본문 바로가기

파워인터뷰/전문가 초대석

국내 해커 1호에서 명문대 교수로 변신한 사연

대한민국 해커 1호에서 정보보안 벤처기업 CEO로, 게임 업체 보안관리자에서 대학원 교수로 끊임없이 변신한 이가 있다. KAIST 해킹 동아리 출신으로 A3시큐리티컨설팅을 창업하고 엔씨소프트 정보보안실장을 거쳐 고려대 정보보호대학원 조교수가 된 김휘강.

그가 독학으로 해킹을 공부한 사연과 우리나라 정보보안 상황, 인재 채용 때 꼭 했던 질문, 미래 보안전문가를 위한 조언을 허심탄회하게 들려주었다. 보안전문가로서는 보안 솔루션이 알아서 모든 걸 해결해준다는 환상을 버리라고 강조하고, CEO로서는 3년, 5년 후의 비전을 명확히 가지라고 요구했다. 또한 미래 보안전문가에게는 정말 보안전문가가 되고 싶은지 깊이 생각하고, 보안 이외 기반 지식을 쌓으라고 조언했다. 또한 정보보안에 대한 건전한 관점을 갖추고, 학창 시절 때부터 진로를 짜는 것도 중요하다고 강조했다.


독학으로
해킹을 공부하셨는데 어떻게 독학에 성공했는지 알고 싶습니다.

사실 그 시절은 저뿐 아니라 해킹을 배우는 사람 대부분이 독학을 할 수 밖에 없었죠. 저는 유닉스를 PC보다 먼저 배웠는데, 책도 물론 구매해서 보았지만 주로 유닉스 내의 온라인 매뉴얼 페이지를 보면서 공부를 했습니다. 예를 들어 도스 명령어 DIR과 유사한 것으로 “ls” 명령어가 있는데 옵션이 15가지가 넘습니다저는 이것들을 직접 하나하나 실행해가며 어떤 결과가 나오는지를 살펴본 경우라고 할까요.

개발자로 출발해서
OS에 대한 이해도가 높아지고 그에 따라 해킹 기술을 누가 가르쳐주지 않아도 자연스레 습득하는 사람도 있고, 시스템 관리를 많이 하다 보면 누가 가르쳐주지 않아도 해킹 방식을 터득할 수도 있는데 저는 후자에 속합니다. 시스템을 알게 된 후부터 여러 가지 보안 관련 영감이 떠올랐고, 이와 관련해 좀더 즐거운 일을 해보고 싶다는 생각이 들었습니다.

 

대전과학고에 다니던 당시 선배 중에는 해킹을 공부하며 몇 가지 초보적인 장난을 하는 이가 있었습니다. 컴퓨터 수업 시간, 서버에 로그인을 한 같은 반 학생의 채팅을 유닉스 "talk" 명령어를 이용해 몰래 보거나 선생님의 계정을 탈취하여 수업을 중단하고, 지연시키기도 했습니다. 또한, 당시 학생에게 제한적으로 주어지는 디스크 용량 제한을 풀어서 무제한으로 쓰기도 하고. 그런 선배들에게 어깨 너머 이것저것 배우기도 하고 여러 가지를 직접 시험해보면서 독학했습니다. 

 

해커 출신으로 밴처기업 창업, 글로벌 기업의 보안 총괄 책임자를 거쳐 대학교수로 부임했습니다. 세계적으로도 흔한 사례는 아닐 것 같은데요. 

정말 운이 좋았죠. 제가 대학교를 졸업하고 사업을 시작함과 동시에 벤처 붐이 불었고, 큰 회사에서 일하고 싶을 때 마침 기회를 얻었고, 일을 하는 도중에 학교에서 마침 저와 관련된 분야로 신임 교원 모집을 하고 있었어요.

 

언제부터 어떻게 컴퓨터 보안에 뜻을 가지게 되었는지 궁금합니다. 

내가 남들보다 잘할 수 있는 것은 무엇일까 고민했어요. 스스로 평가해본 결과 남들보다 개발을 뛰어나게 잘할 것 같지는 않고, 남들이 잘 모르는 분야인 보안 분야는 상대적으로 많이 아니까 계속 이쪽 분야를 한다면 누구보다 잘할 수 있다고 생각했습니다. 대학교 1학년 때 쿠스(KUS, KAIST UNIX Society)라는 해킹 동아리에 들어갔습니다. 그때부터 보안 분야에 본격적으로 관심을 갖고 공부를 하기 시작했죠당시 교과서나 문서 위주로 공부를 잘하는 사람에 비해 저는 실전에 강했고 꾸준히 연구하고 실력을 키워가며 보안 분야를 많이 공부했습니다.

 

대학원에 진학한 후에는 더욱 자유롭게 보안 공부에 매진할 수 있었습니다. 요즘은 전공이나 학업에 신경 쓸 것이 너무 많아 나처럼 한 분야에만 매진하기 어렵지요.  

당시 대학원 진학은 면접과 필기 시험만 통과하면 됐기에 지금보다 수월했고, 덕분에 한 분야에 깊이 있는 공부가 가능했습니다경영정보시스템을 공부해 IT를 경영에 접목, 비즈니스를 활성화하는 것에도 관심이 많았는데, 학교 다닐 때 조직론이나 사람의 행태를 연구하는 수업은 나중에 정보보호 전문기업을 창업하는 데도 큰 도움이 됐습니다 

 

1996년에 포스텍(포항공대)와 카이스트 사이에서 해킹 대결이 일어났습니다. 그 때와 지금을 비교했을 때 우리나라의 보안 실력은 얼마나 향상됐다고 평가하십니까.  

기술적인 면에서는 큰 발전을 했다고 봅니다. 그러나 90년대 학생들은 아무 기반도 없는 상태에서 스스로 우리나라 보안 기술의 취약점을 연구하고 공부해 문서를 만들어 인터넷에 알리고 보급하면서 보안 산업의 첫 장을 열었다고 생각합니다우리나라 초기 보안 산업에 많은 기여를 했죠. 기업의 보안 인식이 부족했던 당시에는 보안 사고라도 나면 취약점을 분석할 수 있는 조직이나 정보보호 전문 기업이 없었기 때문에, 저 같은 학생이 나서서 취약점을 분석하고 공격을 막아주기도 했어요. 기술력만 보면 지금 친구들이 월등히 높은 수준과 실력을 발휘하지만, 정보보호 인프라 자체가 없던 과거의 학생들이 보안에 대한 열정이나 연구하는 자세는 지금보다 더 진지하고 훌륭했다고 생각합니다96년도에 일어났던 해킹 대결은 결과적으로 우리나라 보안 산업 발전의 밑거름이 됐다는 평가를 받기도 합니다.  

 

기업을 경영하면서 가장 아쉬웠던 점은 무엇인지요?

사실 한두 가지가 아니죠. 늘 자금이 아쉬웠습니다. 저는 외부 차입금을 전혀 쓰지 않는 것을 원칙으로 삼고고수하려 했죠. 우리가 가진 자금으로 회사를 얼마나 운영할 수 있는지 매일 체크했어요보유한 현금으로 수입 한 푼 없이도 회사가 최소 6개월에서 1년을 버틸 수 있도록 하자는 생각으로 재무 관리에 신중할 수밖에 없었지요. 자본금 5000만원으로 시작해 자본금 20억이 넘는 회사를 만들었지만 그 과정에선 늘 자본금 여유가 없어 어려움이 많았고, 수주를 못할 경우를 생각해 항상 노심초사했어요.

 

지금 생각해 보면, 자본을 투입해서 공격적인 경영을 해야 할 시점이 분명히 있었는데, 그러한 시점에 보수적인 경영 원칙을 고수하느라 좀더 공격적인 경영을 하지 못한 점이 아쉬움으로 남습니다. 또 그럴 수밖에 없었던 것이 2000년 이후 점차 경기가 안 좋아지고 벤처 열기가 꺼져가면서 투자가 원활히 이루어지지 않기도 했어요.

 

기업에 계실 때 직원 채용 시 가장 중점적으로 보신 부분과 가장 많이 한 질문은 무엇인지요? 

아직도 기억에 남는 이력서가 하나 있는데학력이 높지는 않은데 정말 온 힘을 다해 이력서를 쓴 게 눈에 보였어요. 겸손하면서도 자기가 할 수 있는 것이 무엇인지, 앞으로 무엇을 할지 목표가 뚜렷했어요. 20MB가 넘는 용량의 본인 개발 포트폴리오 다운로드 경로도 잘 정리되어 있었고요. 한눈에 업무를 위한 목적에 부합하다고 판단해 당장 채용했죠.

 

또한, 저는 면접을 할 때 3년 뒤나 5년 뒤에 무엇을 할 것이냐는 질문을 꼭 합니다. 3년 뒤나 5년 뒤 꿈이 없는 사람은 목표가 없는 사람이기 때문에 절대 뽑지 않죠. 그리고 "3년 뒤 사업을 하고 있겠습니다" 혹은 "5년 뒤 더 큰 회사에 입사할 것입니다." 이렇게 대답해도 뽑지 않죠우리 회사에 입사하면서 3년 뒤, 5년 뒤에 다른 회사를 위해 일한다고 말하는 사원을 뽑는 곳은 아무 데도 없겠죠.


우리나라 보안의 가장 큰 문제점은 무엇이라고 생각하십니까?  

우리나라는 항상 스팸과 악성코드 배포지로 10위 안에 들어요. 미국은 변함없이 1위이고. 우리나라는 중국의 영향을 많이 받는데, 실제 악성코드 배포 시스템은 중국에 있지만, Script Tag 입력을 허용하는 우리나라 게시판 등에 악성코드 유도 스크립트가 존재하는 경우가 많아서 악성코드 배포가 급증합니다. 우리나라 자체의 문제점이라기보다는 해외 시스템을 경유한 사용자 접속 쿠키 정보 노출과 제로데이 취약점 때문이라고 할 수 있습니다. 통계를 보더라도 1위와 2위의 편차가 크기 때문에, 우리나라의 문제가 세계로 확대된다고 보기는 어렵습니다.

럼에도 99% 안전해도 1%의 취약성 때문에 문제가 되는 게 보안이니, 기술과 관리 측면의 노력이 효과적으로 융합하여 보안 위험을 줄여나가거나 피할 수단의 개발이 필요하다고 봅니다. 또한, 모바일 시대에 걸맞는 통제 방식 기준도 수립하는 게 중요하고요. 개인도 보안 솔루션이 뭐든 것을 알아서 해줄 것이라는 환상을 버려야 해요. 가끔 다른 사무실에 가면 모니터에 시스템 접속용 ID, 패스워드를 붙여놓은 경우를 많이 보는데, 이런 경우 보안이 지켜질 리가 없죠. 물론 사용자는 서비스 제공자가 알아서 해줄 것이라는 막연한 기대를 하지만, 결국 PC, 내 시스템을 지키는 것은 나 자신이라는 인식에서 보안이 시작됩니다. 실제로 사람의 고의적, 비고의적 실수가 보안 사고의 발생 원인 분석 측면에서 항상 상위에 랭크되곤 합니다.
 

스마트폰 시대에, 인증 기술이 스마트폰 발전의 저해 요인이라는 주장도 있습니다.

글쎄요. 인증 기술을 간소하게 해달라고 부탁하는 사람들 보면 아직 피해를 당하지 않은 사람이 대부분일 텐데요. 막상 피해를 당하면 높은 보안 수준을 요구할 거라고 봅니다. 누구나 편리하고 안전한 서비스를 원하지만, 편리함과 안전함은 공존하기 쉽지 않은 것이 현실이지요.

그리고 기술적 보안 외에 다른 측면도 봐야 해요. 예를 하나 들어볼게요. 제가 G마켓에 오픈마켓을 하나 열어요. 제품을 구매할 때 회원가입 등으로 개인정보를 넣게 해요. 그리고 며칠 뒤 사이트를 닫아버리고 실제 배송을 하지 않아요. 결제가 되지 않게만 하고 사이트를 닫아버리면 금전적인 부정행위가 일어난 것이 아니니 앱을 만든 측에서도 사이트에서 물건 조달을 못해서 사이트를 닫았다고만 알거든요. 하지만 사용자는 이미 개인정보를 많이 빼앗긴 것이죠. 이런 식으로 사회 공학적 피싱까지 이어지는 것은 앱 개발자가 책임지지 않기 때문에 OS 레벨의 보안만 너무 신경 쓸 것이 아니라 악성으로 악용될 가능성도 챙겨봐야 한다고 봅니다.

 

많은 공공기관이나 은행에서 보안 솔루션의 이용을 강제합니다이러한 보안 솔루션이 PC의 오작동이나 부하를 증가시킨다는 불만도 상당한데, 이러한 불편을 줄일 방안이 없을까요? 

예전에 어떤 게임 회사에서 무료 보안 솔루션을 제공했어요. 한 번이라도 악성코드가 감지되면 치료하겠냐고 관련 정보를 묻는 식으로요. 자동 치료도 되지만 치료가 되면 기록이 날아오게 했거든요. 그래서 일주일 동안 이 툴로 얼마나 많은 컴퓨터가 바이러스에 감지되었느냐 조사해보니 몇 만 건이 넘어가요사용자가 불편해하는 이런 툴로 구제받는 컴퓨터가 무시할 수치는 아니라는 거지요. 불편함은 있겠지만, 그렇다고 보호장치를 무시하거나 보안 프로세스 절차를 없애가면서까지 서비스를 하는 것은 안 된다고 생각합니다.

 

다만우리나라 보안 회사의 규모가 크지 않고 개발자나 품질 테스트 인력이 많지 않다보니 천차만별인 PC 환경을 모두 충족하는 데 어려움이 있어요그래픽카드, 랜 카드만 해도 종류가 많은데 그 많은 환경을 모두 갖춰놓고 품질 테스트를 할 수 있는 곳은 거의 없어요. 최대한 테스트를 해서 내보내지만 충분하지 않은 거지요. 그러다 보니 설치했는데 또 설치하라거나 재부팅을 하라고 해서 인터넷 뱅킹 5분을 쓰기 위해서 프로그램을 20분 동안 설치해야 하는 상황이 벌어지는 거에요. 이러한 부분은 업체가 개선할 여지가 있다고 봅니다.

 

일부에서는 외국은 우리나라같이 보안 프로그램 없이도 뱅킹을 잘만 쓰는데, 왜 우리나라만 이러냐는 시각도 있습니다 

사고 건수의 정확한 통계를 가진 나라는 어디에도 없습니다. 다만 사고 건수 중 실제 신고 건수는 10% 미만이라는 게 정설이지요. 다만 은행권에서 발생하는 보안 사고는 대부분 은행 쪽보다는 개인의 잘못이 더 많다고 봅니다

사실 외국 시스템도 다르지는 않아서
, 외국도 피해 규모가 이루 말할 수 없을 정도로 큰 경우도 있어요. 하지만 이런 것만 가지고 외국에서는 보안 솔루션을 덜 적용했기 때문에 더 취약했다고 얘기하기는 어려워요규모 자체가 다르니까요그렇다고 근거가 없다고 얘기할 수도 없어요. 정확한 데이터가 없기 때문에. 
이런 보안 솔루션이 고객 PC를 보호하기 때문에 치명적인 사고를 막아낸 경우도 있고 보안카드, 원타임 패스워드, 인증서로 방어하는 공격도 분명히 있어요

마침 근래 들어 모바일 환경이 갖춰지면서 공인인증 모델이나 접근 제어와 차단 시스템에 대한 합의점을 찾는 많은 시도가 있습니다만, 그렇다고 기존 정보보호 시스템이 무의미한 것은 아닙니다사용자 중에는 불만을 제기하는 사람도 물론 있겠지만, 정보보호의 필요성을 인지하고 쓰는 분도 있다고 생각해요. 그래서 당장 속단하기 어렵지만 분명히 가치가 있다고 생각합니다.

보안전문가를 꿈꾸는 많은 청소년이 순차적으로 무엇부터 배워 나가야 할지 알려주십시오.

첫째는 자기가 정말 보안전문가가 되고 싶은지 생각을 다시 해보는 게 좋아요. 보안전문가의 길은 상당히 힘들어요. 다른 IT 분야도 워낙 변화무쌍하지만 보안 분야는 하루도 새로운 지식이나 책을 읽지 않으면 금방 뒤처지고 제가 3년 전 알던 것은 어디 가서 발을 못 내밀어요. 그건 이미 옛날 지식이 되어버려서요. 따라서, 항상 끊임없이 공부를 해야 한다는 것입니다. OS뿐만 아니라 데이터베이스, 웹개발, 일반적인 C언어나 이런 것을 이용한 개발이라든지, 또는 리버스 엔지니어링이라고 해서 어셈블러 지식과 네트워크 지식같이 보안은 어디서나 연관되기 때문에 알아야 하는 것이 매우 많아요.

둘째, 보안 이외 기반 지식을 쌓아야 합니다. 보안 쪽 일을 하려면 필요한 지식이 적어도 5개 영역(네트워크, 시스템, 애플리케이션, DB, PC)이에요. 이 분야는 기본적으로 다 알아야 해요. TCP/IP가 무엇인지도 모르고 보안을 배우고 싶다고 하면 참 곤란한 일이 많이 생기겠죠?

셋째, 정보보안에 대한 건전한 관점이 필요해요. 얼마 전 일본에 투채널이라는 카페와 우리나라 네티즌이 도스 공격으로 공방전으로 벌였는데, 그런 공격은 아무런 지식이 없어도 가능하거든요. 그런데 여기 참여한 사람들은 자신이 큰일을 한 것으로 알아요. 물론 지식을 알고 한 사람도 있지만 그 툴을 내려받아서 공격에 참여했고 집단 활동에 참여했다는 것에 더 크게 만족하더라고요. 이런 사람은 안 좋은 길로 빠질 확률이 엄청 커요. 

 

넷째, 공부를 제대로 하기 위해서 미리 진로를 학창 시절 때부터 짜봐야 한다고 봅니다. 어떤 공부를 언제부터 하고 어떻게 해나가야 할지 말이죠. 이런 것을 배우려면 어떻게 공부하고 어떤 학과를 가야 하고 굳이 대학을 그곳에 가지 않더라도 그 분야의 공부를 어떻게 독학할 것인지 미리 준비해야 합니다. Ahn

대학생기자 이가현 / 서울여대 미디어학부
대학생기자 장효찬 / 고려대 컴퓨터통신공학

 

대학생기자 박미영 / 고려대 산업정보디자인과
언제나 가슴 속에 간직한 문구 "행복은 습관입니다^^"
습관이 모여 행동이 되고 행동이 모여 삶의 태도가 될테니 늘 건강한 미소와 흔들림없는 마음으로 하루하루 열심히 행복하고 싶다. '보안세상'에서의 활동이 인생에 행복을 쌓는 또 하나의 활력이 되길 기대한다.