보안은 특성상 숨기는 것이 미덕인 것처럼 생각하는 경향이 있다. 숨겨서 무엇을 얻고자 하는 것일까. 지금 우리는 웹2.0 시대에 와 있다고들 한다. 누군가는 웹2.0의 근간은 ‘투명성’과 ‘참여’에 있다고 말한다. 모든 것을 공개하고 서로 공유하는 것. 누구나 참여해 콘텐츠를 생산하고 서로 공유하면서 한 차원 높은 사이버 환경을 만들어가는 것이 웹2.0이라고 한다.

선진국의 많은 기업들은 제품 생산과 기술개발에서도 기존의 숨기고 감추는 경영에서 투명성과 개방성을 가지고 다양한 소비자들의 의견을 적극 수렴해 제품을 생산하고 기술도 업그레이드 시켜나가고 있다고 한다. 특히 인터넷 기업들 중 현재 탄탄대로를 걷고 있는 기업들 대부분이 웹2.0 정신에 입각한 투명성과 개방, 공유, 참여를 기업 정신으로 삼고 있다는 것은 우리에게 많은 것을 이야기 해준다.

이제 보안도 폐쇄적인 방법으로는 힘들다. 아무도 모르게 보안 솔루션이나 첨단 보안 장비를 구축했다고 해서 과연 안전하다고 장담할 수 있을까. 수많은 공격루트를 가진 공격자들이 과연 아무도 모르게 보안장비들을 구축했다고 해서 공격이 불가능한 것일까. 그리고 혼자 숨어서 보안 업무를 충실히 한다고 해서 보안 업무를 잘하고 있다고 말할 수 있을까. 혼자 열심히 보안 공부를 했다고 해서 최고 수준이라고 말할 수 있을까.

서로 공유하고 지식을 내 놓고 다른 사람의 지식을 토대로 서로가 업그레이드 돼야 한다. 특히 보안에서 공격자들은 이러한 지식 공유를 활발하게 하고 있다. 하지만 방어자들은 그렇지 못하다. 그래서 항상 공격자들의 공격에 조마조마해하며 살아가고 있다.

보안도 서로 공유하고 참여하고 지식을 업그레이드 시켜나가는 것이 필요하다. ‘보안전문가 스토리’도 그런 의미에서 시작됐다. 이번 호에는 이상용 삼성전자 본사 정보보호그룹 차장과 인터뷰를 진행했다. 마침 논현동에 위치한 삼성전자 마케팅 연구소에서 직원들을 대상으로 보안 교육을 실시하고 있다고 해서 그곳을 찾았다.

Interview

이상용 삼성전자 정보보호그룹 차장

“사업 프로젝트별로 보안 프로세스 투입돼야”

보안업무는 언제부터 시작했나

91년에 삼성SDS에 입사할 때는 시스템 구축하는 일을 시작했다. 당시는 보안이라는 개념이 생소해서 지금은 흔한 방화벽도 모르던 시절이었다. 삼성이라고 해서 별반 다를 것도 없었다. 그런데 93년 8월 정도에 정보유출 사고가 발생했다. 문서유출이었는데 삼성이 그때부터 보안에 신경을 쓰기 시작했고 그룹차원의 보안팀을 신설했다. 그때가 94년 5월이다. 주로 IT보안 기술 위주로 삼성SDS 내에 생겨났고 그곳에서 그룹전체 보안업무를 시작하게 됐다. 삼성그룹 보안팀 첫 멤버로 참여하면서부터 보안업무를 시작하게 됐다.

당시 보안업무는 주로 어떤 일들이었나

우선 삼성전자와 삼성생명에 시범적으로 가장 먼저 보안팀을 구축했다. 94년에서 98년까지는 거의 보안 조직 구축과 IT보안 인프라 구축, 물리적 보안 인프라 구축에 주력하는 등 전반적인 보안 체계를 잡는데 노력한 시기였다. 특히 보안표준이나 가이드라인을 만들고 직원들의 보안마인드 형성에도 많은 신경을 썼다. 당시는 삼성 전체의 보안 표준화를 정립했던 시기라고 생각한다.

보안에 있어 당시와 지금을 비교해보면 어떤 차이가 있나

90년대 초반에는 방화벽이라는 개념도 없었다. 그리고 90년대 중반에 방화벽과 IDS 등이 나오기 시작했다. 그때는 방화벽과 IDS만 구축하면 보안이 다 되는줄 알았다. 특히 외부에서의 해킹 침입이 간혹 있었기 때문에 이를 막기 위해 해킹 방어에 대한 공부도 했었다.

하지만 지금은 외적 인프라도 중요하지만 내부 직원들의 보안마인드가 가장 중요하고 관리적 보안의 중요성에 대해 많이 느끼고 있다. 단순히 보안장비만 도입한다고 보안이 되지 않는다는 것을 깨달았다. 그래서 초기 기계적 보안에서 이제는 관리적 보안과 비즈니스적 보안으로 생각이 바뀌었다고 할 수 있다.

취득한 자격증은 어떤 것들이 있나

관리적 보안의 중요성을 느끼면서 2000년에 BSI7799 보안 오디터 자격을 취득했다. 그리고 이전 95년에는 CISA를 취득했고 MS 강사 자격증, MS 엔지니어 자격증, 자바 자격증, 보안감리 자격증 등을 취득했다. 거의 매년 보안이나 엔지니어 자격증에 도전하고 있어 집에서는 아이들이 매일 공부하는 아빠로 알고 있다.

CISSP는 2000년 국내 도입 첫 시험에서 취득했다. 당시에는 관련 서적도 없었고 교육기관도 없어서 공부하기가 꽤 힘들었다. 또 PMP자격증도 취득했다. 이 자격증은 프로젝트를 관리하고 단위별로 사람을 운영하는 방법을 배웠다. 그래서 보안 관리자들에게 필요한 자격증이라고 생각한다. 현재까지 취득한 보안자격증은 CISM, CISA, CISSP, PMP 등이다.

보안 자격증에 대해 어떻게 생각하는가

자격증은 많이 취득할 수 록 좋다고 생각한다. 왜냐하면 자격증 공부중 배우는 것이 현업에 적용되기 힘들다해도 공부를 하면서 A~Z까지 모든 내용을 한번 볼 수 있다는 점이 중요하다. 전체적으로 알고 있다는 것은 후에 보안 관리자가 됐을 때 큰 힘을 발휘한다. 자격증은 취득하고 나서 보다는 자격증을 취득하기 위해 공부하는 과정에서 많은 것을 배운다고 생각한다. 그래서 이왕이면 다방면에 많은 자격증을 취득하는 것이 좋다. 보안업무만 한다고해서 보안 자격증만 취득하는 것이 아니라 컴퓨터 전반에 대한 자격증, 그리고 관리적 부분에서 도움이 될 수 있는 자격증은 적극 추천한다.

보안그룹에서 지금까지 계속 근무해왔나

아니다. 99년을 마지막으로 e삼성 프로젝트에 참여하게 됐다. 그래서 시큐아이닷컴 설립 멤버로 활동하게 됐다. 2003년 3월에 시큐아이닷컴을 설립하고 2년 정도 근무했다. 당시는 보안 컨설팅 팀장으로 근무했다. 당시 삼성에서는 보안 트랜드가 커지면서 보안에 대한 인식이 커졌다. 그래서 삼성 내부인력을 모아서 사내 보안 벤처기업을 설립한 것이 시큐아이닷컴이다.

보안 벤처사업은 어땠나

처음 사업기획을 만드는데 많이 고민했다. 당시에는 방화벽을 한물 간 것으로 인식했기 때문에 방화벽을 주력 사업으로 하는 것에 대해서는 전혀 고려하지 않았다. 포화상태라고 생각하고 다른 방향으로 가려고 생각했었다. 하지만 아이러니하게도 현재 시큐아이닷컴에서 기가방화벽이 주력 제품으로 판매되고 있는 것을 보면 기본 장비를 무시할 수는 없다는 생각이 든다. 그 뒤 2년간의 벤처생활을 그만두고 영국으로 떠났다. 가족과 함께...

30대 중반의 유학길이 쉽지만은 않았을 텐데

2002년 3월 시큐아이닷컴을 그만두고 가족을 데리고 영국으로 유학을 갔다. 런던대에서 정보보호 석사과정을 2년 공부했다. 선진국 기업들은 어떻게 보안을 하는지 배워보고 싶었다. 유학생활에서 느낀점인데, 기술적인 부분은 우리나라가 더 발달했다. 하지만 그네들은 보안 표준화와 규정화된 정책 등이 아주 잘 돼 있다는 것을 느끼고 배웠다. 그리고 2년간 가족과 함께 영국에서 보낸 시간들이 너무 소중했다. 가족애를 흠뻑 느끼고 살았던 영국생활이었다. 졸업논문은 인증서를 주제로 잡았다. 당시 우리나라에서는 인증서가 활성화됐지만 영국에서는 연구중에 있던 터라 그쪽에서도 논문 주제에 많은 관심을 가졌다.

귀국 후에는 어떤 일을 했나

2004년에 귀국을 했다. 다시 삼성전자에 입사해 본사 정보보호 그룹에서 다시 일하게 됐다. 여기서는 전사적인 정보보호 정책과 보안규정을 마련해 본사와 각 계열사에 적용시키는 업무를 해오고 있다. 그리고 직원들의 보안 의식이 중요하기 때문에 직원들 보안 교육에도 힘쓰고 있다.

보안업무를 오래 담당해왔는데 그동안 느낀 점이 있다면

얼마전 모 조사기관에서 향후 10년 내에 전망있는 직업 1순위로 보안 담당자를 꼽은 적이 있다. 그래서 주위에서 전망있는 직업에 몸담고 있어서 좋겠다는 말을 많이 들었다. 맞는 말이다. 앞으로 보안 전문가는 기업에서 더욱 필요한 인력이 될 것이다. 하지만 요사이 기업들이 어려워지면서 보안 투자가 위축되고 있다. 곡간이 차지 않았는데 자물쇠는 해서 뭐하냐는 생각이 있는 것 같다. 이 부분이 항상 딜레마다. 곡간이 꽉 차진 않았지만 그 속에 들어있는 정보가 기업에 얼마나 큰 영향을 미칠 것이냐 하는 것을 잘 판단하고 그것을 보호하는 것은 전적으로 CEO의 의지에 달렸다. 기업 핵심가치가 무엇인지 정확하게 파악하고 그 부분에 대한 명확한 보안 체계가 잡혀있지 않으면 언젠가는 내부가 됐든 외부가 됐든 공격자에게 당하게 된다. 보안은 경영자의 의지가 상당한 부분을 차지한다는 것을 갈수록 느끼고 있다.

보안 공부를 하는 학생들에게 한마디

미래 유망직종이라곤 하지만 그만큼 준비도 많이 해야 하고 노력도 해야 한다. 또한 무거운 책임이 따르는 직책이어서 지금도 항상 공부하는 자세로 임하고 있다. 특히 이 분야에 관심을 가지고 있는 학생들은 해킹과 보안을 두루 공부해야 한다. 그리고 그것을 토대로 현재 IT 트랜드를 볼 수 있어야 한다. 보안위협들도 IT 트랜드에 따라 달라지기 때문에 단편적인 보안지식만으로는 따라가기 힘들다.

한편, 보안도 비즈니스다. 최고의 기술을 가진 보안장비가 기업 비즈니스에 도움이 안된다면 어떤 사람도 그 장비를 사용하지 않을 것이다. 보안도 비즈니스와 함께 흘러가야 한다. 보안을 할 때 가장 신경을 써야할 부분이 기업 비즈니스에 불편함을 주면 안된다는 점이다. 이 부분도 잘 생각하고 있어야 한다. 최고의 보안 솔루션을 개발했지만 기업의 비즈니스는 전혀 고려되지 않았다면 결코 좋은 보안 솔루션이라고 말할 수 없다. 기술에만 치우치지 말고 비즈니스적인 마인드로 보안을 바라보는 자세도 중요하다.

앞으로 보안 패러다임에 대해 어떻게 생각하는가

지금까지와 다른 보안 패러다임이 나와야 한다. 보안장비를 운영하는데 있어 불편함이 없도록 보안 기업에서 솔루션을 만들어가야 한다. 현재의 보안 트랜드로는 시장을 키우는 것이 힘들 것이다. 지금보다는 편리성을 더욱 강화해야. 그리고 보안솔루션도 비즈니스적인 관점에서 개발돼야 한다. 최근 통합보안 개념들이 이러한 추세를 따르고 있는 것으로 알고 있다.

보안과 비즈니스의 관계에 대해 좀더 자세한 설명을 덧붙이자면

각 단계별로 보안 프로세스를 투입하는 것이 중요하다. 하지만 대부분 기업에서 여력이 없기 때문에 이를 실행하지 못하고 있다. 하나의 비즈니스 프로젝트가 발생하면 거기에 항상 보안 프로세스가 따라가야 한다는 말이다. 따라서 각 부분별로 보안 인력을 구축하기는 현실적으로 불가능하기 때문에 각 사업파트별로 보안을 담당할 수 있는 인력을 양성해야 한다. 그래서 보안과 비즈니스가 맞물려 돌아갈 수 있도록 시스템화하는 것이 필요하다. 그래야 내ㆍ외부적 보안위협에 안전할 수 있다.

소개할 만한 책과 자주 들어가는 사이트가 있다면

추천할 만한 책은 <THE CODE BOOK>이다. 예전에 읽었는데 요즘 보안 강의를 하기 위해 다시 읽고 있다. 암호를 기술적으로 설명하지 않고 사건 중심으로 재미있게 기술하고 있어 볼만한 책이다. 자주 들어가는 사이트는 www.securitymanagement.com과 www.securenet.or.kr 등이다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>