배상우 “커뮤니티 역량들이 기업보안에 영향미칠 수 있길 희망” 

국내에서 유명한 보안 블로그 몇개를 꼽자면 꼭 들어갈 만한 블로그가 하나 있다. 바로 ‘헐랭이와 IT보안’(swbae.egloos.com)사이트다. 이 블로그는 검은 바탕에 붉은 글씨로 묵직하게 상단을 장식하고 하단에는 빼곡하게 보안정보들로 가득 채워져 있다. 

블로그 ‘헐랭이와 IT보안’. 한눈에 봐서도 상당한 실력자가 참 정성들여 만든 사이트라는 느낌이 자연스럽게 든다. 국내 보안전문가들은 대부분 이 블로그를 주목하고 있으며 뭐 새로운 정보가 없을까 매일 매일 기웃거린다고 한다.

누가 주인장일까. 바로 IT보안 컨설턴트로 다방면의 활동을 하고 있는 ‘배상우’다. 곱상한 얼굴을 소유하고 있으면서도 안경너머로 비치는 눈빛에는 옹골찬 그만의 고집도 느껴지는 친구다.

“하루에 16시간 정도 업무와 관련된 일에 투자를 해야 제대로 된 보안컨설팅을 할 수 있다고 생각한다.” 거의 일중독 수준이다. 가만히 생각해보면 그 말도 맞다는 생각에 고개가 끄덕여 진다.

그는 “IT환경도 급변하고 그에 따른 기업환경도 변하기 때문에 변화에 대한 정보를 입수하고 트렌드를 놓치지 않고 컨설팅하려면 그 정도 시간은 투자해야 한다. 그렇지 않으면 어제는 전문가였지만 오늘은 아닐 수 있다. 보안 분야의 속성이기 때문에 어쩔 수 없다”고 말한다. 그래서 와이프한테 항상 미안한 생각을 가지고 있다고.

그가 본격적으로 험난한 IT보안과 연을 맺게 된 것은 2000년 한 선배의 권유로 ‘인디시큐리티쿠퍼스’라는 회사에 입사하면서 부터라고 볼 수 있다. 이 회사는 모의해킹 전문회사로 보안솔루션도 개발하는 회사였다.

“내가 평소에 하는 일을 마음껏하면서 돈도 벌 수 있다는 점에서 희열을 느꼈다.”그는 첫 직장에 대한 감회를 이렇게 표현했다. 해킹을 실컷하면서 돈도 벌 수 있다는 점이 행복했다고 한다. 당시 해킹은 쉬쉬하며 아무도 모르게 하는 것으로만 생각했던 그에게는 낯선 풍경이었다. 그래서 더 매료됐을 수도 있겠다.

해킹도 하루이틀이지 좀 지겨울 때가 왔다. 그는 ‘인디’를 그만두고 원래 하고 싶었던 개발쪽 일을 시작했다. 리눅스 커널쪽을 고치면서 보안장비를 만드는 회사였다. “보안장비를 만들면서 이게 진짜 일이구나”를 느꼈다고 한다.

“보안장비를 만들면서 알게 됐던 다양한 기술들은 현재 보안컨설팅 업무에서도 유용하게 사용하고 있으며 보안장비를 만들고 테스트하는 과정에서 진정한(?) 해킹에 눈을 뜨게 됐다”고 그는 말한다.

배상우는 2002년 그동안 갈고닦은 실력으로 STG시큐리티에 입사한다. 보안과 개발을 종합적으로 수행할 수 있는 멀티플레이어 능력을 인정받은 것이다.

“웹 보안이 중요할 것이란 것을 좀 이른 시기에 알게 됐다. 당시 IDS와 IPS가 막 도입되는 시기였기 때문에 시스템과 네트워크 해킹에 한계가 있다는 것을 알게됐다. 그래서 해킹의 대세가 웹이라고 판단했고 그때부터 웹 취약점에 대해 많은 것을 공부하게 됐다.” 그는 웹 보안의 중요성을 일찍 감지하고 상당히 이른 시기에 웹 보안 분야에 대해 깊이 연구한 전문가라고 할 수 있다. 당시 STG가 웹 보안 사업을 일찍 시작하게 된 것도 이러한 맥락에서 이해할 수 있을 것같다.  

STG에서 그가 얻은 것은 무엇일까. “5년간 근무하면서 얻은 가장 큰 소득은 실력있는 많은 기술자들을 알게된 것”이라고 말했다. 그는 “실력자들과 난상토론을 펼치면서 기존 기술들의 한계와 그에 대한 공격기법들을 습득하게 됐다”며 “그들과 기술적 교류를 하면서 성장했던 것이 지금의 나로 성장할 수 있게 된 가장 큰 원동력”이라고 덧붙였다.

그는 지금 2년차 프리랜서로 IT보안 컨설턴트로 활동하고 있다. 프리랜서라 널널할 것이라고 생각했던 것과는 달리 공공기관과 여러 기업의 IT보안 컨설팅 일을 하면서, ‘헐랭이와 IT보안’ 블로그를 운영하면서, 하루 종일 최신 정보를 찾아다니면서 또 개인적인 연구활동을 하면서 바쁜 하루하루를 보내고 있는 중이다. 

안락한(?) 직장이라는 울타리를 벗어나 혼자 다 알아서 해야 하는 야생으로 몸을 던진 이유는 뭘까.

“한창 해킹에 심취해 있을 때만해도 해킹에서 예술적 아름다움까지 느꼈을 정도”라는 그는 “회사의 일상적인 모의해킹과 반복되는 작업들에 점점 회의감이 느껴졌다. 자꾸만 아는 것을 뽑아내서 쓰기만 할뿐 충전이 안되고 있다는 위기의식을 포착했다. 그래서 홀로서기를 결심했다”고 그는 말한다.

프리랜서 생활, 이 또한 만만치 않은 도전이자 현실일텐데. 그 가운데서도 그는 더 많은 것을 배우고 있다고 말한다.

“프리랜서의 가장 큰 장점은 각양각색의 보안현안을 가지고 있는 크고 작은 여러 기업들을 상대할 수 있다는 점이다. 대기업과 공공기관에서부터 생전 처음 보안컨설팅을 받아보는 작은 기업까지 다양한 사례를 몸으로 직접 접하면서 보안에 더 크게 눈이 떠지는 느낌이다. 기존 틀을 깨고 내가 새롭게 구축한 보안체계를 회사에 소개하고 그 회사가 몰라보게 달라졌을 때 보람도 많이 느낀다.” 그는 프리랜서로 활동하면서 느낀 점을 이렇게 표현했다. 

또 그는 “고객에게 부끄럽지 않아서 좋다. 이전에는 다니는 보안회사입장을 고려해 솔루션을 소개한 경우도 있었지만 지금은 고객입장에서 가장 적합한 솔루션을 소개할 수 있어 당당하다”며 “더불어 직장생활 할 때와 비교해 수입은 비슷하지만 연구할 시간이 충분히 주어진다는 점에서 좋고 고객에게 객관적으로 말해줄 수 있다는 점에서 만족한다”고 밝혔다.  

그가 생각하는 보안업체들의 문제점은 어떤 것들이 있을까. 그는 바로 “기술자들의 연구환경 조성이 안되어있다”고 답했다. “계속 반복되는 일로 인해 기술자들이 새로운 기술을 습득할 수 있는 여지를 주지 않는다. 그래서 기술발전이 더디고 오히려 자유롭게 연구하는 언더그라운드에서 취약점 발표도 활발히 이루어지고 있고 좋은 기술도 많이 발표되고 있다”고 지적했다.

프리랜서 입장에서 여러 곳 컨설팅을 나가보면 답답함을 많이 느낀다고 한다. 보안업체 컨설턴트들과 공동으로 프로젝트를 수행할라치면 그들의 초보적이 수준에 입이 벌어진다고 한다. 고급인력들은 다 어디로 간 것일까. 기업 보안담당자보다 못한 컨설턴트가 와서 컨설팅을 해주겠다고 하니 의뢰한 기업 입장에서도 답답함을 느낄만 하다. 고급인력은 빠져나가고 초보인력들이 보안산업에 투입되고 그래서 서비스 질은 더 떨어지고. 악순환 고리를 끊어야 할텐데, 그도 고민이라고 한다.

그가 하고 있는 고민은 또 하나있다. 바로 탑클래스의 보안커뮤니티 역량을 어떻게 국내 보안환경에 도움이 될 수 있도록 연계하느냐다. 그는 “우수한 인력들이 많음에도 불구하고 국내 보안강화에 이들이 실질적인 영향을 줄 수 있는 여건이 안되고 있다”고 안타까워했다.

그는 “취약점에 대해 이야기하면 일단은 색안경을 끼고 본다. 해커들이 보안인력이라는 인식이 부족하기 때문이다. 보안회사에서도 해커를 이상한 눈으로 보는 경우가 있을 정도”라며 “언더그라운드 해커든 뭐든 고객사에 제대로 된 컨설팅을 하는 것이 중요하다. 실력 이외의 것으로 사람을 평가하는 문화가 사라져야 할 것”이라고 지적했다.  

그는 또 해커란 무엇인가라는 원론적인 물음에 “나에게 있어 해커라는 용어는 목표다”라고 말했다. “해커들 사이에서 진짜 해커라고 말하는 것은 상당히 고차원적 의미를 가진다. 그런 의미에서 ‘해커’를 지향하고 있다고 볼 수 있다”고 덧붙였다.

그는 보안컨설팅 업무 이외에 하루 2시간 이상을 블로그 운영에 투자하고 있다. “블로그 운영은 2년 정도 됐다. 정보의 격차를 줄이자는 생각에 처음 시작하게 됐다. 우리끼리 아는 것을 다 같이 알자는 단순한 생각이었다”며 “업무시간 이외 집에 가서 보안관련 정보를 수집하지 않으면 보안컨설팅 그만둬야 한다”고 강조했다. 

주로 정보입수는 80% 이상 해외 사이트를 참고하고 있고 20%는 직접 연구해서 올린다고 한다. 주제는 메이저 언론에서 다루지 않을 만한 주제를 골라 기술적으로 흥미로운 부분 혹은 색다르고 재미난 주제들을 택해 업데이트하는 방식이다.

‘헐랭이와 IT보안’은 하루 평균 800~1000여 명이 들락거린다. 대부분 국내 보안전문가들이다. 해외 해커나 보안전문가들도 자주 그의 블로그를 들린다고 하니 이제는 회원들을 위해서라도 신경을 쓰지 않을 수가 없는 상황이다.

그는 “블로그를 통해 진정한 보안 정보유통자로 인식됐으면 하는 바람”이라며 “정보의 빈부격차가 발생하지 않도록 정보를 끊임없이 유통하는 사람으로 알려졌으면 좋겠다. 정보를 생산하는 것도 중요하지만 유통하는 것도 중요하다”고 말했다.

올해 그가 하고 싶은 일은 뭘까. 그는 “제대로 된 보안솔루션을 개발해 고객들에게 제공하는 것이 목표”라고 말했다. 그의 풍부한 노하우를 접목한 보안솔루션이라면 기대해도 좋을 것같다.

이 늦은 시간에도 그는 컴퓨터 앞에 앉아 블로그에 어떤 정보를 올리면 좋을까 고민하고 있을 것이다. 블로그에 묻어있는 그의 열정에 박수를 보낸다. 또 그가 전하는 많은 정보들이 국내 정보보호 발전에 좋은 밑거름이 되길 희망한다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>