잇백보다 노트북이 좋았다, IT 보안관 이 여자

보안이 필수 아닌 옵션이라는 생각 해커들에게 빈틈 내주는 것

영화 ‘네트’의 안젤라 베넷(샌드라 불럭)은 소프트웨어의 바이러스나 오류를 분석하는 유능한 컴퓨터 프로그래머다. 어느 날 국가기관이 보유한 극비 정보를 빼돌리려는 집단의 표적이 되면서 쫓기는 신세가 되지만, 놀라운 순발력과 천재적인 해킹 능력으로 난관을 극복한다. 2008년 세계 출판계를 강타한 ‘밀레니엄’ 3부작에도 마성의 여 주인공이 등장한다. 리스베트는 강한 체력과 뛰어난 기억력을 소유한 천재 해커로, 미궁에 빠진 사건을 풀어가면서 독자들에게 강한 인상을 남겼다.


안철수연구소의 심선영(33) 선임연구원은 또래 여성들이 가방을 선물 받고 싶어할 나이에 노트북 선물을 더 탐냈다. 그리고 영화 ‘네트’ 속 샌드라 불럭을 보면서 ‘해커’라는 직업에 매력을 느꼈다. 결국 그녀는 일반적인 IT 직종에 종사하다 보안업체로 눈을 돌렸다. 보안전문가가 되고 보니 외국의 보안 정보를 참조하는 게 아니라 국내에서 이를 선도해가면 좋겠다고 생각했고, 그런 역할을 할 수 있는 곳이 안철수연구소라고 판단했다. 그렇게 그녀는 안철수연구소의 문을 두드렸고 5년째 인연을 이어가고 있다.

현대캐피탈 개인 정보 유출 사태, 농협 전산 장애 등 보안 사고가 잇따라 터지면서 ‘보안전문가’가 새삼 주목받고 있다. ‘보안전문가’라 하면 국내에서는 아직 조금 낯설다. 보안전문가는 인터넷 등 IT 인프라로 인해 일어날 수 있는 보안 위협을 분석하고 이에 대해 해결책을 제시하는 역할을 한다. 특히 심 연구원과 같은 ‘분석가’들은 보안 위협에 대한 리서치가 중요한 업무다. 시시각각 보안 트렌드를 파악하고 그 속에서 잠재적인 보안 위협을 찾아내 사전 대응을 위한 제품 또는 서비스를 만들어낸다.

몇시간씩 꼼짝않고 앉아 악성코드와 싸움
섬세함 갖춘 여성에 더 유리한 직업이죠


아직은 보안 분야에 여성들이 많지 않다. 안철수연구소의 분석 파트 50명 중 여성 보안전문가는 2~3명에 불과하다. 심 연구원은 그렇기 때문에 보안 직종이 여성들에게 ‘블루오션’이 될 수 있다고 설명했다. 사실 키보드를 ‘툭’ 두드리면 칠흑 같은 모니터에 코드가 쭉 뜨는 것은 영화의 한 장면일 뿐이다. 현실에선 한자리에 몇 시간이고 붙어 앉아 악성코드와 끈질기게 싸울 수 있는 인내심이 필요한데, 이 부분이 여성들에게 유리할 수 있다. 또 여성성으로 대표되는 꼼꼼하고 섬세한 능력도 보안전문가의 무기가 될 수 있다고 심 연구원은 조언했다.

최근 일어난 금융권 보안 사고를 심 연구원은 ‘인재(人災)’로 평가했다. 대다수 기업이 서비스를 개발할 때 ‘기능’을 완성하는 것이 목표가 되면서, 보안은 뒷전이 되곤 한다. 심 연구원은 보안을 ‘필수’가 아닌 ‘옵션’으로 생각하는 풍토가 디도스(DDoSㆍ분산서비스거부) 공격을 비롯한 각종 보안 사고를 초래했다고 지적했다. 또 담장을 높게 세웠어도 허물어진 곳은 없는지 사후관리가 필요한데, 이 역시 제대로 이뤄지지 않고 있다. 특히 영세 업체들의 경우 보안인력도 없을 뿐더러 보안의 필요성도 절감하지 못하는 실정이다.

사건 터지면 호들갑…잠잠해지면 무관심
정부·기업·네티즌 모두 경각심 필요해

결국은 정부, 기업, 국민 등 사회 각계각층이 ‘보안’에 대한 경각심을 가져야 개인 정보 유출이나 금융 사고의 위협으로부터 자유로워질 수 있다. 유독 보안에 대해서는 ‘내 일이 아닌데’ ‘누군가가 해주겠지’ 하는 생각이 만연하다. 심 연구원은 보안을 위해 기업이 최소한 투자해야 하는 부분들을 정부가 법제화할 필요가 있다고 강조했다. 기업의 CEO도 ‘서비스’와 ‘보안’을 한묶음으로 생각할 필요가 있다. 보안업체들을 단순 하청 업체로 취급하는 기업 수장들이 있는 현실에서 보안 위협을 뿌리 뽑는 것은 까마득히 먼 일이 될 수밖에 없다. 누리꾼의 역할도 크다. 보안 수칙을 뻔한 얘기로 흘려듣지만 “실제로 ‘기본’만 잘 지켜도 막을 수 있는 보안 사고가 굉장히 많다”며 심 연구원은 아쉬움을 토로했다.

언젠가 ‘10년 후 유망 직업’의 상위권에 ‘보안전문가’가 있었다. 심 연구원은 “드라마나 영화에서 보이는 이미지로 해커를 생각하지만, 아직까지 국내에서 보안전문가는 그런 대우는 못 받고 있다”고 털어놨다. 디도스 공격 때처럼 큰 사건이 터져야만 보안전문가를 찾고 잠잠해지면 다시 보안에 무관심해진다. 그래서 보안전문가 사이에서는 ‘보안은 잘해야 본전’이라는 얘기가 있다. 심 연구원은 보안에 대한 지속적인 관심과 노력을 마지막으로 당부했다.

심 연구원의 개인 블로그를 찾는 누리꾼 중에는 그녀가 안철수연구소의 일원이라는 것을 부러워하는 이들이 많다. 그때마다 심 연구원은 보안 분야에서 워낙 앞서 있는 여성들이 없기 때문에 자신의 역할이 크다는 책임감을 느끼곤 한다. 아울러 보안 분야에서 여성들이 굉장히 필요하고 충분히 잘할 수 있다는 것을 보여주고 싶다. 심 연구원은 보안전문가를 꿈꾸는 후배들을 보면서 ‘이런 사람이라면 보안전문가라고 부를 수 있겠다’라는 생각이 들게 하는 개척자가 되고 싶다고 포부를 드러냈다.

“보안전문가를 꿈꾸고 있다면 꼭 도전하라고 얘기하고 싶어요. 여성들에게 보안 일이 어렵게 느껴질 수도 있지만 어디까지나 편견일 뿐이죠. 물론 보안 트렌드가 너무 빨리 변하기 때문에 공부를 많이 해야 하는 건 사실이에요. 가끔 제가 하는 일이 ‘퍼즐 맞추기’ 같다는 생각을 해요. 코드를 분석하고, 사건을 역추적해 보고 시나리오를 짜는 모든 일이 생각보다 굉장히 재미있답니다.”

안철수硏이 제안하는 내 컴퓨터 안전수칙

▶프로그램 업데이트는 필수=가장 중요한 것은 프로그램 업데이트다. 업데이트를 하면 컴퓨터를 재부팅해야 하니까 귀찮아하는 이들이 많다. 업데이트를 ‘자동 이체’의 개념으로 생각하자. 특히 윈도 운영 체계(OS)는 ‘자동 업데이트’를 설정해두면 한결 수월하다.

▶‘강력한’ 비밀번호 만들기=포털 사이트에서 비밀번호 변경 공지가 뜨면 ‘다음에 변경하기’를 습관적으로 누르고 있지는 않은지. 사이트마다 비밀번호를 변경하다 보면 나중에 비밀번호를 찾지 못해 헤매는 불상사가 있다. 심 연구원은 사이트별로 자신만 아는 특정 키워드를 잡는 등 패턴을 만들어서 비밀번호를 기억하라고 조언한다.

▶프로그램 설치 시 무조건 ‘Yes(예)’는 금물!=대부분 프로그램 다운로드할 때 번들(묶음)로 설치되는 경우가 많다. 이때 불필요한 프로그램이 설치되면서 PC 성능을 저하시킬 수 있다. 조금만 여유를 가지고 안내 문구를 살펴서 꼭 필요한 프로그램만 내려받도록 하자.

▶인터넷 뒀다 뭐 하니? ‘검색’은 나의 힘!=내 컴퓨터가 이상하다. ‘곧 괜찮아지겠지’ 하다간 큰코다친다. 컴퓨터에 나타나는 이상 증상을 검색해보는 몇 분의 수고가 훗날 큰 피해를 막을 수 있다. 물론 ‘제로 데이 공격(zero day attackㆍ대응책이 나오기 전에 취약점을 악용해 이뤄지는 공격)’의 경우 피해를 막기 어렵다. 보안전문가가 필요한 이유가 바로 여기 있다. 많은 보안전문가가 정식 대응책이 나오기 전까지 피해를 최대한 막을 수 있는 해결책을 제시한다.

 


댓글을 달아 주세요

  1. 행인 2011.05.02 01:12  Address |  Modify / Delete |  Reply

    와 정말 멋있습니다...