9월 1일 한국경제연구원이 발표한 '대학생 취업인식도 조사'에 따르면 대학생 취업 선호 1위는 23%를 차지한 '대기업'이었습니다! 대학생들이 희망하고 선망하는 대기업에 20년간 근무해온 정보보안전문가, 삼성 SDS 통합보안센터 이원래 프로님을 만나 인터뷰를 해보았습니다. 정보보안 직군을 희망하고, 진로에 대해 고민하는 대학생들을 대표하여 정보보안 전문가가 하는 일, 전망에 대해 여쭤보았습니다!
Q1. 자기소개 부탁드립니다!
삼성SDS 통합보안센터에서 IOT제품 취약점 분석업무을 하고 있습니다. 주로 스마트TV, 스마트 냉장고, 스마트폰 등이 주요 대상입니다. 인터넷에 연결된 기기들에 대하여 외부 해커 공격을 예상에서 찾아내어 미리 제거하도록 가이드를 제공합니다.
제품을 받으면 제품에 설치된 SW를 찾아내어 이용방법을 알아냅니다. 설치된 SW를 다운로드하여 리버싱의 방법으로 분석합니다. 일반 사용자가 입력하지 않는 특수문자의 조합을 이용하거나 긴 문자를 입력하여 SW가 오작동하는지 확인하고 이를 통하여 취약점을 찾습니다.
Q2. 올해 정보보호 산업회가 20주년을 맞이했고 정보보안 산업이 유명하지 않았는데 어떻게 정보보안으로 진로를 정하셨나요?
처음 회사에는 SW개발인력으로 입사했습니다. 팀 보안담당자가 취약점을 알려주고 조치하라고 이야기를 들었는데 멋있어 보였습니다. 2000년 당시에는 유니코드 취약점과 BOF(buffer overflow)가 인상깊게 남아 있습니다. 내가 직접 개발하는 업무도 재미있지만 다른 사람이 개발한 SW에서 취약점을 찾는 업무가 수수께끼 같기도 하기도 하고 재미있겠다라는 생각이 들었습니다.
제 생각에는 당시 유망 업종에 정보보호 전문가가 있지 않았나 하는 생각이 듭니다. 너무 오래된 일이라 생각이 정확하지는 않지만 정보보호전문가는 항상 유망한 직업에 있었던 것 같습니다. 문제는 실제 유망한지는 모르겠고 20년 동안 항상 유망업종에 있었던 것 같습니다 (하하하)
Q3. 근무하면서 가장 기억에 남은 일은 무엇인가요?
주로 하는 업무가 그룹내 제품이 대상이다 보니 외부에 발표할 일이 없습니다. 내부 규정으로 제한하고 있습니다. 그러나 예외적으로 타사의 제품에 대한 점검을 진행하기도 하는데 그런 경우는 취약점을 벤더사에 알려주고 취약점을 조치하도록 합니다. 외국의 방화벽 제품이었는데 벤더사에 취약점 제보를 했는데 CVE를 주었습니다.
관리자 사이트 인증 우회 및 명령어 실행 취약점이었는데 어렵게 발견하기도 했지만 크리티컬 (중대 취약점) CVE를 받았고 아직도 인터넷에 조회하면 CVE와 제 이름이 나와서 기억에 오래 남습니다.
*CVE(Common Vulnerabilities and Exposures): 정보 보안 취약점 표준 코드
Q4. null@root 일원이라고 하셨는데 null@root에서는 무엇을 하나요?
널루트는 해커모임입니다. 같이 모여서 CTF (해킹대회)에 참가하서나 세미나도 하고 해킹 동향도 공유하고 정보도 나눕니다. 매년 신입을 모집했는데 18년도에 들어갔습니다.
10년이 넘게 회사의 일만 하다보니 회사 사람 친구만 있고 더 넓게 사람을 사귀고 싶어서 모임에 지원서를 넣었습니다. 매일 하는 일이 이 일이다 보니 특별히 더 준비한 것은 없습니다. 다만 가입하는 과정이 길고 과제도 많습니다. 주로 주말을 이용하여 과제를 해결했고 같이 해킹할 수 있는 해커를 만난다는 설레임으로 과제를 해결하여 모입에 가입할 수 있었습니다.
Q5. 대기업을 20년 넘게 근무한 비결이 있으신가요?(하하)
96년에 입사했으니 20년은 훌쩍 넘었네요. 회사를 옮겨야 하는 이유를 못찾아서? 또는 용기가 없어서? 뭐 특별한 비결이 있는지 잘 모르겠네요.
처음에는 개발자로 4~5년 근무하다가 정보보호 업무로 변경하고 해외 주재도 했어요. 보안관리 부서에서도 근무해보고 홈페이지 점검을 포함해서 지금 취약점 찾는 업무를 대략 10년를 하고 있습니다. 중간에 부서도 바뀌고요.
하는 일에 변화를 주고 싶으면 우선 부서에서 변화를 주고 부서 내에서 변화가 부족하다 싶으면 부서 자체를 바꾸어보고 모든 변화를 회사내에서 해보았고 그것이 저와 잘 맞았던 것 같아요.
Q6. 하는 일에 대해서 후회하신 적이 있으신가요?
보안 업무 처음 시작이 2000년 경 부터였고 2001년 사내 해킹대회에 참가한 경험이 있습니다. 그때 해킹존 문제를 풀면서 나는 왜 미리 공부를 안했을까 하는 후회를 했습니다. 당시 입사 5~6년차인데 업무도 잘알고 개발도 잘하겠는데 해킹 특히 어셈블리는 잘 모르겠더라구요. 그래서 책도 사고 했는데 그렇게 열심히 안했던 것 같아요. 신기한 것은 지금도 똑같은 생각을 합니다. 왜 그 때 미리 공부를 안했을까 하고요.
Q7. 정보보안 진로를 희망하는 대학생들께 하고 싶은 조언은?
정보보안 업무가 분야가 많이 있습니다. 정책이나 교육, 감리, 리버싱, 포렌직 등이 해당됩니다. 그러나 생각만큼 fancy하지는 않습니다. 공부도 많이 해야합니다. 그리고 무엇보다 시장이 작습니다.
작은 시장에서 본인이 원하는 것을 직업으로 하기 위하여 공부를 많이 해야합니다. 일반적으로 고등학교 대학을 가기 위해 하는 것처럼 공부해야 합니다. 어느 정도 하면 되었다라는 것은 없습니다. 최신 트렌드가 계속 바뀌기 때문에 계속 공부해야합니다. 마음 단단히 먹고 들어와야 합니다.
Q8. 앞으로 최종 목표는 무엇인가요?
지금 하는 일을 오래 계속하기를 바랍니다. 13년에 블랙햇이라는 해킹 컨퍼런스에 다며왔는데 허리가 굽은 할이버지 한분이 컨퍼런스에 오셔서 발표를 듣는 것을 보고 감명을 받았습니다. 그 분 나이를 80세로 추정하면 저도 이 일을 앞으로 30년은 더 할 수 있겠다 싶습니다.
지금도 해킹모임에서 세미나를 해고 CTF에 참가도 합니다. 앞으로 목표는 CTF 본선에서 좋은 성적을 내는 것입니다. 20년에는 세계 해킹대회 DEFCON 본선에도 나가고 국내 대회인 CCG에서 올해보다 더 좋은 성적을 내고 싶네요. 굵직한 취약점도 찾아서 컨퍼런스에 발표도 하고 싶습니다.
Q9. 얼마 전에 Security Meetup WAVE 2019를 다녀왔는데, 정보보안 분야에서 스타트업을 육성하기 위한 과제가 무엇이라고 생각하십니까?
꼭 정보보호 분야 뿐만이 아니라 스타트업 육성을 위한 과제 자체가 많이 있었으면 좋겠습니다. 아직은 IT업계 자체가 스타트업을 위한 환경이 미흡하다고 생각합니다. 정보보안 업무 자체는 IT를 기반으로 하기 때문에 IT 기반 스타트업 지원이 잘 되면 자연스럽게 따라가는 것이라고 생각합니다. 비유를 들면 사람이 건강하지 않은데 팔운동만 하는 격이라고 할까요 (하하하).
그래도 뽑으라고 하면 취약점 제보 플랫폼이 제일 먼저 생각납니다. 현재는 일부 sw에 대하여 KISA에 제보하고 제보한 sw취약점에 대하여 포상금을 지급하는 형태입니다. 외국은 취약점 자체에 대함 평가를 하고 취약점 자체를 상품화합니다. 우리나라에서는 역기능을 우려하여 제제를 하고 있는데 제 생각에는 제제를 풀어서 장려했으면 합니다. 취약점 자체가 상품화가 되면 스타트업 기업에게 좋은 기회가 될 것입니다.
Q10. 마지막으로 하고 싶은 말씀해주세요!!
정보보안 전문가가 10년 뒤 유망직종에 항상 들어갑니다. 20년 전부터 들어갔는데 20년이 지난 지금 현실을 보았을 때 유망직종인지 잘 모르겠습니다. 얼마큼 공부를 하면 끝이 있는 것도 아니고 어느 정도 회사를 다닌다고 창업에 메리트가 있는 것도 아니고 시장이 점점 커지는 것고 아니고 조금은 우울하기도 합니다.
그러나 저는 지금 하는 일이 아직도 재미있습니다. 어제 저녁 때까지 보던 코드가 집에 가서 생각이 나고 아침에 회사에 가서 또 볼 생각을 하면 즐겁습니다. 누가 돈을 주지 않아도 주말에 집에서 해킹 문제를 풀고 취약점을 찾습니다. 풀리지 않는 문제를 몇달 동안 잡고 있어도 문제를 잡았을 때는 시간이 어떻게 가는지 모르겠습니다.
지금 하는 일이 재미있냐고 가슴이 뛰냐고 물어보고 싶습니다. 살면서 자는 시간 빼고 계속 해야하는 일입니다. 회사에서 8시간을 보내야 하는 일입니다. 재미있고 즐거운 일을 찾으세요.
이상으로 삼성SDS 통합보안센터 이원래 프로님을 만나보았습니다! 정보보안 산업에 대한 인식, 정보보안 전문가로서의 생각을 들어보았는데요, 유쾌한 인터뷰 현장이었습니다. 정보보안 직군을 희망하는 대학생분들이 열심히 공부해서 이원래 프로님을 잇는 "멋진 정보보안 전문가"가 되길 응원합니다.
