[인터뷰] 김태성 안철수연구소 엔진개발팀 선임연구원

 

해커와 마찬가지로 보안은 특성상 왠지 숨기고 감춰야 할 것 같다는 고정관념이 있다. 그래서 기업 보안담당자들은 기업 내부의 보안상황에 대해 쉬쉬하는 경향이 있다. 하지만 해외 해커나 보안담당자들은 활발한 커뮤니티를 형성해 해킹 기법뿐만 아니라 보안기술을 공유하면서 스스로를 키워나간다고 한다. 보안전문가 Story는 이 분야 전문가들의 활발한 커뮤니티 형성을 위해 기획했다. 이번에 소개할 인물은 김태성 안철수연구소 엔진개발팀 선임연구원이다.

 

현재 맡고 있는 업무는?

현재 안철수연구소 엔진개발팀장을 맡고 있다. 주로 AV(안티바이러스)엔진개발 업무 및 AV와 관련된 대외적인 업무를 총괄담당하고 있다. 안철수연구소에서는 2001년 10월부터 일해 왔고 그 전에는 하이닉스의 전신인 현대전자에서 5년간 보안업무를 담당해왔다. 보안업무만 10년이 넘었다.

안철수연구소로 이직하게 된 동기가 있다면?

하이닉스에 입사 후, 우연찮게 보안파트를 담당하게 됐다. 당시에는 보안기술과 장비만 있으면 보안을 완벽하게 이룰 수 있다는 단순한 생각을 가지고 있었다. 하지만 업무를 하면 할수록 그 생각이 잘못되었음을 깨닫게 됐다. 그리고 개발업무를 담당하면서 SW개발의 체계적인 프로세스가 필요하다는 것을 느꼈다. 잘 정립된 프로세스 환경에서 개발을 본격적으로 할 수 있는 기업을 찾던 가운데 안철수연구소와 조인하게 됐다.

CISSP 인증은 언제, 어떤 계기로 받게 됐나?

2001년 6월에 취득했다. 당시 CISSP 회원이 국내에 100명 정도 뿐이었다. 동기는 보안기술과 지식에 대해 테스트를 해보고 싶은 마음에서였다. 하이닉스가 이천에 있던 관계로 주말시간을 이용해 동국대 국제정보대학원 주말강의를 들으면서 한 달 반 정도 준비해 시험을 봤다. 국내에서는 자격증이 큰 의미가 없지만 당시 CISSP 10개 도메인을 공부하면서 보안에 다시 한번 눈을 뜨게 된 계기가 됐다. 보안은 단순히 제품이나 기술로 되는 것이 아니라 프로세스와 관리 등 총체적인 접근방법으로 해야 가능하다는 것을 깨달았다.

CISSP 활동은 적극적으로 하고 있나?

지난해 초부터 CISSP 코리아 챕터 활동을 하고 있다. 해외와는 달리 국내에서는 이런 보안자격증이나 인증제도 등이 정착이 안 된 상태다. 인증을 받는다고 해서 취업이나 승진에 도움이 되는 경우는 없다. 챕터 활동을 통해 CISSP 회원들이 보안분야를 리드하고 있다는 대표성을 인정받을 수 있도록 노력하고 있다. 국내에서도 CISSP 뿐만 아니라 MS의 MVP처럼 시험에 의해 평가하는 것이 아닌 왕성한 활동을 평가해 MVP를 수여하는 식의 제도들이 정착됐으면 하는 바람이다.

SW개발에 있어 중요한 부분은 무엇인가?

우선 직접 제작한 SW를 이용자들이 안전하게 사용하는 것을 보면 뿌듯함을 느낀다. 개발에 있어 중요한 것은 안전한 소프트웨어를 개발하는 것이다. 그러기 위해서는 소프트웨어 개발 초기부터 보안성이 가미된 정확한 로드맵이 만들어져야 하고 그에 맞춰 개발자들이 창의성을 발휘해 개발해 나가야 한다. 하지만 국내환경은 빠듯한 일정과 허술한 로드맵 그리고 뒷전으로 밀려난 보안성, 이런 어려운 점들이 복합적으로 개발환경을 망치고 있다. 즉 정확한 로드맵을 구성하기 위한 프로세스가 확립돼야 하고 처음부터 보안성을 고려한 개발 프로세스가 정립돼야 한다.

보안SW 개발자로서 힘든 점이 있다면?

보안은 수많은 영역 중에서 어느 한곳만 뚫려도 나머지 부분이 허사가 돼 버리는 특성이 있기 때문에 모든 부분을 커버해야 한다는 중압감이 크다. 100%의 보안은 불가능하다는 것에 대해 이용자들은 이해를 못한다. 보안 소프트웨어만 깔면 모든 공격을 다 막을 수 있다는 것은 큰 오산이다.

보안산업의 미래를 어떻게 보고 있나?

보안은 IT인프라를 넘어설 수 없고 IT인프라의 흐름과 함께 녹아져야 한다. 유비쿼터스와 웹2.0 환경에서 보안은 다양한 IT기술들이 복합적으로 유기적인 역할을 하는 가운데 그 연결고리를 튼튼하게 만들어 줄 수 있어야 한다. IT기술이 통합되면서 그 가운데 수많은 취약점들이 발생할 것이다. 그것을 보완하는 역할을 보안이 담당해야 한다. RSA 2007에서 EMC 부사장은 “향후 보안제품만 공급하는 업체는 사라지고 인프라와 함께 보안을 같이 제공하는 업체가 살아남는다”고 말했다. 공감이 간다. 보안은 독자적인 행보를 걷기 보다는 IT인프라의 장중한 흐름 속에서 여러 분야를 연결하는 연결고리 역할을 담당하게 될 것이라고 생각한다. 보안산업도 이에 동참해야 한다.

보안분야 후배들과 초보자들에게 한마디 한다면?

보안SW 개발이나 보안관련 업무는 열정이 없으면 힘들고 고된 일이 될 것이다. 열정이란, 하는 일에 대한 자부심이 근본에 있어야 한다. 현실에 안주하거나 매너리즘에 빠진다면 보안SW 개발자로서의 생명은 끝났다고 봐야 한다. 그런 의미에서의 열정을 말한 것이다. 또한 보안업무는 강한 윤리의식이 필요하다. 자칫하면 잘못된 길로 빠질 수도 있기 때문에 보안전문가는 기본적인 윤리성이 필수라고 생각한다.

추천할 만한 책과 사이트가 있다면?

최근 개발 프로젝트가 막바지에 있어서 책을 많이 못보고 있지만 「마키아벨리라면 어떻게 할까」라는 책을 틈틈이 읽고 있다. 관리자 입장에 서다보니 관리적 부분에 대해 많은 것을 생각하게 하는 책이었다. 또 「Writing Secure Code」이라는 책도 함께 읽고 있다. 사이트는 <보안뉴스 www.boannews.com>와 <ZDnet www.zdnet.co.kr>, <digg.com>, <인포메이션위크 www.informationweek.com> 등을 주로 들어간다. 보안도 IT비즈니스 측면에서 보는 것이 중요하기 때문에 IT전반의 흐름도 꼭 챙기고 있다.

앞으로 계획이나 더 공부하고 싶은 분야가 있다면?

PKI(공개키기반구조)와 AV 분야에 대해서는 계속 관심을 가지고 있고 앞으로도 그럴 것이다. 그 이외에 개발 프로세스를 정립하는 분야를 공부해보고 싶다. SW개발 시 불명확한 요구사항으로 인해 개발 후에 몇 번의 수정을 해야 하는 상황이 발생한다. 또 보안성 적용에 대한 프로세스가 정립이 안된 관계로 개발 후 버그수정 등이 개발자들의 발목을 잡고 있고 창의적인 활동을 방해하고 있다. 그래서 개발을 ‘노가다’라고 부른다. 이런 반복되는 비효율성을 개선할 수 있는 프로세스 정립과 관련된 공부를 하고 싶고 배워서 보안산업에 기여하고 싶은 마음이다.

개인 PC관리는 어떻게 하고 있나?

최신의 보안패치 업데이트를 실행하고 최신 버전의 바이러스 백신을 실시간으로 돌리고 의심스러운 사이트와 이메일, 메신저 등의 파일은 열어보지 않는다는 기본적인 사항을 잘 지키고 있다. 누구나 다 아는 기본적인 보안사항이지만 잘 지켜지지 않는 것이 문제다. 보안SW개발자 입장에서는 일반 이용자들이 이런 보안사항을 몰라도 쉽고 간편하게 사용할 수 있는 보안SW를 개발하는 것이 필요하고 그렇게 만들려고 노력하고 있다. 하지만 제로데이 공격이 성행하고 있는 요즘, 백신으로도 막을 수 없는 공격들이 있기 때문에 이용자들의 기본적인 보안의식은 필수라고 생각한다. 보안업체는 사후 대처보다는 사전방역을 할 수 있는 프로그램을 만들기 위해 노력해야 한다고 생각한다. 보안은 보안제품-사용자-기업이 공동으로 함께 하는 것이다. 

AV 엔진 개발 담당자로서 국내 AV 기술을 어떻게 보고 있나?

해외 글로벌 기업들의 제품과 비교해도 손색이 없다고 생각한다. 지속적으로 국제 AV 제품 평가기관에 평가를 받고 있고 좋은 성적을 내고 있다. 아마도 2~3년 내에 해외 유수 기업들의 제품들과 대등한 위치에 있게 될 것으로 생각한다. 또 한국의 작은 기업들이 글로벌 거대 기업들과 경쟁을 하고 있다는 자체만으로도 높이 평가해야 할 부분이다.

[월간 정보보호21c 통권 제81호 길민권 기자(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>