년 6월에 취득했다. 당시 CISSP 회원이 국내에 100명 정도 뿐이었다. 동기는 보안 스킬과 지식에 대해 테스트를 해보고 싶은 마음에서였다. 하이닉스가 이천에 있던 관계로 주말 시간을 이용해 동국대 국제정보대학원 주말 강의를 들으면서 1달 반 정도 준비해 시험을 봤다. 국내에서는 자격증이 큰 의미는 없지만, 당시 CISSP 10개 도메인을 공부하면서 보안에 다시 한번 눈을 뜨게 된 계기가 됐다. 보안은 단순히 제품이나 기술로 되는 것이 아니라 프로세스와 관리 등 총체적인 접근 방법으로 해야 가능 하다는 것을 깨달았다.

CISSP 활동은 적극적으로 하고 있나

지난해 초부터 CISSP 코리아 챕터 활동을 하고 있다. 해외와는 달리 국내에서는 이런 보안 자격증이나 인증제도 등이 정착이 안 된 상태다. 인증을 받는다고 해서 취업이나 승진에 도움이 되는 경우는 없다. 챕터 활동을 통해 CISSP 회원들이 보안 분야를 리드하고 있다는 대표성을 인정받을 수 있도록 노력하고 있다. 국내에서도 CISSP뿐만 아니라 MS에서 MVP처럼 시험에 의해 평가하는 것이 아니라 왕성한 활동을 평가해 MVP를 수여하는 식의 제도들이 정착됐으면 하는 바람이다.

SW개발에 있어 중요한 부분은 무엇인가

우선 직접 제작한 SW를 이용자들이 안전하게 사용하는 것을 보면 뿌듯함을 느낀다. 개발에 있어 중요한 것은 안전한 소프트웨어를 개발해야 하는 것이다. 그러기 위해서는 소프트웨어 개발 초기부터 보안성이 가미된 정확한 로드맵이 만들어져야 하고 그에 맞춰 개발자들이 창의성을 발휘해 개발해 나가야 한다. 하지만 국내 환경은 빠듯한 일정에 허술한 로드맵, 그리고 뒷전으로 밀려난 보안성. 이러한 어려운 점들이 복합적으로 개발환경을 망치고 있다. 즉 정확한 로드맵을 구성하기 위한 프로세스가 확립돼야 하고 처음부터 보안성을 고려한 개발 프로세스가 정립돼야 한다.

보안 산업의 미래를 어떻게 보고 있나

보안은 IT인프라를 넘어 설 수 없다. IT인프라의 흐름과 함께 녹아져야 한다. 유비쿼터스와 웹2.0 환경에서 보안은 다양한 IT기술들이 복합적으로 유기적인 역할을 하는 가운데 그 연결고리를 튼튼하게 만들어 줄 수 있어야 한다. IT기술이 통합되면서 그 가운데 수많은 취약점들이 발생할 것이다. 그것을 보완하는 역할을 보안이 담당해야 한다. RSA 2007에서 EMC 부사장은 ‘향후 보안 제품만 공급하는 업체는 사라질 것이다. 인프라와 함께 보안을 같이 제공하는 업체가 살아남는다’고 말했다. 공감이 간다. 보안은 독자적인 행보를 걷기 보다는 IT인프라의 장중한 흐름속에서 여러 분야를 연결하는 연결고리 역할을 담당하게 될 것이라고 생각한다. 보안 산업도 이에 동참해야 한다.

보안 분야 후배들과 초보자들에게 한마디

보안SW개발이나 보안관련 업무는 열정이 없다면 힘들고 고된 일이 될 것이다. 열정이란 하는 일에 대한 자부심이 근본에 있어야 한다. 현실에 안주하거나 매너리즘에 빠진다면 보안SW개발자로서의 생명은 끝났다고 봐야 한다. 그런 의미에서의 열정을 말한 것이다. 또한 보안 업무는 강한 윤리의식이 필요하다. 자칫하면 잘못된 길로 빠질 수도 있기 때문에 보안 전문가는 기본적인 윤리성이 필수라고 생각한다.

앞으로 계획이나 더 공부하고 싶은 분야가 있다면

PKI와 AV 분야에 대해서는 계속 관심을 가지고 있고 앞으로도 그럴 것이다. 그 이외에 개발 프로세스를 정립하는 분야를 공부해보고 싶다. SW개발시, 불명확한 요구사항으로 인해 개발 후, 다시 몇 번의 수정을 해야 하는 상황이 발생한다. 또 보안성 적용에 대한 프로세스가 정립이 안된 관계로 개발 후, 버그수정 등이 개발자들의 발목을 잡고 있고 창의적인 활동을 방해하고 있다. 그래서 개발을 ‘노가다’라고 부른다. 이러한 반복되는 비효율성을 개선할 수 있는 프로세스 정립과 관련된 공부를 하고 싶고, 배워서 기여하고 싶은 마음이 있다.

개인 PC관리는 어떻게 하고 있나

최신의 보안패치 업데이트를 실행하고 최신 버전의 바이러스 백신을 실시간으로 돌리고 의심스러운 사이트와 이메일, 메신저 등의 파일은 열어보지 않는다는 기본적인 사항을 잘 지키고 있다. 누구나 다 아는 기본적인 보안 사항이지만 잘 지켜지지 않는다는 것이 문제다. 보안SW개발자 입장에서는 일반 이용자들이 이러한 보안 사항을 몰라도 쉽고 간편하게 사용할 수 있는 보안 SW를 개발하는 것이 필요하고 그렇게 만들려고 노력하고 있다. 하지만 제로데이 공격이 성행하고 있는 요즘, 백신으로도 막을 수 없는 공격들이 있기 때문에 이용자들의 기본적인 보안의식은 필수라고 생각한다. 보안업체는 사후 대처보다는 사전 방역을 할 수 있는 프로그램을 만들기 위해 노력해야 한다고 생각한다. 보안은 보안제품-사용자-기업이 공동으로 함께 하는 것이다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>