스마트 IT 강국 이끄는 연구기관 ETRI를 가다

'창조기술로 사람과 기술, 환경이 서로 소통하는 스마트한 세상, 우리 후손들이 풍요롭고 안전한 삶을 영위하는 국민행복 시대를 이끈다.'    - ETRI -

 



한국전자통신연구원은 대전광역시 유성구 가정로에 위치한 정부출연 연구기관으로, 1976년 설립되어 대한민국 정보통신산업의 눈부신 성장을 이끌어온 글로벌 ICT 연구기관이다. 그동안 세계 최고, 최초의 기술을 개발하며 쉼없이 달려온 ETRI가 있었기에 지금의 IT 강국 한국이 있다고 자부할 수 있다. 과거 전쟁의 아픔으로 과학기술의 불모지였던 우리나라가 ICT 강국의 반열에 오른 것은 ETRI의 도전정신과 발전에 대한 의지가 이루어낸 성과이다.

1980년대 TDX 개발로 1가구 1전화 시대를 열어 우리 생활에 일대 변혁을 일으켰으며, 4M DRAM 개발을 시작으로 단숨에 세계 반도체 시장을 주도하기 시작했다. 1990년대에는 세계 최초 CDMA 상용화를 성공하는 쾌거를 이로써 다시금 세계를 놀라게 했다. 또한 2000년대에 들어서면서 이동통신 강국이라는 수식어와 함께 지상파 DMB, WiBro, 4세대 이동통신시스템 LTE Advanced를 개발했다.

그리고 최근에는 통신영역 뿐만 아니라 융합기술로써 조선분야에 첨단 ICT기술이 접목한 SAN 기술, 세계 최고 수준의 휴대형 한·영, 한·일 자동통역기술, 투과도 조절이 가능한 투명디스플레이 기술을 개발하는 등 ‘소통’과 ‘융합’의 시대를 이끄는 ICT 국가대표로서의 임무를 충실히 수행하고 있다. 

ETRI는 홍보전시관을 운영하여 국민들을 대상으로 월요일부터 토요일까지 주중 6일동안 전시관을 개방하고 있다.  전시관은 "유비쿼터스 세상을 여는 파이오니어"로 알려지면서 외국의 국가원수, 주한 외국인사절, 국가 고위직, 학생과 일반인 등 최근 3년간 관람객 수만도 80여개국 7천여명에 다다른다. 

현재 전시관에는 미래의 첨단 유비쿼터스 생활을 체험해볼 수 있는 429.7㎡ 공간에 9대 신성장 동력사업별 테마관으로 구분, 구축되어 있다.



UHDTV는 가정에서 70㎜ 영화보다 좋은 화질과 음질을 제공하는 차세대 방송 규격으로 슈퍼하이비전(SHV)이라고도  불린다. UHDTV는 기존의 HDTV보다 16배 높은 화소수(7680×4320)와 10내지 12비트로 색을 표현하고, 컬러 포맷도 4:2:2 이상으로 큰 화면에서 더욱 섬세하고 자연스러운 영상 표현이 가능한 기술이다.

 

'실감형 학습시스템'이라고 불리는 이 기술은 교과서의 그림을 3D로 부여주는 기술로 학습자의 집중력과 이해도를 향상시킬 수 있는 기술이다. 카메라에 교과서의 이미지를 비춰주면 우측의 사진과 같이 '닭'이미지가 3D로 구현되어 보여진다. 이 기술은 대전 일부지역 초등학교에서 시행하고 있다.

'LTE-Advanced'는 현재 상용화중인 LTE-A 기술(롱텀에볼루션 어브밴스드)로 2011년 ETRI가 세계 최초로 개발을 완료한 4세대 이동통신 기술이다. 이 기술은 LTE의 전송속도를 개선한 것으로 초당 600MB의 자료를 무선정송 할 수 있으며, 3세대 통신기술보다 42배가량 빠르다.

'바이오 셔츠'라고 불리는 이 운동복은 단지 입는 것만으로도 자신의 신체 데이터를 측정하고, 신체조건에 적합한 체육활동과 건강관리와 더불어 응급사고에 대비 가능한 미래형 스포츠웨어이다. 이 스포츠웨어는 전도성 섬유를 기반으로 제작되어 선수뿐만 아니라 노약자들이 심박수, 호흡수, 체온과 운동량등을 측정하는 생체정보 센서가 장착되어 있어 국민생활체육 전반에 확대되어 국민의 삶의 질 향상에 기여할 것으로 기대된다. 

'유무선 선박 통합 네트워크(SAN)'은 하나의 네트워크로 연결한 화면을 통해 선박 내의 엔진, 항법시스템, 제어기 등 모든 장치를 제어하고, 육상에서 수상의 선박을 원격제어할 수 있을 뿐만 아니라 간단한 소프트웨어 업그레이드를 통해 유지와 보수를 가능하게 해주는 기술이다. SAN이 적용된 선박들은  현재 덴마크 등의 세계 유수 해외 해운사에 수출되고 있으며, 이 기술로 하여금 대한민국은 '조선 + IT' 조선산업의 미래인 '스마트 조선'시대를 이끌 수 있다는 평가를 받고있다. 

ETRI는 지금까지의 성과를 발판으로 연구개발에 전력을 기울여 창조경제를 선도하는 연구기관으로서의 위상을 확고히 할 예정이다. ‘미래를 창조하는 ICT Innovator’를 비전으로 혁신형 연구성과 창출, 글로벌 IP경쟁력 확보, 세계수준의 선진경영체계 구축을 통해 대한민국을 넘어 세계 ICT산업의 미래를 책임질 창의적이고 혁신적인 기술 개발에 끊임없이 도전하는 ETRI의 앞날을 기대한다.


<미니 인터뷰 - 홍보팀 김희연>

- ETRI의 독자적인 기술은 어떤 것이 있나요?

TDX, DRAM, CDMA, DMB, WiBro, LTE-Advanced, 
자동통번역, OLED 등이 대표적 연구성과입니다지난 35년 동안 ETRI에서 개발한 여타 기술들의 총 파급효과를 분석하면 경제적 파급효과가 169조 8,095억 원(2011년 기준)에 이르는 것으로 나타나 ETRI가 우리나라 경제 발전에 크게 기여했음을 보여주고 있습니다.

- 상용화된 기술 중 대표적인 기술은 무엇인가요?

1980년대 1가구 1전화 시대를 연 “TDX”는 우리 생활에 일대 변혁을 일으킨 ETRI의 대표적 기술입니다당시 전화는 수동식으로 전화기 옆에 달린 손잡이를 돌려 자석 발전기를 이용하는 방식이었는데세계에서 10번째로 한국형 전전자교환기 개발에 성공했고 상용화 4년 만에 1가구 1전화 시대를 열었습니다또한 1990년대에는 세계 최초로 CDMA 상용화에 성공하는 쾌거를 이루며 다시 한 번 세계를 놀라게 했습니다.

- 국제적 협력상태는 어떤가요?

미국영국중국일본호주 등 30개국, 90개의 협력사가 있으며 개발도상국을 위한 Training program과 MOU 체결, ETRI Open House 등의 국제적 협력 활동을 운영하고 있습니다.


- 
앞으로의 목표슬로건에 대해 한 말씀 부탁드립니다.

미래를 창조하는 ICT Innovator’로서 창의성을 기반으로 과학기술과 ICT 융합을 통해 유무형 자산을 창출해 낼 수 있는 새로운 문화와 제도를 갖춘 창조경제 생태계를 구축하는데 이여창조경제를 견인하는 미래 상상연구소가 될 것입니다.

 Ahn

 

 

신고

사이버 테러 막는 망분리 솔루션 어떻게 구축할까

해킹의 패러다임이 변했다. 과거에 실력을 과시하기 위해 벌어졌던 해킹이 이제는 금전을 목적으로 한 해킹으로 탈바꿈했다. 정보는 돈이 되고, 중요한 정보일수록 그 가치는 커진다. 3.20 사건 외에도 크고 작은 보안 사고가 빈번한 요즘, 개인정보 보호는 또 하나의 뜨거운 이슈이다. 


하나에 10원 꼴로 팔려나간다는 개인정보, '중국에 이미 내 개인정보는 다 팔려갔다'는 웃지 못할 말이 현실인 2013년 현재. 어떻게 하면 개인정보를 지킬 수 있을 것인가, 더 나아가서 어떻게 하면 해킹사고를 예방하고 정보보호 시장을 활성화할 수 있을 것인가, 이 뜨거운 이슈에 대한 뜨거운 관심을 증명이라도 하듯 지난 6월 20일에 코엑스에서 열린 '개인정보보호 페어 2013'에는 비집고 들어가야 할 만큼 많은 인파가 몰렸다. 



3.20 사건 이후, 사이버 테러를 대비해 많은 기관과 기업에서 '망분리' 솔루션을 검토하고 있다. 업계 추정에 따르면 2013년 현재 망분리 시장 규모는 200억원, 2016년에는 1000억원까지 성장할 것이라고 예측하고 있다. 2013년 2월 18일, 정부에서 정보보호 등에 관한 법률 시행령을 개정해 일정 규모 이상의 기업이나 기관에서는 망분리를 의무적으로 해야 하는 상황도 망분리 시장 활성화에 한 몫을 했다. 


개인정보보호 페어 2013의 A트랙 마지막 시간, 정보보호의 화두로 떠오른 망분리 솔루션에 대해 안랩의 권진욱 부장의 <효율적인 망 분리 도입을 위한 가이드>는 주제로 발표가 진행되었다. 다음 내용들은 발표의 내용을 정리한 것이다.



망분리 솔루션은 왜 핫한 이슈가 되었나


기존의 사이버 테러는 단일한 악성코드에 의한 것으로, 감염 PC에 국한된 피해를 입히고 불특정 다수를 공격하는 경향을 보였다. 그러나 최근의 사이버 테러는 다르다. 모듈화된 악성코드가 사용되고 그 악성코드가 업데이트되며(Advanced), 장기간에 걸쳐 취약한 곳을 찾기 위해 은닉하며 한번 공격이 시작될 경우 2차, 3차 공격이 이루어지고(Persistent), 불특정 다수에서 특정한 대상을 탐색해 공격하는(Targeted Threat) APT가 행해지고 있다. 


3.20도 마찬가지로 APT 형태의 사이버 테러였다. 다양한 기술과 여러가지 공격 방식으로 특정 대상에게 지속적인 공격을 하는 APT공격. 전통적인 보안 솔루션으로는 방화벽, 차세대 방화벽, 침입차단시스템(IPS), 유해 사이트 차단 시스템, 안티바이러스 등이 있으나, 이들만으로는 더이상 고도로 지능화된 APT에 대응할 수 없다. 


뚫으려는 자의 방식이 발전한다면 막으려는 자의 방식 또한 발전하는 법. APT공격에 대응하기 위해 망분리 솔루션에 관한 관심이 고조되었고, 3.20 이후 망분리에 관한 관심이 달아오르기 시작했다. 알려진 공격에 대해서만 대비할 수 있었던 이전 보안 솔루션에 비해, 망분리는 인터넷으로부터의 보안 위협 자체를 모두 차단하는 것은 물론, 새로운 보안 위협 또한 차단할 수 있고 여러 보안 솔루션으로 구성된 보안 체계보다 훨씬 높은 수준의 보안 체계를 구현할 수 있다는 이점이 있다. 망분리 솔루션은 APT의 효과적인 대응책으로 떠오르며 핫한 이슈가 되었다. 




망분리란 무엇인가


망분리란, 인터넷 영역과 업무 영역을 동일한 하나의 네트워크에서 사용하는 방식 대신 

물리적 또는 논리적(가상화) 기술을 이용하여 네트워크 및 PC를 분리하는 것을 의미한다.


즉, 네트워크 망을 나누어 외부의 침입으로부터 내부의 자료를 안전하게 할 수 있는 방법이 망분리 솔루션이다. 정부는 2006년부터 해킹 대처 방안을 수립해 시법사업을 완려하였고, 2010년부터 망분리 사업을 진행, 확대하고 있다. 2010년 이전까지는 물리적 망분리에 관심이 있었다면, 2010년 이후부터는 논리적 망분리로 관심이 옮겨가고 있다. 물리적 망분리는 2대의 PC를 이용하거나, 망분리 전환 장치를 이용하거나, 멀티 PC를 이용하는 것으로  실행할 수 있고, 논리적 망분리는 SBC(Server Based Computing)방식이나 터미널 서버를 이용하는 것으로 실행할 수 있다. 


2009년까지는 국가 기관의 망분리를 2대 PC를 이용하는 물리적 망분리를 원칙으로 했고, 불가피한 경우에만 논리적 분리가 허용이 되었다. 그러다가 2010년부터 가상화 기술을 이용한 논리적 망분리가 검토되기 시작했고, 2011년부터는 논리적 망분리 도입이 본격화 된 상태이다. 또, 정통망법에 따라 전년 말 기준 직전 3개월간 평균 100만명 이상의 개인정보 보유 사업자, 혹은 정보통신 서비스 부문 전년 매출액 100억 이상인 사업자는 온 오프라인 경로에 상관 없이 망분리를 의무적으로 시행해야 한다.  




망분리 방식 비교 및 고찰


제일 간단한 방식은 물리적 망분리 방식이다. 새로운 망을 구축하고 인터넷만 쓸 수 있는 PC를 따로 두는 것이다. 물리적 망분리는 물리장비가 늘어나는 것이기 때문에 무엇보다도 보안의 가시성 확보가 쉽다. 하지만 치명적인 약점들이 있는데, 대표적인 경우가 USB를 통한 감염이다. 인터넷망에서 USB를 통해 업무PC로 전달되는 케이스들이 발생한다. 그래서 공공기관에서 물리적 망분리를 도입할 경우 보안 USB를 사용하거나 두 영역간의 파일 교환을 위한 부가적인 망 연계 솔루션을 같이 도입하도록 한다. 


다음으로 랜카드를 추가로 설치하는 방법이 있다. 그렇게 되면 업무서버와 인터넷망을 자유롭게 오갈 수 있으나, 관리가 제대로 되지 않는다면 망분리 효과를 볼 수 없게 되는 단점이 있다. 물론, 물리장비를 설치하기 위한 설치공간이 필요하고, 설치한 장비만큼 소비전력도 늘어나게 된다. 또한 운영하기 위한 예산이 많이 필요하다는 단점도 존재한다.


논리적 망분리 방식으로는 서버 기반과 PC기반 두 가지 방식이 있다. 


서버 기반의 논리적 망분리 방식은 인터넷을 연결하는 망 쪽에 가상 서버를 두는 방식이다. 그렇기 때문에 인터넷에서 악성코드가 들어온다 하더라도 가상서버에만 영향을 미칠 뿐, 업무서버에는 영향을 미치지 않는다.  그러나 물리적 망분리 만큼의 예산이 필요하고, 다양한 인터넷 환경에 대한 호환성을 검증해야 한다는 단점이 있다.


PC 기반의 논리적 망분리 방식은 기본적으로 사용자 PC와 인터넷 망 사이에 망분리 게이트웨이를 두는 방식이다. 낮은 비용으로 물리적 망분리 수준의 보안성을 확보할 수 있고, 영역 전환이 편리하여 편의성이 좋다. 또한 구축 기관도 짧은 편이다. 그러나 다양한 PC에 대한 호환성 검증이 필요하다.


어떤 방식이 가장 좋다고 할 수는 없다. 각 기업이나 기관의 업무 스타일에 맞추어 최적의 망분리 방식을 적용해 구축하는 것이 좋다. 물론, 망분리를 구축할 수 없는 사례도 존재한다.




망분리 구축을 어떻게 체계적으로 할 것인가?


망분리 솔루션을 도입하기 위해서는 기존 보안 제품을 도입하는 것과는 다른 프로세스를 필요로 한다. 첫째로 환경분석을 해야하고, 구축을 한 뒤에는 안정화 단계를 거쳐야 한다.


환경분석은 사용하는 소프트웨어, 인터넷 등을 분류하는 단계이다. 쉽게 말해서, 사용자가 사이트에서 쓰는 소프트웨어들, 사용자가 접근하는 인터넷, 우리 업무 서버가 어떤 것들에 접근하는지, 혹시 외부와는 연결이 되어야 하는지, 내부 업무망쪽의 PC들은 어떻게 업데이트 할 것인지 등등을 분석하는 과정이다. 즉 요구사항들을 분석하는 것이다. 망분리 게이트웨이 구성을 위한 네트워크를 분석하고, 업무 및 사용 프로그램 분석을 통해 망분리 환경을 구성하고, 사용자의 업무 연속성을 보장할 수 있는 대책을 마련하는 과정이 모두 포함된다. 


환경분석한 결과를 토대로 망분리 솔루션 및 제반 시스템을 구축한다. 파일럿 운영, 시범 설치를 통해 계속해서 장애를 최소화 한 뒤에 점차 확산을 시키는 것이다. 망분리 솔루션, 망 연계 솔루션을 구축하고 메일 서버를 분리하는 등의 작업이 구축 단계에서 행해진다. 이렇게 인프라 구축을 하고 나면 안정화 단계를 거치게 되면 망분리 솔루션을 통한 보안성을 확보하게 되는 것이다. 로 보안성을 확보하게 되는 것이다.


확실히 다른 일반 IT인프라를 구축하는 것에 비해 힘들고 손이 많이 가지만, 망분리 구축을 하면 많은 보안 위협으로부터 안전해질 수 있다.




이게 최선입니까? 확실해요?


업무서버와 인터넷망을 분리하는 방법이라니. 그럼 망분리만 된다면 보안 이슈는 사라지는 것 아닌가? 애석하게도, 망분리 솔루션이 모든 보안 이슈를 해결하는 솔루션은 아니다. 그럼 소용 없는 것 아닌가? 그건 또 아니다. APT에는 분명히 효과적인 대응 방안이다. 


보안위협은 계속해서 새로워질 것이다. 가장 안전하다고 생각했던 방법도 결국에는 무용지물이 되는 떄가 온다. 뚫으려는 자는 계속해서 새로운 방법을 찾아낼 것이고, 막으려는 자는 계속해서 새로운 공격에 대한 대응을 찾아낼 것이다. 망분리는 분명 현재 APT에 효과적으로 대응할 수 있는 방법이고 최선의 방법일지도 모른다. 하지만 보안의 세계에서 영원히 확실한 방어 방법은 존재하지 않고, 존재하지 않을 것이고, 존재 할 수 없을 것 같다. 우리는 늘 최선의 방법을 찾기 위해 노력해야 하고, 허를 찌르는 공격에 한 번 당하면 반복해서 당하지 않도록 노력해야 한다. 


망분리 솔루션이 효과적인 대응이 되지 못하는, 위태로워지는 날이 언젠가는 올 것이다. 늘 경우의 수를 생각하며 여러가지 방안을 끊임없이 모색하는 것, 그것만이 우리가 할 수 있는 최선의 해결책이 아닐까. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


저작자 표시 비영리 변경 금지
신고

APT를 알면 사이버 테러 이길 해법이 보인다

최근 발생한 3.20 사이버 테러에서 보았듯이 특정 대상을 상대로 핵심 기밀정보를 빼내려는 사이버 위협이 날로 지능화함에 따라 보안의 중요성은 더욱 커지고 있다.

이에 효과적인 대응 방안을 모색하기 위해서 지난 5월 14일 머니투데이와 데일리시큐가  ‘금융보안·개인정보보호 페어’를 열었다. 이 자리에는 안랩을 비롯해 20여 개 보안 전문 업체가 참가해 금융보안과 개인정보보호 관련 최신 제품과 기술을 소개했다. 또한 ‘스마트 융합 시대에 필수적인 개인정보보호와 금융보안’을 주제로 차세대 금융 보안 구축 방법을 비롯해 다양한 보안 사고 예방을 위한 방법을 소개했다.

그 가운데 안랩 마케팅실 윤상인 차장은 ‘다차원 분석을 통한 APT 대응 방안’을 주제로 발표했다. 그는 안랩에서 자체 개발한 다양한 분석 방법으로 보안 위협에 철저히 대응할 해법을 소개했다. 다음은 주요 내용. 

지능적이고 장기적으로 가해지는 APT 공격

최근의 보안 위협은 과거의 것과는 양상이 확연히 달라졌다. 과거에는 단일한 악성코드를 가지고 감염 불특정 다수를 대상으로 PC에 국한된 공격을 했다. 하지만 최근에는 특정 공격 대상을 겨냥해 기존 보안 제품을 우회하고 새로 발견되는 보안취약점을 악용해 모듈화한 악성코드를 생성하고 장기간에 걸쳐 공격 성공 시까지 은닉하는 방법을 사용한다. 이른바 'APT'이다. 

APT(Advanced Persistent Threat)

‘지능형 지속 공격’이라고 하며, 특정 타깃을 노려 지속적인 공격을 하는 것을 말한다. 악성코드를 이용하여 정보 유출뿐 아니라 시스템 파괴를 일으키는 공격이다. 정치적 목적의 사이버 테러, 정보 유출 등 다양한 목표와 방법을 가지고 있다. 일례로 3.20 전산망 마비 사고가 있다. 국내 방송사 및 은행 전산망을 동시에 마비시킨 보안 사고로 32,000여 대의 서버와 PC에서 시스템 장애 현상, 하드 디스크 파괴 현상이 발생하였다.

1~2년 전부터 APT가 언론에서 많이 회자되었지만 실제 APT를 잘 아는 사람이 많지 않다. 2012년 말 ISACA(정보시스템감사통제협회)에서 글로벌하게 1500명의 보안 인력을 대상으로 설문조사를 진행했다. 조사 결과에 따르면 APT를 어느 정도 알고는 있지만, 실제 APT를 어떻게 막을 것인가라는 질문에는 애매한 답변이 대부분이었다고 한다. 

최근 발생한 사고 현황을 보면 2010년 이전까지는 APT 공격의 대상이 주로  정부기관었으나, 구글을 공격한 '오퍼레이션 오로라' 이후 민간까지도 공격이 확장되는 흐름이 있었다. 

APT 공격 배경에는 정치적 목적, 경제적 목적, 군사적 목적이 있는데, 공통적으로 범죄 조직이나 국가 정보기관, 핵티비스트 단체와 같이 막강한 배후 세력이 존재한다. 악성코드를 제작하는 세력은 멀티 엔진 분석 사이트나 언더그라운드 플랫폼 검증을 통해 기존 시그니쳐(signature) 기반 보안 솔루션을 우회하는 신종 악성코드만을 APT 공격에 이용한다. 때문에 방어하기 힘들 수밖에 없다.

APT에 대한 오해와 진실

1. APT 공격은 숙련된 해커만이 가능한가?

NO. 에코시스템처럼 제로도의 취약점을 이용한 악성코드를 사고 팔고하는 블랙마켓이 활성화해 있다. 그렇기 때문에 꼭 숙련된 해커 사이에서만 이뤄지는 게 아니라고 할 수 있다.

2. 알려지지 않은(Unknown) 악성코드가 APT 공격을 일으키는 주범인가?

YES or NO. 주범은 알려지지 않은(Unknown) 악성코드라고 봐도 되지만 기존의 다양한 APT를 분석해보면 알려진(Known) 악성코드와 적절히 조합이 되어서 공격을 했다. 따라서 APT 대응을 위해서는 알려진 악성코드까지도 대응할 수 있는 연계 대응 방안이 필요하다.

3. 기존 보안 솔루션은 알려지지 않은 악성코드를 탐지하고 차단 가능한가?

NO. 기존 시그니쳐 기반 보안 솔루션은 알려지지 않은 악성코드를 탐지하는 데 어려움이 많다.

4. APT 위협은 정부기관 또는 대기업만 타깃으로 하는가?

NO. 보안 취약점을 가진(보안 정책상 허술한) 하위 소규모 기업을 1차 타깃으로 2차 중간 업체, 3차로 그 상위 기관, 최종적으로 상급 기관을 공격하는 것이 최근 APT 공격의 패턴이다.

정부기관, 온라인 뱅킹도 공격 대상

조달청이 운영하는 나라장터 해킹이라고도 알려진 입찰 참여 건설 업체/지자체 PC 해킹 사건이 대표적이다. 정부의 건설 사업 관련해 최저가 입찰을 하는데 모 건설사에서 경쟁사의 입찰 가격을 알아내도록 해커에게 요청한 사건이다. 2007년부터 수십 억원에 달하는 비용을 불법적으로 취득했다. 이는 persistent한 경우는 아니지만 Advanced하고 Targeted한 공격이, 보안이 허술한 하청기관을 뚫는 것이 얼마나 효과적인지 보여주는 사례이다.

온라인 뱅킹 시 파밍 사이트로 접속하게 유도하는 사고도 자주 일어난다.

파밍(Farming)

이용자 PC를 악성코드에 감염시켜 이용자가 인터넷 '즐겨찾기' 또는 포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로 접속하여도 피싱 사이트로 유도되어 범죄 관련자가 금융 거래 정보 등을 몰래 빼가는 수법

일반적으로 사용자의 금융 정보를 가로채기 위해 공격자는 악성코드 감염을 통해 사용자의 호스트(hosts) 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화했기 때문에 대부분의 보안 프로그램은 사용자 시스템의 호스트 파일을 모니터링하여 변경 사실을 사용자에게 알리거나 변경 자체를 방어하기도 한다. 

최근 피해 사례가 증가하는 파밍 사이트로 접속을 시도하는 피해 시스템을 확인한 결과, DNS IP의 변경이나 호스트 파일의 변조가 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다.

악성코드 다차원 분석이 해법이다  

전통적인 보안 솔루션만으로는 고도로 지능화된 APT를 차단하는 것이 불가능하다. 방화벽(FireWall)은 네트워크 접근 통제로 악성코드 유입을 차단하기 때문에 허용된 주소로 들어오는 악성코드는 차단할 수 없다. 애플리케이션을 통제하는 차세대 방화벽(Next Generation FireWall) 역시 악성코드를 탐지하기 어렵다. 

또한 침입차단시스템(IPS)은 네트워크 기반 툴을 이용해 악성코드 유입을 차단하기 때문에 파일 기반 분석이 필요한 악성코드는 탐지할 수 없다. 악성 URL을 차단하는 유해 사이트 차단 시스템은 허용된 사이트를 거쳐 유입되는 악성코드는 차단할 수 없다. 기존 안티바이러스(AV) 솔루션 역시 알려지지 않은 악성코드는 탐지하기 어렵다.

어떤 과정을 거쳐서 다차원 분석 기술이 나오게 되었을까?

1세대 - 기존의 안티바이러스 제품군

악성코드가 대응센서에 유입이 되면 안랩과 같은 연구기관에 샘플이 전달이 되고 분석이 된 결과에 따라서 악성이라고 판단이 되면 엔진이 업데이트 되는 형식이다

즉, 1세대 시그니쳐 기반 악성코드 대응의 방식에서는 최초의 피해자가 존재해야 한다는게 특징이다. 대응시간도 2-3시간이 걸리므로 현재의 위협이 되고 있는 지능적 공격을 막기에는 역부족이라는 판단이다. 즉 패시브한 방식!

2세대 - 클라우드 기반 악성코드 대응

1세대 방식보다 좀 더 능동적인 방법으로 진화된 것이 많은 글로벌 대응 업체들이 시도를 하고 있는 클라우드 기반 악성코드 대응 방안이다. 클라우드에는 최신의 악성코드 정보가 들어 있게 되고 만약 클라우드 상에 정보가 없을댄 의심 파일을 클라우드 서버로 전송을 하게 되고 클라우드의 백엔드 상에는 다양한 정적 분석엔진 동적 분석엔진 그리고 전문가들의 수동 분석을 통해서

시그니쳐를 자동 또는 반자동으로 추출을 하게 되는 과정을 거치게 되는 것이다.

1세대 시그니쳐 기반 분석에 비해서는 효과적이지만 파일 자체가 유출될 수 있는 보안상의 문제점이 발생할 수 있는 단점이 발생한다.


안랩의 APT 방어 솔루션인 '안랩 트러스와처'

3세대 - 다차원 악성코드 분석 및 대응

1세대와 2세대의 효율성을 유지하면서 언노운(Unknown) 악성코드를 적극적으로 탐지하기 위해서 사용된 방법이다. APT 공격이 순수하게 언노운 악성코드만이 이루어진 공격이 아니기 때문에 최신 악성코드 정보를 가지고 있는 클라우드 또는 시그니쳐 기반의 로컬 데이터베이스를 적극적으로 활용하는 것이 최신의 트렌드이다.

다차원 분석의 핵심은 바로 평판 기반 분석 방법, 행위 기반 분석 방법, URL/IP 탐지, 연관 관계 분석이다. 

평판 기반 분석 방법은 파일 자체가 언제 최초로 유입됐는지, 얼마나 글로벌하게 퍼져 있는지, 혹은 도메인이 언제 등록됐는지 분석하는 것이다. 행위 기반 분석 방법은 분석 머신 자체에서 악성코드를 실행하고 어떤 OS 상의 행위 변화가 일어나는지 분석하는 방법이다. 

URL/IP 탐지 분석 방법은 단순히 특정 IP에 연결이 됐는지, 특정 URL에 접속이 됐는지를 보는 것이 아니라, 특정 IP 또는 URL에 관련된 도메인들이 어떤 개별적인 악성 스코어링을 가지고 있는지 분석하는 것이다. 연관 관계 분석 방법은 A라는 파일을 분석할 때 해당 파일에 관여하는 시스템 파일들 2차 3차 부가적인 연관 파일들까지도 분석하는 것을 말한다.

동적 컨텐츠 분석 엔진(DICA; Dynamic Intelligent Content Analysis)은 문서, 동영상, 스크립트 등 non-PE 악성코드를 탐지하기 위해 최적화된 악성코드 분석 엔진이다. 문서 파일 형태의 알려지지 않은 (Unknown) 애플리케이션 취약점에 대응하기 용이하며 알려진(Known) 취약점을 이용하는 변종 non-PE 악성코드 탐지에 최적화해 있다.

최신 공격 기법 ROP까지 막아내는 '트러스와처'

한편, 최근 들어 해커들이 많이 이용하는 ROP 기술에 주목할 필요가 있다. 

ROP(Return-Oriented Programming) 공격 기법

운영체제(OS) 메모리 상에 존재하는 정상 코드 조각들을 조합해 악의적인 공격 코드를 실행시키는 방법. 최근 APT 공격에 많이 이용된다.

얼마 전 MS사에서 보안 소프트웨어에 대한 컨테스트(BlueHat Prize)를 열었는데, 1~3등 모두 ROP 관련 기술이 들어가 있었다. MS는 이 컨테스트를 개최한 후에 자체 보안 유틸리티에 ROP 방어 기능을 추가하기도 했다. 거대 기업도 주목하는 기술인 만큼 대비가 필요하다. 

안랩의 APT 방어 솔루션인 '안랩 트러스와처(AhnLab TrusWatcher)'(글로벌 제품명 AhnLab MDS)는 ROP 공격 기법을 사용하는 비실행형 악성코드까지 탐지한다. 단순히 탐지에 그치는 것이 아니라 대응까지도 할 수 있는 제품이다. 즉, 탐지된 악성코드를 다운로드한 PC를 찾아 악성코드를 자동/수동 치료한다. 

또한 트러스와처는 다차원 분석(행위 기반 분석, 동적 컨텐츠 분석) 기술로 알려진(Known) 악성코드는 물론 알려지지 않은(Unknown) 악성코드를 모두 탐지하고, 해당 악성코드는 자동 치료/삭제해 실시간 대응이 가능하다. 악성코드 수집-분석-모니터링-대응까지 이어지는 Full Process를 제공하기 때문에 비즈니스 연속성을 도모할 수 있다. 아울러 단일 장비로 다양한 인터넷 프로토콜을 수용하며 비용 효율성이 높다. Ahn



대학생기자 박규영 / 연세대학교 건축학과

                  



신고

편리하고도 안전한 BYOD 환경 어떻게 만들까

지난 4월 25일 서울 JM메리어트 호텔 그랜드볼룸에서 <제 8회 NES 2013-차세대 기업보안 세미나&전시회> 가 열렸다. 올해 NES 세미나에서는 '지능형 위협과 기업 보안, 안전한 BYOD 환경 구축' 을 주제로 안랩(AhnLab)을 비롯한 많은 IT, 보안 회사들이 급변하는 IT 및 위협 환경에 대응하기 위해 주목해야 할 최신 보안 위협 이슈와 동향, 대응 방안을 논의하였다. 

현재 화두인 'BYOD((Bring Your Own Device)의 보안'에 대한 발표 중 지란지교소프트 윤두식 본부장의

BYOD를 위한 효율적인 모바일 보안 구축 방안과 사례를 관심있게 들었다. 다음은 주요 내용을 정리한 것이다.


BYOD란 Bring Your Own Device의 줄임말이다. 스마트폰 BYOD를 통한 스마트워크 구현이 용이한 시대가 열렸다. 그런데, 아이러니하게도 BYOD와 스마트워크는 근본적으로 추구하는 목적이 다르다.

개인자산, 프라이버시, 업무 편의성, 개인 경쟁력 강화, 다양한 단말을 추구하는 BYOD와는 다르게  스마트워크는 기업정보, 사내 업부 통제/감사, 기업 정보보안, 기업경쟁력 강화, 일관된 관리를 추구한다. 

그렇다면, 어떻게 해야 이 두 가지가 상호보완 관계로 나아갈 수 있을까? 먼저 그 둘 사이의 차이를 진단하고 해결해야 한다.

현재, 모바일 분야의 핵심 보안 이슈는 △단말기 내 개인 및 기업의 정보보호(단말 위협), 모바일 오피스를 통한 중요 정보의 유출 방지(디지털 정보 위협), △디바이스(카메라 등)를 통한 사내 정보 유출 방지(기반시설 위협) 등이다.

다양한 보안 위협은 응용 프로그램, 애플리케이션, 플랫폼, 단말기, 서버 및 네트워크를 겨냥한다. 응용 프로그램을 위협하는 것은 악성 애플리케이션, 악성코드, 앱 위·변조 등이며, 플랫폼을 위협하는 것은 루팅·탈옥, OS보안 취약점 등이다. 단말기에서는 도난·분실, 데이터 노출 등이 서버 및 네트워크에서는 Wi-Fi 해킹, 비인가 AP 등의 위협이 있다.

이를 해결하기 위해 현재 모바일 기기 보안을 위한 여러가지 가이드 라인이 존재한다. NIS(국가정보원)가 스마트폰 보안 규격을, 금융감독원이 스마트워크 정보보호 가이드라인을 행정안전부가 모바일 전자정부서비스 보안 가이드라인을 내놓았다. 이를 종합해 분석 해보면 다음과 같다.

▲ 모바일 기반의 실 업무 환경에 따른 보안 대책                                                                                    

이처럼 안전한 모바일 업무 환경의 기반은 MDM이다.

보안과 사용자 권리 사이 균형점 찾기가 관건

MDM(Mobile Device Management)은 휴대폰 정보의 유출을 막는 솔루션이다. 즉, 위에 언급된 문제들의 해결을 위한 것으로 분실, 도난된 단말에 원격으로 잠금을 걸거나 휴대폰을 초기화해 정보 유출을 막는다. 아울러 카메라, 녹음기, 블루투스, Wi-Fi 같은 휴대폰 기능을 제어하여 사내에서 발생할 수 있는 정보 유출을 사전에 차단한다. 또한, 애플리케이션 배포, 실행을 관리해 업무에 필요한 애플리케이션의 설치를 유도하고, 악성코드 등의 위험이 있는 악성 앱의 설치와 실행을 차단한다.

간단히 정리하면, 업무 앱 보안, 앱 배포/관리, 모바일 기기 출입 통제, 기본 MDM, 모바일 부가 서비스가 국내 MDM 수요의 범위라고 볼 수 있다.

보안 수위를 높이면 보안 측면에서는 철통 같은 수비가 가능하겠지만, 단말기는 '개인 소유 기기'이다. 즉, 너무 강압적인 보안 솔루션은 결국 직원들의 불만을 사게 되고, 어떻게든 정책을 빠져나가려는 사람이 생겨, 이로 인한 문제가 발생한다. 즉, 효율적인 보안과 사용자 권리 보장이 적절한 조화를 이뤄야 한다. 실제로 MDM은 Mobile Device Management -> Mobile App Management -> Mobile Content Management로의 발전과정을 거치고 있다. 장치에서 앱 그리고 콘텐츠로 좁아지는 양상은 사용자 권리 보장의 신장과 맞물리는 것이 아닌가 생각된다. Ahn


이승건 / 성균관대 전자전기컴퓨터공학부


신고

온라인 게임 회사에는 어떤 업무들이 있나

지난 2 28 안랩에서는 청소년/대학생을 위한 무료 IT 교육 프로그램인 V스쿨이 열렸다. 13회째 열린 이번 V스쿨의 주제는 '무궁무진한 IT 직업 탐방하기'였다. 따라서 IT 인터넷 분야의 다양한 전문가를 초청하여 강연 콘서트 형식으로 진행되었다. 

첫 순서로 KT뮤직 장준영 이사가 '디지털 뮤직의 세계'를 발표한 데 이어 다음커뮤니케이션 허진영 게임사업본부장이 온라인 게임 들여다보기’를 발표했다허진영 본부장은 대학 시절 물리를 전공하며 물리학자를 꿈꾸다가게임 사업에 뛰어들었다그는 강연에서 게임 산업에 대해 간략하게 소개하였다다음은 주요 내용.

먼저, 우리나라 온라인 게임 시장 규모는 작년 약 11조원이었는데, 영화 시장 규모인 작년 1조와 비교하여 게임 산업은 산업적으로 매우 큰 시장이며, 경쟁력 있는 문화 콘텐츠라고 할 수 있다. 특히, 해외에서 우리나라의 온라인 게임 시장점유율은 1위이다. 그만큼 많은 투자와 개발이 이루어지는 산업 분야이다.

게임 산업을 이끄는 두 축은 개발사와 퍼블리셔이다개발사는 게임 하나에 300~ 400명의 인원이 4~5년 간 연구하며, 200~300억 정도의 대투자를 한다퍼블리셔는 게임 개발사로부터 지적재산권을 얻어 사용자에게 배포하는 주체이다. 지적재산권을 확보하기 위한 비용은 물론, 게임의 흥행 성공을 위한 광고비 등 막대한 프로모션 비용을 투자한다. 몇 억에서부터 몇 십억 원을 투자하지만 성공을 장담할 수 없는, 영화와 같은 고위험(High Risk) 산업이다

게임 회사에 있는 다양한 직업

그렇다면 게임 개발사에서는 어떤 일을 할까. 간단히 표로 정리하면 아래와 같다.

-게임 기획자: 게임 기획, 규칙 및 시스템, 게임 아이템 기획

-클라이언트 개발자: 엔진, UI, 게임, 제작틀 등을 개발

-서버 개발자: 게임 서버 개발, 네트워크 프로그래밍, DB설계 및 프로그래밍

-원화 디자이너: 게임 및 일러스트, 캐릭터, 배경원화 디자인

-2D 디자이너: UI 디자인

-3D 디자인: 3D 캐릭터, 배경 모델링, 애니메이터 디자인

-음악감독: 배경음악, 사운드, 이펙트 감독

이 밖에도 많은 직업이 있어, 하나의 게임을 만들기 위해서는 많은 인력이 필요하다. 게임 산업은 실제로 영화산업과 비슷하다.

퍼블리셔에는 업 담당자와 운영자가 있다. 사업 담당자(PM; Project Manager)는 게임 소싱부터 매출까지 책임지는 역할을 하고, 운영자는 GM(GM; Game Manager)는 게임 운영을 담당한다. 그 외에 고객센터, 마케터 및 제휴, QA(버그, 오류 검증, 게임의 재미와 퀄리티 관리), 웹사이트·인프라·경원 지원 등의 업무가 있다.

게임은 어떻게 게임으로 완성되는가

게임의 수익 모델은 크게 게임의 퀄리티를 담보로 하는 월정액과, 유저의 진입 장벽이 낮은 부분 유료화 수익 모델이 있다. 또한 전체 매출의 20%를 차지하는 PC방 과금제와, 디아블로와 같이 원본 패키지를 구매하고 이용하는 DLC과 있다. 광고 수익 모델은 거의 없지만, 주로 모바일 게임에 있다.

이제 게임의 개발 과정을 살펴보자. 하나의 게임이 완성되기까지 14단계의 과정을 거친다.

TGO-계획 시각화

②프로젝트 관리

③컨셉 디자인

④배경 디자인

3D 그래픽 디자인(구현)

⑥배경 레벨 디자인

Prop 소품 디자인

⑧애니메이션(동작입힘)

⑨이펙트

UI, UX 디자인

⑪물리 엔진 개발

AI 엔진 개발

⑬구현(프로토타입)

⑭서비스 시작


게임 <Alice madness returns>의 UI와 다양한 아이콘

게임 서비스 준비 단계에서 챙겨야 할 일에는 이선스 계약, 게임 등급물 심의, FGI(Focus Group Interview), FGT(Focus Group Test)로 사용자의 반응을 알아보는 작업, CBT(Computer Based Testing), OBT(Observer Training, 많은 사람이 들어와도 문제가 없는지 테스트하는 것) 등이 있다. 이 과정을 거치면 상용화 단계로 넘어갈 수 있다.

게임을 오픈한 후에도 다앙한 일이 있다. 보안 측면에서는 계정 도용, 오토 프로그램, 다중 접속, 클라이언트 해킹이 있다. 버그를 통한 아이템 획득 및 복사, 버그를 통한 경험치 획득으로 불공정한 게임이 진행되는 것도 대응해야 한다. 서버 접속 폭주 등에 대비해 시스템 안정성을 확보하는 것도 중요하다.

온라인 게임은 우리의 눈과 귀를 즐겁게 해주고 재미를 주며, 사람들과 소통할 수 있는 하나의 공간을 만들어준다. 그 일에 이처럼 수많은 사람과 자원이 투입된다는 것을 이해하면 향후 진로를 생각하는 데 도움이 될 것이다. Ahn


대학생기자 조아라 / 숙명여대 멀티미디어과학과 

대학생기자 김다은 / 한국외국어대 태국어과/방송영상학


신고

혼자서 7년째 컨퍼런스 개최하는 보안전문가 만나보니

정보보안이 이슈화됨에 따라 많은 세미나, 컨퍼런스, 해킹대회 등이 개최된다. 이 중에서도 보안 기술의 핵심이라고 볼 수 있는 리버스 엔지니어링을 주제로 하는 컨퍼런스가 있다. 바로 코드엔진 컨퍼런스다. 그런데 이 컨퍼런스는 7년째 줄곧 한 개인이 운영 중이라는 점이 특이하다. 코드엔진 컨퍼런스 운영 및 개최를 취미 생활로 하고 있다는 이강석씨노력하는 자는 즐기는 자를 이기지 못한다는 말이 있듯이지금의 바쁜 생활을 즐기면서 하고 있는 열정이 지금의 코드엔진을 만들지 않았나 싶다올해 7월에 열릴 2013 8th CodeEngn Conference를 기대하며 그의 이야기를 들어보았다.

 



 

먼저, 자기소개 부탁합니다.

이렇게 인터뷰를 한다니 많이 떨리네요. 저는 현재 금융결제원 금융ISAC에서 일하고 있는 이강석이라고 합니다. ‘리버스 엔지니어링 역분석 구조와 원리의 공동저자이며, 2007년부터 코드엔진 컨퍼런스를 운영 중입니다. 만나서 반가워요.. :)

 

CodeEngn의 뜻과 만든 배경이 어떻게 되나요

CodeEngn의 뜻은 세상의 모든 코드를 말하는 “Code”와 자동차의 심장을 뜻하는 “Engine”을 사람의 뇌로 비유한 "Engn"의 합성어이고 빨간색 번개 모양의 이미지는 코드와 심장을 깨자는 뜻을 담고 있어요.

 



 

사실, 처음부터 CodeEngn과 같은 컨퍼런스를 만들어 보고자 하는 생각은 갖고 있지 않았어요. 하지만, 2007년도에 15th Defcon에서 Song of Freedom 팀으로 참가하여 예선을 거쳐 본선 진출을 함에 따라 라스베거스를 다녀오게 되었는데, 한국에 돌아온 후 생각을 해보니 아직 국내에는 리버스엔지니어링만을 다루는 기술 적인 세미나가 없더라고요. 그래서 그때 당시 이미 2005년부터 개최된 해외 유명한 RECON 이라는 리버스엔지니어링을 다루는 컨퍼런스를 벤치마킹하여 CodeEngn을 열기로 마음을 먹게 되었죠.

 

사실, 대학교 4학년 학생 신분에서 첫 CodeEngn을 개최 하신 걸로 알고 있는데 가장 힘들었던 적과 보람찼던 적이 있을까요

사실 학생 신분에서 컨퍼런스를 개최하기란 쉽지 않더라고요. 먼저 발표자를 찾기가 매우 힘이 들었어요. 그때는 아는 지인 분들께 리버스엔지니어링 관련 주제에 대해서 발표 좀 부탁과 홍보를 많이 했었어요. 보람찼던 적이라면, 2007년 첫 회는 약 120명 정도의 분들이 컨퍼런스에 와주셨어요. 하지만 해를 거듭할수록 점점 많은 분들이 오시고 있고 지금은 중,고등학생부터 보안실무자까지 다양하게 오시고 있고 보통 250명 정도 오시고 있어요

 


코드엔진에서 발표를 하면 어떤 점이 좋은가요

코드엔진은 발표자에게 많은 특혜를 드리고 있어요. 우선 발표를 하면 평생 무료 입장 티켓과 20만원 상당의 기술서적, 발표 DVD 동영상, 소정의 발표비, 괜찮은 IT 제품을 제가 선정하여 선물을 드리고 있어요.

 


코드엔진의 장점과 발전 방향이라면

코드엔진 컨퍼런스는 보안실무자가 직접 운영 및 기획을 하고 있는 실무자 중심의 컨퍼런스라서 다른 컨퍼런스보다 좀 더 어떤 기술에 대해 심도있는 설명을 들을 수 있다는 것이 가장 큰 장점이에요. 매년 운영 노하우가 쌓이고 있고 좀 더 재미있는 주제와 좋은 발표자를 찾으려고 노력하고 있어요.

 


리버싱을 공부할 때 Tip이 있다면 어떤 것이 있을까요

먼저, 계속해서 노력하는 것과 재미를 느끼는 것이 가장 중요하다고 생각해요. 프로그래밍 같은 경우는 알고리즘에 대한 창의성이 많이 필요하지만 리버스엔지니어링은 인내심과 노력이 가장 많이 필요한 분야에요


이 분야를 공부할 때 Tip을 드리자면 먼저 관련 서적을 읽으면서 동시에 “Crackme“, “Unpackme“, “해킹대회 문제파일등의 문제를 풀어보면서 공부를 해야 실력도 많이 늘고 흥미도 많이 생기게 되요. 추후에 실력이 어느 정도 쌓았다면 직접 소프트웨어 취약점 분석도 해보고 취약점이 발견되면 KISAS/W 신규 보안 취약점 신고 포상제를 이용하여 레포트 하는것도 좋은 방법이구요.


그리고 CodeEngn 사이트에 들어가면 현재 4가지 정도의 리버스엔지니어링 문제들을 풀어 볼 수 있는 컨텐츠가 있어요. 기본 Crackme, 심화 Crackme, 악성코드 분석, 암호학 4가지 정도가 있는데 기초 문제부터 차근차근 풀어보면 도움이 많이 될거에요. 또 덧붙여서 Archive 메뉴에는 국내 소장가치가 있는 600여개의 보안문서가 관리되고 있고, Live 메뉴에는 국내외 최신 동향을 쉽고 빠르게 볼 수 있는 RSS 리더 서비스를 회원가입 없이 무료로 이용할 수 있어요.

 


마지막으로 정보보안 전문가를 꿈꾸는 학생들에게 한 마디만 해주세요.

이것저것 새로운 시도와 공부를 해보는 것이 중요해요. 새로운 시도를 하다보면 나중에 최신 기술이 나와도 더 쉽게 이해할 수 있기 때문이에요. 그리고 공부를 하다보면 프로그래밍에서 포기하는 학생들을 많이 보게 되는데 자신이 많은 프로그래밍언어를 다루지 못한다고 해서 절대 자신감을 잃지 않았으면 해요. 프로그래밍을 못해도 보안 분야에서 할 수 있는 일은 많기 때문이에요


그리고 프로그래밍을 하실 때 많은 언어를 겉핥기식으로 익히기 보다는 한 가지 언어를 제대로 익히는 걸 추천해요. 사실 프로그래밍언어란 문법의 차이가 있을 뿐이지 익숙해지면 새로운 언어를 배워도 금방 배울 수 있기 때문이에요


그리고 툴 등을 사용하는 학생 분들이 많은데 너무 에 의존하지 않았으면 해요. 물론, 실무에서도 자동화된 을 많이 쓰지만 분명한 것은 이 해야 될 일과 본인이 직접 해야 될 일이 따로 있다는 거에요. 지금의 보안 분야는 날로 성장하고 있고 보안전문가로 직업을 삼고자 하는 분들도 매우 많아지고 있어요. 자신의 경쟁력을 갖추기 위해서 항상 노력하신다면 분명히 좋은 정보보안 전문가가 될 수 있을 거라 생각해요. Ahn



대학생기자 유희만 / 수원대 컴퓨터학과


대학생기자 고은정 / 경희대 전자전파공학과

저작자 표시 비영리 변경 금지
신고

현직 CEO 3인이 전하는 SW 산업의 미래

지난 2월 13일 디지털타임스 주최로 건국대 산학협동관에서 ‘응답하라! 소프트웨어 희망인재’란 주제의 취업 강좌가 열렸다. 

이 강좌에서는 소프트웨어 산업의 미래, 소프트웨어 기업이 원하는 인재상, 앞으로 취업준비생으로서 갖춰야 할 역량 등을 주제로 안랩 김홍선 대표,  제이디에프(JDF)의 김규동 대표, 비즈아이 안영찬 대표가 강단에 섰다. 배움과 취업을 향한 갈증을 해소해 준 강좌의 주요 내용을 소개한다. 

 

 

컨버전스 시대에 필요한 인재상 안랩 김홍선 대표

 

1980년대만 해도 전화기가 있는 집이 흔치 않았고, 1990년대에 들어서야 겨우 전화기가 집집마다 보급되기 시작했다. 그로부터 불과 10년 뒤, 모든 사람들이 전화기를 들고 다니는 세상이 됐다. 김홍선 대표는 “우리는 이처럼 ‘숫자의 변화’에서 문명의 발전을 읽을 수 있어야 한다”고 설명하며 강좌 첫머리를 장식했다.

김홍선 대표는 한류에 대해 언급하며, 한류가 글로벌 시대의 소프트웨어로부터 많은 혜택을 받은 것이라 설명했다. DVD보다도 퀼리티가 떨어짐에도 사람들이 유부트를 더 많이 찾는 이유는, 소비자들이 능동적으로 참여 할 수 있는 시스템을 더 원하기 때문이다.

이어서 김홍선 대표는 패러다임의 변화와 정보 기기의 Cross-over 현상을 읽을 수 있어야 한다고 했다. 이미 정보기기의 숫자가 현존하는 인류의 수를 넘겼다. 또한 유무선 간의 기술역전이 발생해, 어디서든지 자신이 원하는 정보에 접근할 수 있는 세상이 되었다. 이것이 모바일 인터넷 기기의 폭증과 결부돼 새로운 시장을 만들고 있다는 점을 주목해야 한다. 김홍선 대표는 결국 스마트 폰이 현재와 미래의 모바일 시대를 이끌 것이고, 이것을 어떻게 다루느냐가 우리가 살아가는 세상에서 우리의 직업을 좌우할 것이라고 설명했다.

강좌에서 설명한 Convergence는 곧 디지털 융합을 뜻한다. 이러한 형태의 시장에서는 디바이스를 통해 어떠한 소프트웨어를 제고할 수 있는지가 그 기업의 생존을 좌우하기 때문에 반드시 창의력이 필요하다. 실제로 구글이나 네이버와 같은 포털 광고에서 볼 수 있듯이 디지털 시대에서는 광고가 물리적 세계(미디어, Retail)와 디지털 세계(Search, Social)과의 결합으로 변화하고 있다.

이러한 세계에서 기업이 생존하기 위해서는 브랜드 이미지가 중요하다. 즉 이제는 기업에게 회사의 규모보다 중요한 것은 그 기업이 갖고 있는 가치(Platform)와 자신만의 확고한 이미지, 상품가치일 것이다.

김홍선 대표는 모든 것은 호기심에서 출발한다고 했다. 같은 것을 보아도 호기심의 유무는 엄청난 차이를 만든다. 빌게이츠, 스티브잡스의 업적은 모두 호기심에서 출발했다. 머릿속에만 있던 것이 실제로 동작하는 것 자체가 즐겁고, 자신이 갖고 있는 호기심을 실천하는 것에 관심이 있다면 그 사람은 소프트웨어 산업에 종사하는 것이 즐거울 것이다. 아주 작은 호기심에서 모든 것이 시작되고, 그것을 이루려고 노력할 때 변화가 일어난다.

강연 말미에 김홍선 대표는 “이제 인류가 원하는 디바이스가 생산될 것이고, 이러한 디바이스를 작동시키는 것은 소프트웨어이기 때문에, 결국 소프트웨어를 창의적으로 만들 수 있는 인재가 필요할 것”이라고 말했다. 이제는 무작정 ‘직업’을 택하기 보단 정확한 시대적 해석을 바탕으로 ‘내가 잘 할 수 있는 ‘일’을 선택해야 한다.

 

 

소프트웨어에 미래가 있다 - 제이디에프 김규동 대표

 

제이디에프 김규동 대표는 최근 세계적인 파급력을 과시하고 있는 싸이의 강남스타일의 성공요인을 소프트웨어에서 찾았다. 음악이 CD로 발매되던 과거와는 달리 오늘은 유투브라는 소프트웨어를 통해 전 세계에 모든 대중이 함께 즐길 수 있기 때문이다.

이처럼 과거와는 달리 2000년대 전후를 기점으로 우리나라의 여러 기업들이 어플리케이션을 통해 글로벌 시장의 소프트웨어 경쟁에 참여하고 있다. 김규동 대표는 “2020년에는 한국을 중심으로 동아시아가 소프트웨어 시장의 50%를 차지하게 될 것”이라고 전망하면서, 일본의 장인정신과 한국의 창의력이 가미되면 언젠가는 미국 중심의 소프트웨어 시장의 벽을 넘어 설 수 있을 것이라고 예측했다.

김규동 대표는 강좌에서 소프트웨어 개발자는 반드시 창의력을 갖춰야 한다고 설명했다. 감수성, 상상력, 지구력은 성공한 소프트웨어 개발자의 특징이다. 언뜻 보기엔 소프트웨어 산업과 어울리지 않다고 느껴질 만한 특징들이다. 그러나 사용자가 어떠한 불편을 겪을지 감수성을 갖고 생각해야 소프트웨어 개발이 시작된다는 점, 창의력을 발휘해 고객의 필요를 충족하는 제품이나 서비스를 찾아내야 한다는 점, 라이트 형제가 비행기를 개발하기 위해 1200번의 실패를 겪었지만 결코 포기하지 않았던 것과 같은 지구력으로 개발해야 한다는 점을 보면 소프트웨어 개발자에게 정말 필요한 특징이 이 세 가지임을 깨달을 수 있다.

소프트웨어 기업의 시장가치는 무한하다. 김규동 대표는 SM엔터테인먼트, 안랩, NC소프트, NHN 등 세계적으로 영향력 있는 여러 기업들을 실례로 들었다. 또한 소프트웨어 산업이 취업을 준비하고 있는 우리에게 미래를 위한 올바른 선택이 될 수 있음을 나로호와 카카오톡의 개발과정과 비용을 비교하면서 설명했다.

나로호 - 개발기간 10년, 예산 5200억, 개발인력 1000명, 경제적 가치 =?

카카오톡 - 개발기간 2개월, 예산 5000만원, 개발인력 4명, 경제적 가치 5천억

이처럼 소프트웨어는 하드웨어보다 더 빠르고 쉽게 개발할 수 있다. 현재 기업들은 과거 징키츠칸보다 더 빠른 속도로 소프트웨어를 통해 세상을 정복해 나가고 있다. 김규동 대표는 소프트웨어 시장에서의 승리 원칙에 도움이 되는 징키츠칸의 승리 원칙을 소개하며 강좌를 마쳤다.

1. 눈, 귀 그리고 마음을 열어라

2. 적의 군대도 아웃소싱 하라

3. 승리의 원칙을 장기가 아니라 바둑에서 찾아라(바둑은 정해진 공간이 아닌 아무 곳에서 둘 수 있다 - 정해진 틀에 갇히지 마라)

 

 

어떻게 원하는 곳에 가는가? - 비즈아이 안영찬 대표

 

앞서 두 강연자가 소프트웨어의 미래와 소프트웨어 기업의 전망을 내용으로 강연을 진행했다면, 안영찬 대표는 취업에 대한 보다 직접적인 문제를 던졌다.

안영찬 대표가 말하는 ‘원하는 곳에 가는 가장 첫 번째 원칙’은, ‘비전을 명확히 하라’는 원칙이다. 어떻게 원하는 곳에 가는지는 우리의 목표를 얼마나 정확하게 세우느냐에 따라 달라진다. 비전은 3~5년 차를 두고 명확히 하는 게 좋다 즉, 실천 전략을 애매하고 추상적인 언어가 아닌 명확한 언어로 표현하라는 것이다. 2~3년 전의 모습을 생각해보아라. 그 당시에 쏟아 부은 노력의 결과가 지금 현재의 모습이라고 생각하면, 지금부터 나 자신이 바뀌어야 미래의 모습이 바뀐다는 걸 깨달을 수 있을 것이다.

명확한 비전을 세웠으면 ‘비전을 어떻게 실현할 수 있는가’에 대한 전략이 필요하다. 기업이 원하는 3대 요소는 창의성과 상상력, 도전정신이다. 우리는 여기에 가장 중요한 ‘절실함’을 더해야 한다. 20대, 아무런 진척 없이 평행선을 긋고 있다며 좌절해서는 안 된다. 20대 젊은이들은 고요히 물이 끓기만을 기다리는 success zone에 있는 것이다.

기업을 분석하는 기본 전략인 ‘전략의 3C’를 한 번쯤은 들어봤을 것이다. 바로 Customer(고객), Competitor(경쟁사), Company(자회사)의 3C다. 고객과 자회사까지는 누구나 분석하겠지만, 중요한 건 자회사의 경쟁사를 치밀하게 분석하는 것이다. 기업을 분석하고 해석하는 접근 방식이 아마추어 같아서는 안 된다. 자신을 다른 이들로부터 차별화할 수 있는 전략의 핵심은 고객에게 경쟁사보다 우월한 가치를 제공하는 것이라는 문구를 머리에 새겨야 한다.

안영찬 대표는 이러한 전략의 3C에 4thC와 5thC를 더했다. “결코 바뀌지 않는 건 ‘변한다(Change)’는 단어 뿐”이라는 말은 IT나 SW전공자들, 심지어 비전공자들에게도 필요한 말이다. 회사의 강점, 약점이 어떻게 바뀔지 모르기 때문에 불안할 수도 있지만, 미리 준비한다면 기회가 될 수도 있기 때문에 항상 변화를 감지하고 대처하는 자세가 필요하다. 다섯 번째 C는 모든 사람들이 블루오션이라고 생각하면서도 노력하지 않으면 갖기 어려운 'Creative‘의 C다. 창조성을 염두에 둔 접근을 시도하면 마지막 Chance(기회)의 C, 입사 또는 신상품 개발이라는 C가 완성될 것이다.

취업 희망 기업 맞춤 전략 사례로, 무작정 열심히 했다고 표현한 사례는 나쁜 예로 뽑혔다. 대신 자기가 한 노력을 리포트해서 표현한 사례, 즉 집중적으로 공부해온 자료를 포트폴리오로 만들어 자신만의 스토리를 표현한 사례가 좋은 사례로 뽑혔다. 기업의 특성, 직무를 파악하고 경쟁사에 대해서도 분석하면서, 취업을 희망하는 기업에 대해 공부해야 한다. SNS 평판 관리에 신경을 쓰거나, 아르바이트를 일관성 있게 하는 것도 하나의 스펙이 될 수 있다.

그러나 전략을 세우기 전에 가장 먼저 해야 할 것은, 마인드(Mind)를 세워야 한다는 것이다. 앞 차를 추월하기 전에 차선을 먼저 갈아타야 한다는 점, 관성과 타성에서 벗어나야 한다는 점을 고려하며 지금의 접근 방식을 점검해보아라. 웬만하면 모두가 비슷한 스펙을 가지고 있는 요즘, 경쟁사를 비교분석하며 리포트를 만드는 습관을 들이고, 이렇게 노력해온 것을 포트폴리오로 정리해둔다면 다른 이들과 차별화하면서도 자신을 부각시킬 수가 있는 것이다.

안영찬 대표는 마지막으로 끝까지 포기하지 말아야 함을 강조했다. 기회는 ‘기회를 볼 수 있는 눈’과 ‘그것을 잡을 수 있는 용기’, ‘간절함’이 있어야 찾아온다. 살아남는 자는 다 이유가 있다는 말처럼 취업이 되는 자는 다 이유가 있다. 모든 것이 빠르게 변화하는 21세기에는 강한 자 보다는 변화에 적응하는 자가 살아남지만, 다른 의미에서 강한 자가 ‘마인드가 강한 자’라면 그 또한 우리를 성공의 길로 이끌어 주지 않을까.

안영찬 대표가 소개한 ‘기업이 원하는 Mind Set’을 언급하며 기사를 마무리하겠다.

1. 나는 할 수 있다.

2. 우리는 할 수 있다.

3. 즉시 한다.

4. 반드시 한다.

5. 될 때까지 한다.

 

대학생기자 성해윤 / 한양대 정보사회학과

대학생기자 김가윤 / 이화여대 정치외교학과

사내기자 오지나 / 커뮤니케이션팀 대리


신고

아시아의 스티브 잡스 IT 리더들의 반란

‘IT리더하면 떠오르는 인물 하면 당연히 모두들 빌게이츠(마이크로소프트 의장), 마크 주커버그(페이스북 CEO), 팀 쿡(애플 CEO) 정도일 것이다. 하지만 이들은 모두 서양의 유명한 IT리더들이다. 그렇다면 동양의 IT시장을 선도해 나아갈 인물은 없는 것일까.

지금 우리나라를 포함한 아시아에서도 서양을 따라잡을 기회를 호시탐탐 노리는 뛰어난 IT리더들이 곳곳에 많이 숨어있다. 동양의 뛰어난 IT리더들이 누구인지 한번 살펴보자.

세계적 보안 소프트웨어 회사 안랩의 창립자 안철수

안랩은 글로벌 통합보안 기업으로서 세계 수준의 기술력으로 개발한 솔루션과 전문적인 서비스체계를 갖춘 기업으로 유명하다. 1995년 처음 ()안철수컴퓨터바이러스연구소를 설립하여 백신프로그램을 무료로 배포한 것을 시작으로 지금은 온라인 보안 서비스, 모바일 보안 서비스, 온라인게임 보안 솔루션, 네트워크 보안 장비 등 정보 네트워크 환경에 적합한 보안 솔루션들을 개발해서 시중에 내보내고 있다.

안랩하면 우리나라는 대표하는 소프트웨어 회사라고도 할 수 있고, 과거 하드웨어를 중심으로 개발했던 우리나라에서 소프트웨어 쪽으로 먼저 개발했던 회사이기도 한다. 또한 지금까지도 크게 성장하고 있는 기업 중 하나이다.

의사였던 안철수는 처음 컴퓨터를 접하면서 컴퓨터에 대한 관심을 가지게 되고, 혼자 대한민국 최초의 백신 프로그램인 V3를 만든다. 그러다 본격적으로 보안 소프트웨어 개발에 뛰어들고 우리나라에서 컴퓨터 보안이란 단어가 무엇인지도 잘 모르고 있었을 시절 안철수는 그 누구도 감히 시행하지 못했던 보안 소프트웨어 회사를 설립한다.

하지만 많은 사람들이 잘 알지 못하는 백신 프로그램을 사람들에게 일일히 알리기엔 역부족이었다. 그러던 중 1999 CIH바이러스가 우리나라 컴퓨터 약 30만대를 파괴시킨 사건이 일어난다. 이러한 계기로 바이러스에 대한 사람들의 인식도 생기고, ‘안랩이 큰 성장을 할 수 있도록 도와주는 계기가 된다. 그 후로 안랩은 지금까지 크게 성장해 우리나라 소프트웨어 보안 기업으로 우뚝 섰다.

기업이 5년동안 살아남을 확률이 10%밖에 되지 않는다는 것을 보면 지금 25주년을 맞이한 안랩은 우리나라 최고의 보안 소프트웨어 회사라고 해도 손색이 없다. 거기다 개인과 기업에서 사용하는 PC를 항상 안전하게 지켜주고, 보호해주기 떄문에 ‘IT강국인 우리나라를 더욱 빛을 바라게 해주는 것이 아닐까 싶다.

진정성 있는 리더 소프트뱅크 손정의 회장

손정의 소프트뱅크 회장은 동서양을 통틀어 기업가 정신이 가장 투철한 경영자로 손꼽힌다.

일본에서 한국인으로서 살아 오면서 어린나이에 차별도 많이 당했던 손정의회장은 어린시절 사카모토 료마를 그린 소설 <료마가 간다>를 읽고 남다른 삶을 살기로 결정했다. 주변의 반대를 뚫고 미국에 조기 유학, 대학 시절 다국어 번역기를 발명해 사업 자금을 마련했다. 그는 어린시절부터 인생의 목표를 분명하게 세웠는데 이는 그의 성공의 밑걸음이 되었다그가 세운 ‘인생 50년 계획’은 지금도 실현되고 있다.

 20: 어떤 일이 있어도 반드시 사업을 일으키고 이름을 떨친다.

 30: ‘적어도 1천만 엔의 자금을 모은다’

 40: ‘인생 최고의 도박을 한다, 즉 커다란 사업을 일으킨다’라고 되어 있다.

 50: 사업에서 큰 성공을 이루고, 60대는 다음 경영자에게 사업을 물려준다는 계획이다.

1981년 일본에서 '정보기술 혁명으로 인간을 행복하게!'란 뜻을 세우고 소프트뱅크를 설립했다. 이후 남다른 혜안, 집념과 추진력, 게임의 룰을 바꾸는 과감한 도전으로 인터넷 혁명의 중심에 섰다. 소프트뱅크는 2004년 적자였던 재팬텔레콤, 2006년 보다폰재팬, 2010년 윌컴을 인수해 모두 흑자로 전환시켰다. 19952월 손정의는 세계 최대의 컴퓨터 전시장 컴덱스를 매입했다. 그해 4월은 미국 인터넷 기업 야후의 주식을 확보해 최대 주주가 되었다. 손정의 회장은 늘 시대를 앞서가며 세상 사람들을 놀라게 하는 사업을 전개해 왔다. 이처럼 손정의의 인생은 끝없는 도전의 연속이란 말로 요약할 수 있다. 최근에도 2010년 창립 30주년을 맞이해 ‘소프트뱅크 신30년 비전’을 발표하고 후계자 육성을 위해 ‘소프트뱅크 아카데미’ 학교를 개교했다. 또한 작년 10월 손정의 소프트뱅크 회장은 미국 3위 이동통신업체 스프린트넥스텔을 201억 달러(22조원)에 인수하기로 했다고 발표했다.

“도전은 큰 위험을 수반하지만 도전하지 않는 것이야말로 위험하다”라고 그가 말한 것처럼 혜안을 가지고 끊임없이 도전하여 그가 IT리더가 될 수 있었다.

중국 최대의 검색 엔진 바이두 CEO ‘리옌홍

출처: duduchina.co.kr/?p=41818

리옌홍은 중국의 최대 검색 엔진을 만든 바이두의 CEO를 맡고 있다. 중국 시장의 성장과 함께 급 성장을 이룩한 바이두는 현재 구글에 이어 검색 점유율 2위를 달리고 있다. 이러한 어마어마한 사이트를 만든 리옌홍은 누구일까?

그는 1991년 베이징대 정보관리학과를 졸업하고, 미국으로 건너가 뉴욕주립대학교 버펄로대학대학원에서 컴퓨터공학 석사를 수료했다. 그는 미국에서 검색엔진 업체 인포시크와 다우존스 등에서 일을 하며 웹사이트에 관한 프로젝트도 진행할 정도로 뛰어난 실력을 가지고 있었다. 미국에서 8년간 일하면서 쌓은 실력으로 그는 다시 중국으로 돌아와 200년 바이두를 설립했다. 처음부터 상업적인 목적을 가지고 시작했던 그는 검색어 순위를 돈을 받고 파는 등 기존과 다른 기업 전략으로 바이두를 세계에 널리 알리기 시작했다. 이런 노력 끝에 그는 2005년 바이두를 나스닥에 상장하게 된다.

그는 2005 CCTV ‘올해의 경제인물‘. Fobes가 선정한 가장 영향력있는 인물’ 64위에 뽑히기도 했다. 그가 개발한 바이두의 첫 웹페이지를 보면 어딘가 많이 본 듯한 검색 창이 보인다. ‘리옌홍도 인정했듯이 바이두의 홈페이지는 구글의 첫 웹페이지와 비슷하다. 하얀 바탕에 회사 로고와 검색엔진만 보여지는 것을 보면 두 개가 유사하다고 생각할지 모른다. 하지만 리옌홍은 자신만의 경영전략과 중국의 실정에 맞는 전략으로 중국 시장에서도 큰 성공을 거두고 중국 시장을 좀 더 넓게 만든 장본인 이기도 하다.

한국의 마크주커버그 정세주 대표

출처: http://dietx.tistory.com/70

요즘 화제가 되며 한국의 마크주거버그라 불리는 정세주 대표는 눔의 CEO이다. 구글 안드로이드 마켓 출범 후 지금까지 계속 헬스·피트니스 부문 순위 1위를 달리는 앱 카디오트레이너를 만들었다. 영어를 한 마디도 못하고 대학도 졸업하지 못했지만 열정이라는 단어 하나로 미국에서 창업을 하였다.

그는 할렘가의 허름한 열평짜리 방에서 2006년 개발을 시작했다. 그 때부터 2년가까운 세월 동안 그는 골방에서 앱 개발에 몰두했다. 자기 돈도 없었을 뿐 아니라 구글의 사업 방식을 배우기 위해 구글의 아는 사람들에게 초청을 받아 한동안 식사를 구글 식당에서 했다. 때 많은 구글 사람들을 알게 됐고 그게 결국 나중에 사업하는데 크게 도움이 되었다고 한다.

2008년 워크스마트랩스 법인을 설립할 때도 할렘에 그대로 있었다. 노력 끝에 2008년말 구글의 온라인 앱 장터인 안드로이드마켓에서 출시된 ‘카디오 트레이너’는 출시된 이후 지금까지 계속 안드로이드 마켓 헬스 분야에서 1위를 달리고 있다. 카디오트레이너는 휴대폰을 몸에 지니고 운동을 하면 알아서 경,거리,속도,경사도,칼로리 소모량 등을 측정해 주는 앱이다. 최근 출시한 칼로리픽이라는 칼로리 관리 앱도 나오자자마자 돌풍을 일으키며 3위에 올랐다.그리고 워크스마트랩스는 구글이 선정한 가장 혁신적인 앱 개발사에 꼽혔다.

2008년 워크스마트랩스 법인을 설립할 때도 할렘에 그대로 있었다. 노력 끝에 2008년말 구글의 온라인 앱 장터인 안드로이드마켓에서 출시된 ‘카디오 트레이너’는 출시된 이후 지금까지 계속 안드로이드 마켓 헬스 분야에서 1위를 달리고 있다. 카디오트레이너는 휴대폰을 몸에 지니고 운동을 하면 알아서 경,거리,속도,경사도,칼로리 소모량 등을 측정해 주는 앱이다. 최근 출시한 칼로리픽이라는 칼로리 관리 앱도 나오자자마자 돌풍을 일으키며 3위에 올랐다.그리고 워크스마트랩스는 구글이 선정한 가장 혁신적인 앱 개발사에 꼽혔다.

 "고민의 주체는 자기 자신이 되야 합니다. ''가 주체가 되서 고민의 실마리를 풀어야 합니다. 다른 사람들처럼 문제를 해결한다면 본인이 원하지 않는 방향으로 나아갈 수 있어요. 사색이 없는 성공은 없습니다."

그의 지금의 꿈은 최고의 앱 회사가 되는 것이 아니다. 전 세계에서 건강이라는 키워드로 전 세계인의 건강한 생활을 이끌어주는 최고의 회사, 최고의 브랜드를 만드는 것이다.

그가 자신만의 가치와 열정으로 성공했듯이 그만의 가치와 열정으로 이룰 것이라고 믿어본다.

21세기 IT는 우리 삶을 변화시킬 핵심 분야이다. 거의 모든 분야가 IT와 연관되어 발전하고 있다. IT로 인해 우리의 삶을 끊임없이 변화하고 발전했다. IT 근원지가 동양이 아니었다는 점을 감안할 때 우리나라와 그 외 아시아국가들은 무수한 노력으로 지금의 발전을 이루었다. 미국에 스티븐 잡스, 마크주거버그 ,래리 페이지가 있었다면 아시아에는 이들이 있었다. 열정을 가지고 끊임없이 노력하며 기존의 틀을 깨어 아시아를 새로운 IT의 강국으로 만들었다.

IT강국 이라고 불리우는 한국에는 막상 스티븐잡스, 래리페이지 같은 세상을 뒤흔드는 IT 리더들은 많지 않다. 이것은 우리나라의 IT산업의 현실과도 관계가 있는데 노동 강도는 높지만 합당한 대우는 기대하기 힘든 탓이다. 미국이나 유럽과 비교 했을 때 우리나라는 작업현장, 연봉 모든 조건이 많이 미흡하다. 우리나라는 IT 강국에 걸맞게 개발자에 대한 처우나 작업환경이 좋아져야 할 것이다. 앞으로 개선되어 더욱 발전된 IT코리아가 되기를, 스티브 잡스처럼 세상을 바꾸는 리더가 우리나라에서도 나타나기를 바란다. Ahn


 

  대학생기자 허우진 / 수원대 컴퓨터학과

  대학생기자 전유빈 / 명지대 컴퓨터공학과



신고

성공한 CEO가 밝히는 성장 단계 별 차별화 전략

안랩(구 안철수연구소)은 매년 정기적으로 전사원이 필수적으로 참여하는 교육 프로그램인 '안랩 스쿨'을 진행한다. 올해는 8 27일부터 30일까지 1 2일 간 총 2회에 걸쳐 강원도 오크밸리에서 진행되었다이번 테마는 열정. '위대함으로 이끄는 열정의 힘'이란 주제로 진행했다여러가지 강의 중에 벤처 1세대로 불리는 휴맥스의 변대규 대표의 스토리를 인상깊게 들었다.

  

휴맥스는 디지털위성방송 수신기인 셋톱박스를 개발하여 디지털 콘텐츠를 쉽고 편리하게 즐길 수 있도록 만들기 위한 플랫폼의 구현 및 공급을 목표로 삼고 있다. 1996년 아시아 최초, 세계에서 세번째로 디지털 위성방송 수신용 셋톱박스를 개발하였다. 그해 9월 유럽 규격에 맞는 디지털위성방송 수신기 개발에 성공한 후 첫 수출의 기쁨을 맛보았지만 품질에 문제가 생기면서 리콜이 쏟아졌다. 여러 위기속에서 끈질기게 버틴 끝에 휴맥스는 유럽시장에서 결국 살아남았다. 


변대규 대표는 열정을 주제로 한 2012 안랩스쿨에서 휴맥스의 성장 스토리를 이야기했다우선 변 대표는 기업의 발전 단계를 4단계로 분류했다. "생존을 위한 혁신을 도모하는 창업 기업 단계, 경영 관리 시스템을 구축하하고 새로운 기업 문화와 운영 혁신을 꾀하는 성장 기업 단계, 기존 사업과 함께 운영, 기술 제품, 사업 등에서 혁신 사업을 만들며 성장하는 중견 기업 단계, 혁신 능력이 있는 대기업 등 크게 4가지로 볼 수 있으며, 단계 별로 각 10년 정도의 시간이 걸린다."라고 설명했다. 이어서 "휴맥스는 현재 기존 사업과 더불어 혁신 사업을 만들며 성장하고 있는 중견 기업에 속한다."라고 말했다.


이어서 각 단계 별로 휴맥스가 취한 전략을 소개했다. 그에 따르면 휴맥스는 생존을 위해 혁신을 도모하는 창업 기업 단계에서 휴맥스는 크게 디지털 가전 사업으로 사업 영역을 자리잡고 국내보다 국외에서 직접 보면서 자신만의 브랜드로 사업을 이끌어 나가길 원했다. 경쟁자가 많지 않은 틈새시장을 노려 초기에는 셋톱박스 사업에 전념한 후 지역을 확장하는 전략을 세웠다. 변 대표는 "해외에서 사업을 유지하려고 했던 점이 다른 회사와 차별되는 점"이라고 설명했다.

 

새로운 기업 문화와 운영 혁신을 꾀하는 성장 기업 단계에서는 핵심 가치로 integrity, communication, commitment, innovation를 중심으로 경영 관리 시스템을 구축했다. 현재 휴맥스는 셋톱박스 이외 북미와 유럽을 중심으로 홈미디어 서버 관련 사업과 디지털TV로 영역을 확장하고 있다.

 

▲ 휴맥스 변대규 대표



변대규 대표의 강의를 들으면서 여러 위기 속에서도 열정의 끈을 놓지 않고 최선을 다한 모습이 인상적이었다. 국내 시장보다는 해외 시장에서 새로운 길을 모색하는 도전정신 또한 지금의 휴맥스를 만들게 한 원동력이 아닐까 싶다.


새로운 시도와 실험을 두려워하지 않고 열정이 있는 사람들이 모여 의미있는 목표를 향해 도전해 나가면 무엇을 이룩할 수 있는지를 보여주고 싶다는 휴맥스의 성장을 지켜보자. Ahn



 사내기자 장은별 / 안랩 UX/TW팀


신고

노키아와 코닥이 빠진 함정의 공통점은

고대 그리스의 신화 중 ‘오만’에 관한 유명한 일화가 있다. 이카루스는 어느 날 자기 아버지와 함께 감옥에 갇히게 되었다. 두 부자는 탈출할 방법을 궁리하다가 밀랍으로 깃털을 붙여 이은 날개 4개를 만들어 아들에게 2개 붙여주고, 자기도 2개를 붙인 후 하늘로 날라올라 탈출에 성공한다. 

하늘로 나르기 전에 아버지는 아들 이카루스에게 태양에 너무 가까이 가지 말라는 주의를 주었는데, 한참을 날아다니던 이카루스는 흥이 나서 점점 더 높이 날아올랐다. 태양에 점점 가까워지자 결국 날개를 붙여 놓은 밀랍이 태양열에 녹아서 날개가 떨어져 그만 바다에 떨어져 죽고 만다.

"Hubris(오만)은 성공한 사람들을 노린다"

"역사는 창조적 소수가 바꾸어 나간다. 그런데 한번 성공한 이 창조적 소수들은 자신들이 성공한 방법을 모든 곳에 다 통하는 절대적 진리인양 착각하게 된다 (역사의 기술 中) "

 

영국의 역사학자이자 문명비평가인 '토인비'는 '오만(HUBRIS)'이란 단어를 "과거에 성공한 사람이 자신의 능력과 방법을 우상화함으로써 오류에 빠지게 된다"는 뜻으로 사용했다. 이것은 경영분야에서 "성공의 함정"이라고도 부른다.

이카루스의 역설과 토인비의 HUBRIS가 말하고 싶은 것은 성공한 사람일수록 그 자리에 머무르려 하는 경향이 있다는 것이다. 우리가 무엇인가를 성취했다면 그 이상의 목표까지 나아가기 위해선 배(倍)의 노력이 필요하다. 그러나 성공한 자들은 '자기만족과 안정'이라는 달콤한 미끼에 걸려 함정에 빠지고 만다. 

잘나가던 기업의 몰락, 그 뒤에는.... 


1883년 코닥의 시대가 열렸다. 코닥의 설립자 조지 이스트먼은 롤필름을 발표했고 당시 판매되던 거의 모든 판 카메라에 부착이 가능했다. 코닥은 1888년 코닥 카메라를 단돈 25달러에 출시, “카메라는 싸게 팔고 그 소모품인 필름에서 이익을 내자”라는 경영전략으로 1976년 미국에서 필름판매 점유율 90%를 차지했으며, 카메라 판매 점유율도 85%를 기록하는 등 필름과 카메라 업계의 최강자로 우뚝 섰다. 


그러나 2012년 1월 19일, 코닥은 미국 뉴욕 남부법원에 파산 보호 신청을 했다. 코닥이 1881년 설립된 후 131년 동안의 코닥의 시대는 이렇게 막을 내린 것이다. 그런데 놀라운 것은 세계 최초로 디지털카메라를 개발한 것이 바로 코닥이라는 사실이다. 코닥은 1975년 최초로 디지털 카메라를 개발하고 1981년에 이미 사내보고서에 디지털카메라로 인한 자사의 위협까지 분석했다. 어떻게 처음으로 디지털카메라를 개발하고도 코닥은 이렇게 추락하고 있는 것일까?

 


시작은 제지회사였지만 2009년 휴대전화분야에 시장점유율 1위를 차지하고 세계 최대의 휴대전화 제조회사라는 명성을 얻었던 노키아. 핀란드의 자존심이자 약 20년 동안 세계 1위의 휴대폰 제조사라는 명성을 지켜왔던 노키아 왕국이 가라앉고 있다. 

국제신용평가사인 S&P와 피치는 노키아의 신용등급을 투기(JUNK) 등급으로 강등했고, '밀워드브라운'이 매긴 브랜드 순위도 2008년 세계 9위에서 지난해 81위까지 추락했다. 1998년, 당시 세계를 주름잡던 모토로라를 꺾고 최고의 휴대폰 기업이 된 노키아였다. 한때 북유럽 핀란드 전체 수출액의 23%를 혼자 일궈내며 핀란드의 경제를 지탱했었다고 해도 과언이 아니다. 그러나 말 그대로 이 모든 것은 과거 “한 때”의 얘기다. 왜 노키아가 누리던 모든 것이 과거형이 되버린것일까?

찰나의 오판, 그 배경은 '오만'한 자세


지난 3월 22일 고려대에서 열린 한 강연에서 서울대 교수이자 '아프니까 청춘이다'의 저자인 김난도 교수는 코닥, 노키아 등의 일류기업의 몰락원인에 대해 얘기했다. 김 교수는 이 두 기업이 현대 고전을 면치 못하는 이유는 바로 그들이 '오만'했었기 때문이라고 지적한다.

코닥의 경우 디지털 카메라 개발 후 경영진은 자신들의 발명품이 자기살을 뜯어먹는 일종의 '카니발라이제이션(cannibalization)'이라고 판단했다. '카니발라이제이션'이란 식인종이 자신의 종족을 잡아 먹듯이, 한 기업에서 새롭게 출시한 제품이나 기술이 기존에 그 기업에서 판매하고 있던 다른 제품이나 기술의 영역까지 침범하여 해당 매출에 부정적 영향을 끼치게 된다는 것을 뜻한다. 코닥은 기존 주력제품이던 필름 시장이 잠식될까봐 디지털 카메라의 개발과 마케팅에 투자하지 않았다. 도전과 현실 안주이라는 선택의 기로에서 안정을 택했던 코닥이 만약 세계 필름시장 1위 기업이 아니었다면 어땠을까.

노키아의 경우 피처폰 시대의 1위 기업이었던 당시, 스마트폰시대가 올 것을 예상하고 1996년부터 유사 스마트폰을 개발하고 출시했다. 자신만의 독자적인 OS인 '심비안'을 채택했고 Nokia 9000 communicator Series라는 이름으로 꾸준히 스마트폰을 출시했다. 심지어 애플의 아이폰이 출시되기도 전인 2005년에는 터치스크린폰을 출시한다. 그러나 소비자가 원하지 않을 것이라는 결론과 함께 연구를 중단했다. 

그러다 아이폰이 출시됐고, 소비자들은 '터치'의 욕구를 여과 없이 드러내며 아이폰에 열광했다. 2008년 노키아는 터치스크린폰을 다시 출시했지만 이미 때는 늦었다. 현재 노키아는 자체 운영체제였던 심비안 대신 야심차게 마이크로소프트 윈도폰 OS에 올인하며 '루미아'시리지를 내놓았지만, 미국에서의 시장 점유율은 고작 0.3%로 씁쓸한 결과를 맞고있다. 

김난도 교수는 "사람과 조직은 자신이 전부터 잘해온 것에 자신을 한정시키고 잘할 수 있는 것만 하려고 하는 경향이 있다고 말한다. 만약 코닥이 부동의 1위가 아니라 2위, 3위 그 이하였다면 기존의 필름분야가 아닌 디지털 카메라에 투자하는 일종의 도박을 감행했을 수도 있다는 것이다. 

그랬다면 아마 지금쯤 대부분의 카메라에 익숙한 코닥의 상표가 붙어있었을지도 모른다. 또한 노키아도 그 당시 피처폰의 제왕이었던 자신들의 익숙한 왕좌를 과감이 벗어나 스마트폰에 투자했더라면 지금쯤 아이폰과 삼성을 발아래 두고 있었을 지도 모른다. 만약 그랬다면 두 기업 모두 "파산", “강등” 이라는 굴욕적인 수식어도 붙지 않았을 것이다. 

성취감, 편안한, 자만심이라는 '엄마'를 넘어서라 

변화하는 세상에서 자신의 성취에 취해있었던 기업들. 김난도 교수는 우리나라 기업들이 더 높은 수준의 성공을 이뤄내고 꾸준히 발전하려면 "성취감, 편안함, 자만심이라는 엄마를 넘어서"야한다고 말한다. 

성공한 사람들은 대부분 자신들의 방식이 100% 맞았다는 오류에 갖힌다. 따라서 그 방식을 고수하면 이전처럼 성공할 수 있을 거라는 자만심도 갖게 된다. 그러니 창조적인 마인드는 사라져가고, 결과적으로 변화하지도 발전하지도 못하게 된다. " 성공은 형편없는 선생이다. 성공은 똑똑한 사람들을 현혹하여 자신들은 실패할 리가 없다라고 생각하게 만든다" 라고한 빌 게이츠의 말처럼 말이다. 

현재 국내외에서 그 영향력을 키우고 있는 신생기업이 많다. 작지만 큰 기술력과 아이디어로 세계시장에 뛰어들어 성공을 거두는 기업들. 이제 기업들은 앞선 코닥과 노키아뿐만 아니라 비슷한 상황을 겪고있는 닌텐도, 소니 등 한 때 최고라 불리우던 기업들의 약세를 지켜봐야 할 필요가 있다. 스스로에게 계속 의문을 던지고 끊임없이 도전하며 혁신하려는 자세, 그것이 국내의 자랑스러운 기업들이 세계에서 꾸준히 그 위상을 높이고 영향력을 키울 수 있는 핵심 KEY가 될 것이다. Ahn

 


대학생기자 양보나 / 성균관대 유학동양학과

「꿈과 현실의 격차를 두려워 하지마라 꿈을 꿀 수 있는 것은 현실로도 만들 수 있다 」
- 마가렛 대처 자서전 中 
어떤 장애물도 겁없이 넘어버리는 사람이 되겠습니다.

 

 


신고