매주 수요일 5시에 SISS(Sookmyung Information Security Study; 숙명여대 정보보안 동아리)의 정기 스터디가 있다는 정보를 입수하고 스터디가 열리는 명신관 405호를 찾았다. 강의 시간만큼 조용하고 집중하는 분위기 속에 약 2시간 동안 PPT 발표가 이어졌다.

몇 번의 시끌벅적한 포토 타임 후, 회장인 김세은(숙명여대 컴퓨터과학3) 학우와 본격적인 이야기를 시작했다. SISS는 주로 웹 보안, 시스템 보안 등을 공부하고 실제로 이를 어떻게 적용하는지 스터디한다. KISA(한국인터넷진흥원)에서 지원하는 KUCIS(대학정보보호동아리연합회)에도 가입해 활동한다. SISS 구성원들은 여대만이 가질 수 있는 끈끈한 유대감과 동아리에 대한 깊은 애정을 뿜어내고 있었다.

SISS의 김세은 회장

요즘 하는 스터디 내용은?
1학년은 우선 기초적인 학문인 C언어 등을 배우고, 2학년은 C++과 자료구조를, 3학년은 컴파일러와 운영체제를 스터디해요. 특히 1학년은 보안 관련 뉴스를 발표하여 최신 동향 정보를 공유하지요. 해킹을 시연해 보는 팀을 짜서 발표 및 시연을 할 계획도 있습니다.

SISS가 생각하는 정보보안이란? 
보안에도 다양한 분야가 있어요. 저희가 하는 것은 컴퓨터 보안이지만 울타리를 세운다거나 하는 물리적 방어도 보안의 일종이죠. IT 산업이 진화할수록 보안은 점점 필수적인 것이라는 개념으로 인식되고 있어요. 항상 어디를 가도 보안은 화두이죠. 스마트폰도 보안 문제가 이슈가 되었잖아요. 따라서 수요 역시 점점 늘고. 쉽게 얘기하면 보안이란 나의 정보를 외부로부터 막아내는 것, 지켜내는 것을 뜻해요.^^

여대 안에서 활동하는 정보보안 동아리는 흔치 않은데 그에 관련해서 받는 선입견이나 어려운 점 등은 없는지?
제가 회장을 작년 여름에 맡았는데요. 연합 동아리 활동 때 소개하는 경우가 있으면 여대 정보보안 동아리는 항상 주목을 받아요. 아무래도 여학생만 모여있으니 튀는 부분도 조금 있고요. 아무래도 휴학을 짧게 하거나 하지 않아서 졸업을 빨리 하는 여대 특성상 앞에서 이끌어주고 충고해주는 선배들이 충분히 없다는 점은 조금 아쉬워요.

대학생들이 지켜야 할 정보보안 관련 습관이 있나요?
회원가입 등을 할 때 아이핀(I-PIN; Internet Personal Identification Number, 인터넷 상에서 주민번호를 대신하여 아이디와 패스워드를 이용하여 본인확인을 하는 수단)을 이용하고 아무 웹사이트에나 함부로 가입하지 않으면 좋겠어요. 그런 정보 하나하나가 너무 많이 퍼져있어서 정보의 유출 사고가 잦잖아요. 그리고 공용 PC에서 자료를 다운로드한 뒤에는 꼭 삭제하면 좋겠어요. 저희가 과 특성상 학교 PC를 자주 이용하는데 자신의 사진이나 개인정보 등을 그대로 남겨놓고 가는 경우를 자주 보거든요.

 

우리나라 IT 산업이 하드웨어에 비해 소프트웨어 개발 및 연구가 취약한데 관련 학과 학생으로서 이를 어떻게 생각하는지?
같은 과 친구들과도 이 이야기를 많이 하는데요. 처음에 C언어를 배우면서 컴퓨터가 재밌어질 때는 "나는 (소프트웨어) 프로그래머가 될 거야. 나중에 대기업 취업만 고려하지 말고 이런 일을 하며 사는 것도 보람되고 재미있겠어."라고 했어요. 하지만 학년이 올라가고 교수님과 면담을 하다 보면 생각처럼 쉽게 소프트웨어 분야로 진출하기가 쉽지 않다는 걸 알게 돼요. 일단 입사할 수 있는 기업도 흔치 않고 기업의 기반도 튼튼한 경우가 드물어서. 다른 방법으로 우리가 직접 투자를 해서 벤처 기업을 만들어야 하는데 막상 도전하기가 어려운 거죠. 정부가 조금 더 구조적이고 체계적인 지원을 해주면 좋겠어요. 이 분야의 중요성을 조금 더 인정해주고 알아주었으면 하고요.

장기적인 계획은?
KUCIS 말고도 UUU라는 전국 대학 CERT(Computer Emergency Response Team, 컴퓨터 비상 대응팀)연합이 있어요. 이는 민간기업이 서포트해주는 단체가 아니라 각 학교의 학생들이 자발적으로 만든 연합동아리에요. 작년에 가입했는데 매년 KUCIS와 UUU에서 하는 세미나에 1년에 4번 정도 발표를 하고 있어요. 이번에는 해킹 시연 발표회를 준비중이에요. 작년에는 ‘로그뷰어’라는 아파치 웹 서버(Apache Web Server)*의 엑세스 로그 파일을 분석하는 프로그램을 만들어 UUU에 제출했어요. 교수님의 조언과 도움을 받아 KUCIS에서도 프로그램 발표해 (재정적) 지원을 받게 되었어요. 올해는 '로그 뷰어 확장판’을 만들어 발표할 예정이랍니다.

*아파치 웹 서버(Apache Web Server) :
아파치 소프트웨어 재단에서 관리하는 HTTP 웹 서버이다. BSD, 리눅스등 유닉스 계열뿐 아니라 마이크로소프트 윈도우즈나 노벨 넷웨어 같은 기종에서도 운용할 수 있다.

앞으로의 각오 한 마디

눈으로 보이는 큰 진전은 없더라도 차근차근 조금씩 나아가는 모습을 보이는 동아리가 되고 싶어요. 음, 한국인터넷진흥원(KISA)과 한국정보통신대학교(ICU)가 공동 주관하는 국가공인 자격증인 SIS(SIS-Specialist for Information Security)를 저는 물론 후배들이 모두 따서 정보보안 전문가가 되는 게 궁극적인 목표랍니다. Ahn

 

 

대학생기자 김혜수 / 숙명여대 경제학과

소통과 공감이 부족한 이 시대에 이렇게 먼저 손 내밀어 악수를 청합니다. 
이 글을 보는 당신, 부디 제 손을 맞잡아 주시길!

안철수연구소는 V3 제품군, 트러스가드 제품군 외에 보안 컨설팅, 보안 관제 등 서비스도 제공한다. 보안 관제 서비스는 기업 고객의 서버를 원격으로 관리해주는 방법과, 기업 고객에 직접 파견 나가 서비스하는 방법으로 나눠진다. 안철수연구소 CERT팀이 전자에, 보안관제팀이 후자에 해당한다. 

이들이 하는 일은 보이지 않는 사이버 공격을 탐지해 고객사의 중요 자산을 내외부의 위험으로부터 안전하게 지키는 일. 이를 위해 공격 시도나 침해 사고를 분석해 적절히 대응하거나 예방하는 업무를 한다. 이때 분석이나 악성코드 치료보다 중요한 것은 어디를 통해서 감염되었는지를 파악하는 일이다. 즉, 예방이 포인트이다. 실제로 하루에 5회 이상 샘플링을 하며 다운받은 파일을 모두 기록한 후 악성코드 의심 파일을 추린다. 월 100~200건 중 80% 정도가 악성코드이다.

특히 보안관제팀은 본사의 CERT팀과 달리 본사가 아닌 외부 고객사에서 안랩인으로서 일하는 만큼 애로 사항도 많다. 그들의 생생한 이야기를 듣고자 국민은행에서 일하는 보안관제팀을 찾아가 보았다. 적은 인원이기는 하지만 안랩인으로서 책임감과 긍지로 무장한 모습이 든든해 보였다.

보람을 느낀 사례가 있다면 구체적인 에피소드를 말씀해 주십시오.

Ahn

사내기자 김태훈 / 보안기술팀

"현재의 나"에서 출발하여 "내가 바라는 나"로 걸어가는 중입니다. 물론 가는 길에 끊임없이 딴짓을 해서 탈이지만 그래도 즐기며 걸어가고 싶습니다. 높은 곳을 향하여!

 

대학생기자 이정원 / 인천대 신문방송학과 

내가 지금 무얼하고 있는가. 숨을 들이쉬고 내쉬고 있는 것만이 아니다. 어떤 행동을 하고 있다. 하지만 생각을 놓고 행동하지 않기 위해서, 다른 사람이 아닌 내 자신이 되고 싶어서 오늘도 부지런히 방황하는 중.