맥킨지 대신 IT 창업을 선택한 청년. 손성훈 스포카 부사장을 만나다.

[인터뷰] 포인트 적립 애플리케이션 'dodo'를 개발한 spoqa(스포카) 손성훈 부사장

- 맥킨지(McKinsey)를 버리고 IT 창업을 시작한 청년


"이거예요! 첫 사랑과 결혼한 거! 다른 연애도 안해보고 첫 사랑과 결혼한 것과 마찬가지에요. 세계가 얼마나 크고 여자들이 얼마나 많은데. 그리고 할 수 있는 것이 얼마나 많은데요. 더 재밌는 세계가 눈에 보였어요. 그래서 그렇게 어려운 결정은 아니었어요."

스탠포드를 졸업하고 맥킨지(McKinsey)에 입사하게 된 청년에게 퇴직 결정은 그리 어려운 선택이 아니었다. 맥킨지와의 인연을 첫 사랑과 결혼에 비유한 그의 말에서 더 넓은 세계로 나가고 싶어 하는 열정이 느껴졌다.

MBA 스폰 제의까지 받은 맥킨지 회사라는 복덩이를 차버리고, 두번째 사랑을 찾기 위해 한국 땅을 밟았다. 매력적인 한국 시장에서 그는 IT 창업에 대한 꿈을 키웠다. 지하철 2호선에서 왠지 모를 안정감을 느낀다는 그에게 한국인이라는 정체성이 영향을 미친 것인지도 모르겠다. 

포인트 적립 애플리케이션 'dodo'를 개발한 그의 이름은 Grant Sohn 손성훈. 지금은 직원 50명이 근무하는 회사 Spoqa(스포카)의 부사장(CSO)이다. 지난 25일 그를 만나기 위해 강남으로 발거음을 옮겼다.

호탕한 웃음소리와 함께 반갑게 맞이해주는 그의 모습에서 원래 알고 있었던 형처럼 친근함이 느껴졌다. 때로는 한국말이 서툴렀지만, 차분하면서도 말끝에 무언가 사람을 끌어들이는 듯 한 힘이 있었다. 회사의 비전에 대해서 말할 때 사뭇 진지한 모습과 눈빛은 열정을 보여주기에 충분했다. 아! 이 사람 IT맨 맞구나.

   Spoqa(스포카) 손성훈 CSO.


Q. 최고의 대학으로 손꼽히는 스탠포드 대학을 나왔는데, 특별한 비결이 있나요?

미국 학교들은 점수도 중요하지만, 그것보다도 특별함을 많이 보는 것 같아요. 점수 좋은 사람들은 많잖아요. 그래서 '이 사람은 다른 지원자들과는 다르다.' '뭔가 스페셜하다'라는 점을 보여주는 것이 중요해요. 리더십을 강조하는데, 고등학생 때 학생회장을 한 것이 도움이 되었죠. 그런데 학교마다 학생회장들은 다 있잖아요. 

좋은 고등학교에는 특별한 수업들이 있는데, 그 당시 우리 학교는 좋은 고등학교가 아니어서 그런 수업들이 없었어요. 그래서 그런 수업을 듣는 것이 부족하다고 생각해서 밤에는 전문대학교에서 수업을 들었어요. 낮에는 고등학교 수업을 듣고, 밤에는 대학교 수업을 들었죠. 그 부분을 대학교에서 좋게 봐준 것 같아요. 제가 그렇게 포장했죠. 그리고 그게 먹혔던 것 같아요. 하하

Q. 스탠포드 대학을 졸업하고, 맥킨지라는 회사에 들어가게 되는데, 그 당시 맥킨지를 들어가야 한다는 뚜렷한 목표가 있었나요?

저는 이왕 하는 거 홈런을 치고 싶었어요. '취직할거면 제일 좋은 곳에 취직을 해야겠다.'라는 생각이었어요. 그 당시 맥킨지는 대학생들도 전부 최고라고 인정하는 그런 회사였거든요. 3, 4학년 때 친한 선배님들이 맥킨지에 취직이 된 거예요. 그 모습을 보고 저도 용기가 생겼고, 욕심이 생겼죠. 그래서 맥킨지 회사에 대해서 조사하면서 '이 회사가 나에게 잘 맞겠다'라는 생각을 했어요. 그리고 준비를 해서 들어가게 되었죠.

Q. 맥킨지에서 2년 동안 생활을 하면서 실적도 굉장히 좋았고, 그 덕분에 MBA스폰 제의까지 받았다고 하는데요. 퇴직 결정을 하기가 쉽지 않았을 것 같아요.

그 당시 오히려 결정하기가 쉬웠어요. 이거예요! 첫 사랑이랑 결혼 한 거! 다른 연애는 안하고 첫 여자친구하고 결혼까지 한 거랑 마찬가지였어요. 세계가 얼마나 크고, 여자들이 얼마나 많은데. 그리고 할 수 있는 것이 얼마나 많은데! 더 재미있는 세계가 눈에 보였어요. 그래서 어려운 결정은 아니었어요.하하:D

Q. 그런데 굳이 한국에서 IT 창업을 한 이유가 있나요?

한국은 좁은 곳에 인구가 집중되어 있어요. 그리고 어느 곳에서나 와이파이를 이용할 수 있는 인터넷 인프라가 굉장히 잘 구축되어 있어요. 그리고 한국 사람들은 스마트 폰이라는 굉장히 좋은 하드웨어들을 대부분 가지고 있잖아요. 그래서 유행이 생기면 빨리 퍼져요. 바이럴 요소가 많은 거죠. 그런 면에서 IT 창업을 하기에 정말 좋은 시장인 거죠. 학생이든 아저씨든 IT관련 아이디어만 있으면 얼마든지 실험을 할 수 있는 시장이에요.

회사 입구에 보이는 도도 로고. 지금은 멸종 된 걸어다니는 '도도새'를 귀엽게 표현했다. '도도하다'라는 단어의 도도함이라는 의미를 가지고 있다고 한다. 


Q. 스포카라는 회사를 창업하게 되었고, 도도(dodo) 애플리케이션을 만들었는데, 어떤 계기가 있었나요?

그 당시 소셜커머스가 한창 뜨고 있었어요. 그 당시 '소셜커머스가 정말 점주들에게 실질적인 가치를 줄까?'하고 의심했어요. 한국에서 친해진 점주님들이 있어서 얘기를 들었는데, 반값으로 음식을 먹고 다음부터 오지 않는 사람이 대부분이라는 거에요. 그래서 '단골고객들에게 맞는 서비스는 없을까?'하고 생각을 했어요.

소셜커머스가 한 번에 고객들을 당겨오는 거라면, 저희 회사는 그 이후의 방안이라고 생각하면 돼요. 자주 오는 고객들에게 어떻게 잘해줄 수 있는지 말이죠. 스탬프 카드가 있는 이유도 단골고객에게 기억하게끔하고 더 자주오게끔하는 거잖아요. 그래서 그 서비스를 수월하게 만들어보자고 했죠.

Q. 이미 멤버쉽 카드나 스탬프 카드로 고객관리를 하고 있는데, 도도(dodo)만의 차별화된 전략이 있나요?

카드에 단점이 있어요. 고객 입장에서는 카드가 많을수록 지갑이 두꺼워지고 잊어버리기 쉬어요. 점주 입장에서는 카드가 얼마나 나가 있는지, 어떤 고객이 가지고 있는지 알 수가 없잖아요. 그 문제점들을 보완했어요. 

프로세스가 간편해요. 어플을 따로 다운 받을 필요가 없고, 스탬프를 받을 필요도 없이 번호만 입력하면 3초 만에 적립할 수 있어요. 점주 입장에서는 고객들의 흐름이나 정보들을 알 수 있고, 그 데이터를 통해 고객 성향에 맞게 마케팅도 할 수 있게 되었죠.

Q. 많은 고객 정보들을 가지고 있을 것 같은데, 개인 정보에 대해서는 어떻게 관리하고 있나요?

Spoqa(스포카)에게 정보 보안은 굉장히 민감한 문제예요. 최근 정보 유출 사건을 보면 Security 문화가 처음부터 잘 정착되어 있지 않아서 발생한 사건이라고 생각해요. 그래서 처음부터 Security 문화를 잘 만들려고 노력했어요. 먼저 특별한 관리자만이 데이터에 접속을 할 수 있고, 관리자가 접속하게 되면 기록이 남게끔 했어요. 또 개발자들이 유명한 해커 출신이라 해킹에 대해 잘 알고 있기에 장치들을 마련해놨어요. 신생 회사라서 실수가 있으면 회사에 타격이 크기 때문에 보안이 완벽할 수는 없지만, 신경을 많이 쓰고 있어요.

스포카의 사무실 내부. 직원들이 대부분 2,30대로 젊다. 열정적인 회의에서 젊은 분위기가 느껴진다. 


Q. 앞으로 스포카의 계획이나 비젼은 무엇인가요?

스포카는 아직 갈 길이 멀어요. 계속 점주님들을 도와주고 싶어요! 추가적인 아이디어가 몇 개 있어요. 다 얘기할 수는 없지만, 스포카를 통해서 점주님들과 함께 성장하는 기획을 마련하고 싶어요.

Q. 현재 창업을 준비하시는 많은 분들에게 조언 부탁드립니다.

창업을 준비하는 사람들이 시작을 할때 자신만의 어떤 이유가 하나씩 있잖아요. '시장이 매력적이다' 혹은 '아이디어 좋다.' 등등. 그런데 창업을 하게 되면서 힘든 순간에 이런 것들을 잊어버릴 때가 있어요. 그때 그 초심을 기억했으면 좋겠어요. 첫 걸음을 왜 했는지 이유가 있었을텐데, 그것을 계속 생각하면서 견뎠으면 좋겠다고 말해주고 싶어요.

Q. 취업을 위해서 공부하는 많은 대학생들에게도 한마디 부탁드릴게요~

사람마다 상황이 다르잖아요. 충분히 이해하는 경우가 있어요. 바로 돈을 벌어야 하는 사람도 있을 수 있잖아요? 그런 분들에게는 최대한 열심히 준비해서 좋은 회사에 들어갔으면 좋겠고요. 꿈에서 창업이 나타나고, 정말 안하면 후회할 거라고 생각하는 사람들. 알바하면서 조금 모은 돈이 있거나 같이 할 친구들이 있는 그런 분들에게는 대학생일 때 한번이라도 꼭 해보라고 말해주고 싶어요.^^ 


대학생 기자 김수형 / 경희대학교 경영학부

ksh5059@naver.com


댓글을 달아 주세요

  1. 긍정맨 혀니 2014.04.11 21:41 신고  Address |  Modify / Delete |  Reply

    인터뷰기사 잘봤습니다 ㅎㅎ

  2. 스포칸 2014.04.16 15:47  Address |  Modify / Delete |  Reply

    인터뷰 기사 잘 봤습니다.
    스포카 블로그에 스크랩 해도 될까요~?

스마트 IT 강국 이끄는 연구기관 ETRI를 가다

'창조기술로 사람과 기술, 환경이 서로 소통하는 스마트한 세상, 우리 후손들이 풍요롭고 안전한 삶을 영위하는 국민행복 시대를 이끈다.'    - ETRI -

 



한국전자통신연구원은 대전광역시 유성구 가정로에 위치한 정부출연 연구기관으로, 1976년 설립되어 대한민국 정보통신산업의 눈부신 성장을 이끌어온 글로벌 ICT 연구기관이다. 그동안 세계 최고, 최초의 기술을 개발하며 쉼없이 달려온 ETRI가 있었기에 지금의 IT 강국 한국이 있다고 자부할 수 있다. 과거 전쟁의 아픔으로 과학기술의 불모지였던 우리나라가 ICT 강국의 반열에 오른 것은 ETRI의 도전정신과 발전에 대한 의지가 이루어낸 성과이다.

1980년대 TDX 개발로 1가구 1전화 시대를 열어 우리 생활에 일대 변혁을 일으켰으며, 4M DRAM 개발을 시작으로 단숨에 세계 반도체 시장을 주도하기 시작했다. 1990년대에는 세계 최초 CDMA 상용화를 성공하는 쾌거를 이로써 다시금 세계를 놀라게 했다. 또한 2000년대에 들어서면서 이동통신 강국이라는 수식어와 함께 지상파 DMB, WiBro, 4세대 이동통신시스템 LTE Advanced를 개발했다.

그리고 최근에는 통신영역 뿐만 아니라 융합기술로써 조선분야에 첨단 ICT기술이 접목한 SAN 기술, 세계 최고 수준의 휴대형 한·영, 한·일 자동통역기술, 투과도 조절이 가능한 투명디스플레이 기술을 개발하는 등 ‘소통’과 ‘융합’의 시대를 이끄는 ICT 국가대표로서의 임무를 충실히 수행하고 있다. 

ETRI는 홍보전시관을 운영하여 국민들을 대상으로 월요일부터 토요일까지 주중 6일동안 전시관을 개방하고 있다.  전시관은 "유비쿼터스 세상을 여는 파이오니어"로 알려지면서 외국의 국가원수, 주한 외국인사절, 국가 고위직, 학생과 일반인 등 최근 3년간 관람객 수만도 80여개국 7천여명에 다다른다. 

현재 전시관에는 미래의 첨단 유비쿼터스 생활을 체험해볼 수 있는 429.7㎡ 공간에 9대 신성장 동력사업별 테마관으로 구분, 구축되어 있다.



UHDTV는 가정에서 70㎜ 영화보다 좋은 화질과 음질을 제공하는 차세대 방송 규격으로 슈퍼하이비전(SHV)이라고도  불린다. UHDTV는 기존의 HDTV보다 16배 높은 화소수(7680×4320)와 10내지 12비트로 색을 표현하고, 컬러 포맷도 4:2:2 이상으로 큰 화면에서 더욱 섬세하고 자연스러운 영상 표현이 가능한 기술이다.

 

'실감형 학습시스템'이라고 불리는 이 기술은 교과서의 그림을 3D로 부여주는 기술로 학습자의 집중력과 이해도를 향상시킬 수 있는 기술이다. 카메라에 교과서의 이미지를 비춰주면 우측의 사진과 같이 '닭'이미지가 3D로 구현되어 보여진다. 이 기술은 대전 일부지역 초등학교에서 시행하고 있다.

'LTE-Advanced'는 현재 상용화중인 LTE-A 기술(롱텀에볼루션 어브밴스드)로 2011년 ETRI가 세계 최초로 개발을 완료한 4세대 이동통신 기술이다. 이 기술은 LTE의 전송속도를 개선한 것으로 초당 600MB의 자료를 무선정송 할 수 있으며, 3세대 통신기술보다 42배가량 빠르다.

'바이오 셔츠'라고 불리는 이 운동복은 단지 입는 것만으로도 자신의 신체 데이터를 측정하고, 신체조건에 적합한 체육활동과 건강관리와 더불어 응급사고에 대비 가능한 미래형 스포츠웨어이다. 이 스포츠웨어는 전도성 섬유를 기반으로 제작되어 선수뿐만 아니라 노약자들이 심박수, 호흡수, 체온과 운동량등을 측정하는 생체정보 센서가 장착되어 있어 국민생활체육 전반에 확대되어 국민의 삶의 질 향상에 기여할 것으로 기대된다. 

'유무선 선박 통합 네트워크(SAN)'은 하나의 네트워크로 연결한 화면을 통해 선박 내의 엔진, 항법시스템, 제어기 등 모든 장치를 제어하고, 육상에서 수상의 선박을 원격제어할 수 있을 뿐만 아니라 간단한 소프트웨어 업그레이드를 통해 유지와 보수를 가능하게 해주는 기술이다. SAN이 적용된 선박들은  현재 덴마크 등의 세계 유수 해외 해운사에 수출되고 있으며, 이 기술로 하여금 대한민국은 '조선 + IT' 조선산업의 미래인 '스마트 조선'시대를 이끌 수 있다는 평가를 받고있다. 

ETRI는 지금까지의 성과를 발판으로 연구개발에 전력을 기울여 창조경제를 선도하는 연구기관으로서의 위상을 확고히 할 예정이다. ‘미래를 창조하는 ICT Innovator’를 비전으로 혁신형 연구성과 창출, 글로벌 IP경쟁력 확보, 세계수준의 선진경영체계 구축을 통해 대한민국을 넘어 세계 ICT산업의 미래를 책임질 창의적이고 혁신적인 기술 개발에 끊임없이 도전하는 ETRI의 앞날을 기대한다.


<미니 인터뷰 - 홍보팀 김희연>

- ETRI의 독자적인 기술은 어떤 것이 있나요?

TDX, DRAM, CDMA, DMB, WiBro, LTE-Advanced, 
자동통번역, OLED 등이 대표적 연구성과입니다지난 35년 동안 ETRI에서 개발한 여타 기술들의 총 파급효과를 분석하면 경제적 파급효과가 169조 8,095억 원(2011년 기준)에 이르는 것으로 나타나 ETRI가 우리나라 경제 발전에 크게 기여했음을 보여주고 있습니다.

- 상용화된 기술 중 대표적인 기술은 무엇인가요?

1980년대 1가구 1전화 시대를 연 “TDX”는 우리 생활에 일대 변혁을 일으킨 ETRI의 대표적 기술입니다당시 전화는 수동식으로 전화기 옆에 달린 손잡이를 돌려 자석 발전기를 이용하는 방식이었는데세계에서 10번째로 한국형 전전자교환기 개발에 성공했고 상용화 4년 만에 1가구 1전화 시대를 열었습니다또한 1990년대에는 세계 최초로 CDMA 상용화에 성공하는 쾌거를 이루며 다시 한 번 세계를 놀라게 했습니다.

- 국제적 협력상태는 어떤가요?

미국영국중국일본호주 등 30개국, 90개의 협력사가 있으며 개발도상국을 위한 Training program과 MOU 체결, ETRI Open House 등의 국제적 협력 활동을 운영하고 있습니다.


- 
앞으로의 목표슬로건에 대해 한 말씀 부탁드립니다.

미래를 창조하는 ICT Innovator’로서 창의성을 기반으로 과학기술과 ICT 융합을 통해 유무형 자산을 창출해 낼 수 있는 새로운 문화와 제도를 갖춘 창조경제 생태계를 구축하는데 이여창조경제를 견인하는 미래 상상연구소가 될 것입니다.

 Ahn

 

 

댓글을 달아 주세요

울랄라세션, 개그맨 김학도가 말하는 안랩

8월 30일 안성팜랜드에서 안랩스쿨이 열렸다. 안랩스쿨은 원래 1박 2일에 걸쳐 여러가지 강의를 들으며 워크숍 형식으로 진행되어 왔지만, 이번엔 'All for One, One for All"이라는 슬로건 하에 체육대회 형식으로 진행되었다. 이날 행사에는 안랩인 전체가 참여하여 아침부터 저녁까지 4개 팀으로 나누어 농구, 축구, 피구를 비롯해 에어볼 위 달리기, 노래 자랑 등 다채로운 게임이 진행되었다.

오후 5시부터는 울랄라세션의 깜짝 축하 공연도 있었다. 미리 공지가 되지 않은 공연이라 안랩인의 반응은 처음엔 다소 점잖았다. 그러다 분위기가 무르익자 모두 무대 앞으로 달려나가 흡사 스탠딩 콘서트 같은 열광적인 장면이 연출되었다. 울랄라세션 또한 그에 화답해 화끈한 무대 매너를 보여주었다.

공연에 앞서 이날 하루 종일 행사를 공동 진행한 개그맨 김학도씨와 울랄라세션을 아주 짧게 만나보았다. 김학도씨는 올해 데뷔 20주년을 맞은 동시에 셋째 아들도 얻은 뜻깊은 해를 보내고 있다. 연예인이기 이전에 가장으로서 책임감이 묻어나는 답변이 인상적이었다. 울랄라 세션은 무대가 아닌 곳에서도 유쾌한 끼를 발산하는 모습이 '천상 딴따라'라는 느낌을 주었다. 

"안랩인의 열정과 기백에서 많은 것을 배우고 갑니다"

▲ 개그맨 김학도

- 오늘 아침부터 진행을 맡으셨는데 같이 참여한 소감이 어떠신가요?

안랩은 사실 저에게 고통을 안겨준 회사입니다. 물론 주식을 얘기를 한 것이고요. 오늘은 저에게 기쁨을 안겨준 그런 시간이 됐던 것 같습니다. 오전 일찍부터 오후 늦게까지 행사를 하는 것은 그다지 많지 않은데 그동안 많은 행사를 해보았지만 이렇게 긴 시간 동고동락하면서 여기 계신 분들의 열정과 기백을 느낀 것 같아서 저도 참 좋은 시간이었고 많이 배우게 된 시간이었습니다.

- 올해가 데뷔 20주년인데 기분이 어떠신가요? 새로 다짐한 것이 있습니까?

2년 된 신인의 자세로 지금도 임하고 있습니다. 앞으로 지금까지 한 만큼 더 열심히 하는 자세로 앞으로 20년을 더 열심히 하겠습니다. 많이 응원해 주십시오. 고맙습니다.

- 얼마 전에 셋째를 득남하셨다는 소식 들었습니다. 어떠신가요?

잘 키우고 있고, 아이를 키우려면 많이 벌어야 하기 때문에 여러분이 많은 사랑으로 도와주셨으면 좋겠습니다. ^^

- 2004년에 가수로도 데뷔하셨는데 가장 기억에 남는 곡은 무엇인가요?

노래방에 나와 있는 '거짓말'이라는 노래인데, 김범룡씨가 작곡을 했고 제가 작사를 했습니다. TJ노래방에서는 14421, KY노래방은 45049번입니다. 많이 불러주시면 저에게도 저작권이 있기 때문에 도움이 많이 됩니다. ^^

- 요즘 관심사는 무엇인가요?

관심사는 항상 세상 돌아가는 것이지요. 행사가 많이 줄어들었습니다. 우리 개그맨들이 행사를 많이 해서 넉넉해졌을 때가 있었는데 지금은 조금 하락기인 것 같습니다. 경제가 좀더 좋아져서 많은 분이 같이 웃고 즐길 수 있는 날이 빨리 왔으면 좋겠습니다.

 

"안랩 없는 세상은 상상할 수 없어요"

▲ 울랄라세션(김명훈, 박광선, 군조)

- 안랩 행사에 참여하게 된 소감은 어떠신가요?

지금 춤이 절로 춰질 만큼 매우 즐겁습니다. 무대에 올라가기 10분 전인 것 같은데 오늘 이 무대에서 여러분을 불태워 드리도록 하겠습니다.

- 안랩 V3를 어떻게 생각하시나요?

안랩 V3는 저희 모두의 컴퓨터에 다 깔려 있습니다. 제 컴퓨터의 의사 선생님, 병원과도 같은 그런 존재이고 없으면 큰 일 납니다. 컴퓨터가 우리 주변의 수많은 바이러스에 감염되고 아파할 수도 있는데, 안랩이 없는 세상을 상상할 수조차 없네요. 

- 이번에 발표한 신곡 'FONKY'에서 설운도씨와 콜라보 작업을 하셨는데, 특별히 설운도씨와 작업하게 된 계기가 있습니까?

설운도 선배님을 평소에 매우 좋아하기도 했고, 설운도 선배님은 곡을 쓰는 아티스트이기도 하시기 때문입니다. 그렇기 때문에 저희가 직접 선배님을 찾아가서 부탁드렸고, 감사하게도 선배님께서 흔쾌히 허락해 주셨습니다.

대학생기자 김대희 / 경기대 컴퓨터과학과

대학생기자 이승건 / 성균관대 전자전기컴퓨터공학부

대학생기자 임지연 / 덕성여대 컴퓨터학과

 

 

댓글을 달아 주세요

  1. 전경련 자유광장 2013.09.02 16:42  Address |  Modify / Delete |  Reply

    우와 울랄라세션 말처럼 안랩없는 세상 상상할 수 없네요 :) 잘 읽고 갑니다~

사이버 테러 막는 망분리 솔루션 어떻게 구축할까

해킹의 패러다임이 변했다. 과거에 실력을 과시하기 위해 벌어졌던 해킹이 이제는 금전을 목적으로 한 해킹으로 탈바꿈했다. 정보는 돈이 되고, 중요한 정보일수록 그 가치는 커진다. 3.20 사건 외에도 크고 작은 보안 사고가 빈번한 요즘, 개인정보 보호는 또 하나의 뜨거운 이슈이다. 


하나에 10원 꼴로 팔려나간다는 개인정보, '중국에 이미 내 개인정보는 다 팔려갔다'는 웃지 못할 말이 현실인 2013년 현재. 어떻게 하면 개인정보를 지킬 수 있을 것인가, 더 나아가서 어떻게 하면 해킹사고를 예방하고 정보보호 시장을 활성화할 수 있을 것인가, 이 뜨거운 이슈에 대한 뜨거운 관심을 증명이라도 하듯 지난 6월 20일에 코엑스에서 열린 '개인정보보호 페어 2013'에는 비집고 들어가야 할 만큼 많은 인파가 몰렸다. 



3.20 사건 이후, 사이버 테러를 대비해 많은 기관과 기업에서 '망분리' 솔루션을 검토하고 있다. 업계 추정에 따르면 2013년 현재 망분리 시장 규모는 200억원, 2016년에는 1000억원까지 성장할 것이라고 예측하고 있다. 2013년 2월 18일, 정부에서 정보보호 등에 관한 법률 시행령을 개정해 일정 규모 이상의 기업이나 기관에서는 망분리를 의무적으로 해야 하는 상황도 망분리 시장 활성화에 한 몫을 했다. 


개인정보보호 페어 2013의 A트랙 마지막 시간, 정보보호의 화두로 떠오른 망분리 솔루션에 대해 안랩의 권진욱 부장의 <효율적인 망 분리 도입을 위한 가이드>는 주제로 발표가 진행되었다. 다음 내용들은 발표의 내용을 정리한 것이다.



망분리 솔루션은 왜 핫한 이슈가 되었나


기존의 사이버 테러는 단일한 악성코드에 의한 것으로, 감염 PC에 국한된 피해를 입히고 불특정 다수를 공격하는 경향을 보였다. 그러나 최근의 사이버 테러는 다르다. 모듈화된 악성코드가 사용되고 그 악성코드가 업데이트되며(Advanced), 장기간에 걸쳐 취약한 곳을 찾기 위해 은닉하며 한번 공격이 시작될 경우 2차, 3차 공격이 이루어지고(Persistent), 불특정 다수에서 특정한 대상을 탐색해 공격하는(Targeted Threat) APT가 행해지고 있다. 


3.20도 마찬가지로 APT 형태의 사이버 테러였다. 다양한 기술과 여러가지 공격 방식으로 특정 대상에게 지속적인 공격을 하는 APT공격. 전통적인 보안 솔루션으로는 방화벽, 차세대 방화벽, 침입차단시스템(IPS), 유해 사이트 차단 시스템, 안티바이러스 등이 있으나, 이들만으로는 더이상 고도로 지능화된 APT에 대응할 수 없다. 


뚫으려는 자의 방식이 발전한다면 막으려는 자의 방식 또한 발전하는 법. APT공격에 대응하기 위해 망분리 솔루션에 관한 관심이 고조되었고, 3.20 이후 망분리에 관한 관심이 달아오르기 시작했다. 알려진 공격에 대해서만 대비할 수 있었던 이전 보안 솔루션에 비해, 망분리는 인터넷으로부터의 보안 위협 자체를 모두 차단하는 것은 물론, 새로운 보안 위협 또한 차단할 수 있고 여러 보안 솔루션으로 구성된 보안 체계보다 훨씬 높은 수준의 보안 체계를 구현할 수 있다는 이점이 있다. 망분리 솔루션은 APT의 효과적인 대응책으로 떠오르며 핫한 이슈가 되었다. 




망분리란 무엇인가


망분리란, 인터넷 영역과 업무 영역을 동일한 하나의 네트워크에서 사용하는 방식 대신 

물리적 또는 논리적(가상화) 기술을 이용하여 네트워크 및 PC를 분리하는 것을 의미한다.


즉, 네트워크 망을 나누어 외부의 침입으로부터 내부의 자료를 안전하게 할 수 있는 방법이 망분리 솔루션이다. 정부는 2006년부터 해킹 대처 방안을 수립해 시법사업을 완려하였고, 2010년부터 망분리 사업을 진행, 확대하고 있다. 2010년 이전까지는 물리적 망분리에 관심이 있었다면, 2010년 이후부터는 논리적 망분리로 관심이 옮겨가고 있다. 물리적 망분리는 2대의 PC를 이용하거나, 망분리 전환 장치를 이용하거나, 멀티 PC를 이용하는 것으로  실행할 수 있고, 논리적 망분리는 SBC(Server Based Computing)방식이나 터미널 서버를 이용하는 것으로 실행할 수 있다. 


2009년까지는 국가 기관의 망분리를 2대 PC를 이용하는 물리적 망분리를 원칙으로 했고, 불가피한 경우에만 논리적 분리가 허용이 되었다. 그러다가 2010년부터 가상화 기술을 이용한 논리적 망분리가 검토되기 시작했고, 2011년부터는 논리적 망분리 도입이 본격화 된 상태이다. 또, 정통망법에 따라 전년 말 기준 직전 3개월간 평균 100만명 이상의 개인정보 보유 사업자, 혹은 정보통신 서비스 부문 전년 매출액 100억 이상인 사업자는 온 오프라인 경로에 상관 없이 망분리를 의무적으로 시행해야 한다.  




망분리 방식 비교 및 고찰


제일 간단한 방식은 물리적 망분리 방식이다. 새로운 망을 구축하고 인터넷만 쓸 수 있는 PC를 따로 두는 것이다. 물리적 망분리는 물리장비가 늘어나는 것이기 때문에 무엇보다도 보안의 가시성 확보가 쉽다. 하지만 치명적인 약점들이 있는데, 대표적인 경우가 USB를 통한 감염이다. 인터넷망에서 USB를 통해 업무PC로 전달되는 케이스들이 발생한다. 그래서 공공기관에서 물리적 망분리를 도입할 경우 보안 USB를 사용하거나 두 영역간의 파일 교환을 위한 부가적인 망 연계 솔루션을 같이 도입하도록 한다. 


다음으로 랜카드를 추가로 설치하는 방법이 있다. 그렇게 되면 업무서버와 인터넷망을 자유롭게 오갈 수 있으나, 관리가 제대로 되지 않는다면 망분리 효과를 볼 수 없게 되는 단점이 있다. 물론, 물리장비를 설치하기 위한 설치공간이 필요하고, 설치한 장비만큼 소비전력도 늘어나게 된다. 또한 운영하기 위한 예산이 많이 필요하다는 단점도 존재한다.


논리적 망분리 방식으로는 서버 기반과 PC기반 두 가지 방식이 있다. 


서버 기반의 논리적 망분리 방식은 인터넷을 연결하는 망 쪽에 가상 서버를 두는 방식이다. 그렇기 때문에 인터넷에서 악성코드가 들어온다 하더라도 가상서버에만 영향을 미칠 뿐, 업무서버에는 영향을 미치지 않는다.  그러나 물리적 망분리 만큼의 예산이 필요하고, 다양한 인터넷 환경에 대한 호환성을 검증해야 한다는 단점이 있다.


PC 기반의 논리적 망분리 방식은 기본적으로 사용자 PC와 인터넷 망 사이에 망분리 게이트웨이를 두는 방식이다. 낮은 비용으로 물리적 망분리 수준의 보안성을 확보할 수 있고, 영역 전환이 편리하여 편의성이 좋다. 또한 구축 기관도 짧은 편이다. 그러나 다양한 PC에 대한 호환성 검증이 필요하다.


어떤 방식이 가장 좋다고 할 수는 없다. 각 기업이나 기관의 업무 스타일에 맞추어 최적의 망분리 방식을 적용해 구축하는 것이 좋다. 물론, 망분리를 구축할 수 없는 사례도 존재한다.




망분리 구축을 어떻게 체계적으로 할 것인가?


망분리 솔루션을 도입하기 위해서는 기존 보안 제품을 도입하는 것과는 다른 프로세스를 필요로 한다. 첫째로 환경분석을 해야하고, 구축을 한 뒤에는 안정화 단계를 거쳐야 한다.


환경분석은 사용하는 소프트웨어, 인터넷 등을 분류하는 단계이다. 쉽게 말해서, 사용자가 사이트에서 쓰는 소프트웨어들, 사용자가 접근하는 인터넷, 우리 업무 서버가 어떤 것들에 접근하는지, 혹시 외부와는 연결이 되어야 하는지, 내부 업무망쪽의 PC들은 어떻게 업데이트 할 것인지 등등을 분석하는 과정이다. 즉 요구사항들을 분석하는 것이다. 망분리 게이트웨이 구성을 위한 네트워크를 분석하고, 업무 및 사용 프로그램 분석을 통해 망분리 환경을 구성하고, 사용자의 업무 연속성을 보장할 수 있는 대책을 마련하는 과정이 모두 포함된다. 


환경분석한 결과를 토대로 망분리 솔루션 및 제반 시스템을 구축한다. 파일럿 운영, 시범 설치를 통해 계속해서 장애를 최소화 한 뒤에 점차 확산을 시키는 것이다. 망분리 솔루션, 망 연계 솔루션을 구축하고 메일 서버를 분리하는 등의 작업이 구축 단계에서 행해진다. 이렇게 인프라 구축을 하고 나면 안정화 단계를 거치게 되면 망분리 솔루션을 통한 보안성을 확보하게 되는 것이다. 로 보안성을 확보하게 되는 것이다.


확실히 다른 일반 IT인프라를 구축하는 것에 비해 힘들고 손이 많이 가지만, 망분리 구축을 하면 많은 보안 위협으로부터 안전해질 수 있다.




이게 최선입니까? 확실해요?


업무서버와 인터넷망을 분리하는 방법이라니. 그럼 망분리만 된다면 보안 이슈는 사라지는 것 아닌가? 애석하게도, 망분리 솔루션이 모든 보안 이슈를 해결하는 솔루션은 아니다. 그럼 소용 없는 것 아닌가? 그건 또 아니다. APT에는 분명히 효과적인 대응 방안이다. 


보안위협은 계속해서 새로워질 것이다. 가장 안전하다고 생각했던 방법도 결국에는 무용지물이 되는 떄가 온다. 뚫으려는 자는 계속해서 새로운 방법을 찾아낼 것이고, 막으려는 자는 계속해서 새로운 공격에 대한 대응을 찾아낼 것이다. 망분리는 분명 현재 APT에 효과적으로 대응할 수 있는 방법이고 최선의 방법일지도 모른다. 하지만 보안의 세계에서 영원히 확실한 방어 방법은 존재하지 않고, 존재하지 않을 것이고, 존재 할 수 없을 것 같다. 우리는 늘 최선의 방법을 찾기 위해 노력해야 하고, 허를 찌르는 공격에 한 번 당하면 반복해서 당하지 않도록 노력해야 한다. 


망분리 솔루션이 효과적인 대응이 되지 못하는, 위태로워지는 날이 언젠가는 올 것이다. 늘 경우의 수를 생각하며 여러가지 방안을 끊임없이 모색하는 것, 그것만이 우리가 할 수 있는 최선의 해결책이 아닐까. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 정바 2013.07.04 12:34 신고  Address |  Modify / Delete |  Reply

    많이 배우게 되는 글이네요~~

파워 블로거의 품격은 어디서 나올까

요즘 마케팅, 사업, 취미, 검색 등 블로그가 다양한 방면에서 이용되고 있다. 블로그의 뜻은 '보통 사람들이 자신의 관심사에 따라 자유롭게 글을 올릴 수 있는 웹 사이트'를 의미한다.

블로그가 성행하는 이유와 블로그의 특징은 무엇일까?

블로그는 자신의 이야기를 펼칠 수 있는 공간을 제공한다. 블로그는 현대인의 '일기장' 같은 역할을 한다. 책을 읽고 느낀 점을 쓸 수도 있고, 맛있는 음식점을 추천할 수 도 있고, 나만 알고 있는 화장법을 기록하는 등 인터넷이라는 매체를 통해 다양한 콘텐츠를 넣어 블로그 공간을 자유롭게 채울 수 있다. 따라서 기존 아날로그 일기장이나, 주로 지인에게 공개되며 비교적 간단한 글을 올리는 SNS와는 다른 매력을 가지고 있다. 한 마디로 블로그는 인간의 표현의 욕구를 현대인의 방법으로 채우는 수단인 것이다.

그리고 블로그는 관심사를 쉽게 공유할 수 있다. 블로그는 각각 특성이 있는데, 예를 들어 IT, 음식, 레저, 농업 등 관심 있는 분야의 정보를 해당 블로그에서 쉽게 얻을 수 있다. 또 포스팅에 '태그' 기능을 통해 검색에 노출되기 때문에 쉽게 블로그를 매체로 정보를 찾을 수 있다. 포털 사이트에 블로그 검색 기능도 정보 공유에 한 몫을 한다.

블로그의 글을 올리는 활동 혹은 게시물을 포스팅이라 하는데, 포스팅은 사업자가 아닌 개인이 자신의 경험을 바탕으로 하기 때문에 광고와는 다른 정보를 제공한다. 사람들은 개인의 경험이 담긴 정보에서 신뢰감을 얻는다. 그 결과 블로그를 이용한 '블로그 마케팅'이 발생했고, 블로그 마케팅 교육, 블로그 마케팅을 사업으로 하는 회사, '파워 블로거'를 직업으로 하는 사람 등 이를 이용한 수익성 사업이 발생하기에 이르렀다. 그만큼 블로그는 현대인에 삶과 밀접한 공간이 되었다. 

하지만 블로그를 이용한 과장 마케팅과 불정확한 정보, 사용자의 정보의 오남용 때문에 다양한 문제점이 발생하기도 한다. 깨끗한 인터넷 문화와 IT 산업의 발전을 위해 블로그를 본연의 목적에 맞게 이용하고 블로거로서 지켜야 할 에티켓을 잊지 말아야 할 것이다.

댓글 토론 유발로 파워 얻은 '대연 박지용'

그런 의미에서 소위 '파워 블로거'는 '블로거의 품격'을 보여주는 기준이 된다고 할 수 있다. '파워 블로거'란 말그대로 개인 블로그를 운영하는사람 중 힘이 있는 블로거를 의미한다. 블로거의 '파워'는 잘 정리된 글과 유익한 포스팅으로 대중에게 좋은 영향을 미칠 때 그 힘이 발휘된다.

'파워 블로거' 가운데 2010년도 싸이월드 블로그상을 받은 박지용씨를 만나 보았다. 그의 블로그를 둘러보면 다양한 사회 문제, 책, 여행, 일기 등의 갈래를 통해 한 남자의 머릿속을 들여다볼 수 있다. 그의 진솔한 수기와 잘 정리된 글은 많은 이웃을 잡아 당겼다. 특히 깊은 생각이 담긴 사설과 서평은 '댓글'로 이어지는 토론과 공유를 통해 퍼져나갔고, 상을 받게 된 포스팅은 책에도 실렸다. '파워'를 가진 그의 비결을 들어보았다. 


<출처: 박지용씨 블로그>

-간단한 자기 소개 부탁드립니다.

안녕하세요, 저는 박지용이고 30살이고 서울에 거주 중입니다. 현재 회사에 다니고 있습니다.

-블로그를 처음에 어떻게 시작하게 되셨나요?

제 생각을 남기기 위해 블로그를 시작하게 됐어요. 저는 평소 책을 읽는 것을 좋아하고 생각을 많이 하는 편인데, 제가 했던 생각이 시간이 흐르면 기억이 나지 않고 없어진다는 게 아쉬웠어요. 그래서 책을 읽고 생각하는 바나 다양한 주제에 대한 생각을 블로그에 남기면서 활동을 시작하게 되었어요.

-블로그가 유명해진 계기나 특별한 활동이 있나요?

사람들이 검색을 하면서 제가 쓴 글을 읽으러 오는 사람들이 생겼고, 점점 늘어나게 되었어요. 처음에는 만화책이나 책에 대한 서평을 많이 썼고, 후에 다양한 주제로 글을 쓰기 시작했습니다. 

-싸이월드 블로그 상은 어떻게 받게 되었나요? 

싸이월드 블로그 상에 대한 광고를 보고 지원했는데, 운 좋게 당선되었어요. 책으로 출판되기도 했어요.

-블로그 활동을 위해 노력하는 점이 있습니까?

글 쓰는 일을 좋아해서 대학 때 일부러 교양으로 글쓰기 수업을 들었고, 회사를 다니면서도 글쓰기 학원을 다녔습니다. 이런 점이 블로그를 운영하는 데 많은 도움이 된 것 같습니다.

-블로그를 하면서 좋은 점이 있다면 무엇입니까?

제 생각을 다른 사람과 공유할 수 있는 점이 좋아요. 댓글로 의견을 교환할 수도 있고요. 또 공유되는 것을 확인하는 즐거움도 커요. 예를 들자면 방문자 수가 10, 20, 100, 200 올라갈 때마다 묘한 즐거움이 있어요. Ahn

 


대학생기 고은정 / 경희대 전자전파공학과 

성공은 자주 웃고 많이 사랑하는 것이다.


 

댓글을 달아 주세요

APT를 알면 사이버 테러 이길 해법이 보인다

최근 발생한 3.20 사이버 테러에서 보았듯이 특정 대상을 상대로 핵심 기밀정보를 빼내려는 사이버 위협이 날로 지능화함에 따라 보안의 중요성은 더욱 커지고 있다.

이에 효과적인 대응 방안을 모색하기 위해서 지난 5월 14일 머니투데이와 데일리시큐가  ‘금융보안·개인정보보호 페어’를 열었다. 이 자리에는 안랩을 비롯해 20여 개 보안 전문 업체가 참가해 금융보안과 개인정보보호 관련 최신 제품과 기술을 소개했다. 또한 ‘스마트 융합 시대에 필수적인 개인정보보호와 금융보안’을 주제로 차세대 금융 보안 구축 방법을 비롯해 다양한 보안 사고 예방을 위한 방법을 소개했다.

그 가운데 안랩 마케팅실 윤상인 차장은 ‘다차원 분석을 통한 APT 대응 방안’을 주제로 발표했다. 그는 안랩에서 자체 개발한 다양한 분석 방법으로 보안 위협에 철저히 대응할 해법을 소개했다. 다음은 주요 내용. 

지능적이고 장기적으로 가해지는 APT 공격

최근의 보안 위협은 과거의 것과는 양상이 확연히 달라졌다. 과거에는 단일한 악성코드를 가지고 감염 불특정 다수를 대상으로 PC에 국한된 공격을 했다. 하지만 최근에는 특정 공격 대상을 겨냥해 기존 보안 제품을 우회하고 새로 발견되는 보안취약점을 악용해 모듈화한 악성코드를 생성하고 장기간에 걸쳐 공격 성공 시까지 은닉하는 방법을 사용한다. 이른바 'APT'이다. 

APT(Advanced Persistent Threat)

‘지능형 지속 공격’이라고 하며, 특정 타깃을 노려 지속적인 공격을 하는 것을 말한다. 악성코드를 이용하여 정보 유출뿐 아니라 시스템 파괴를 일으키는 공격이다. 정치적 목적의 사이버 테러, 정보 유출 등 다양한 목표와 방법을 가지고 있다. 일례로 3.20 전산망 마비 사고가 있다. 국내 방송사 및 은행 전산망을 동시에 마비시킨 보안 사고로 32,000여 대의 서버와 PC에서 시스템 장애 현상, 하드 디스크 파괴 현상이 발생하였다.

1~2년 전부터 APT가 언론에서 많이 회자되었지만 실제 APT를 잘 아는 사람이 많지 않다. 2012년 말 ISACA(정보시스템감사통제협회)에서 글로벌하게 1500명의 보안 인력을 대상으로 설문조사를 진행했다. 조사 결과에 따르면 APT를 어느 정도 알고는 있지만, 실제 APT를 어떻게 막을 것인가라는 질문에는 애매한 답변이 대부분이었다고 한다. 

최근 발생한 사고 현황을 보면 2010년 이전까지는 APT 공격의 대상이 주로  정부기관었으나, 구글을 공격한 '오퍼레이션 오로라' 이후 민간까지도 공격이 확장되는 흐름이 있었다. 

APT 공격 배경에는 정치적 목적, 경제적 목적, 군사적 목적이 있는데, 공통적으로 범죄 조직이나 국가 정보기관, 핵티비스트 단체와 같이 막강한 배후 세력이 존재한다. 악성코드를 제작하는 세력은 멀티 엔진 분석 사이트나 언더그라운드 플랫폼 검증을 통해 기존 시그니쳐(signature) 기반 보안 솔루션을 우회하는 신종 악성코드만을 APT 공격에 이용한다. 때문에 방어하기 힘들 수밖에 없다.

APT에 대한 오해와 진실

1. APT 공격은 숙련된 해커만이 가능한가?

NO. 에코시스템처럼 제로도의 취약점을 이용한 악성코드를 사고 팔고하는 블랙마켓이 활성화해 있다. 그렇기 때문에 꼭 숙련된 해커 사이에서만 이뤄지는 게 아니라고 할 수 있다.

2. 알려지지 않은(Unknown) 악성코드가 APT 공격을 일으키는 주범인가?

YES or NO. 주범은 알려지지 않은(Unknown) 악성코드라고 봐도 되지만 기존의 다양한 APT를 분석해보면 알려진(Known) 악성코드와 적절히 조합이 되어서 공격을 했다. 따라서 APT 대응을 위해서는 알려진 악성코드까지도 대응할 수 있는 연계 대응 방안이 필요하다.

3. 기존 보안 솔루션은 알려지지 않은 악성코드를 탐지하고 차단 가능한가?

NO. 기존 시그니쳐 기반 보안 솔루션은 알려지지 않은 악성코드를 탐지하는 데 어려움이 많다.

4. APT 위협은 정부기관 또는 대기업만 타깃으로 하는가?

NO. 보안 취약점을 가진(보안 정책상 허술한) 하위 소규모 기업을 1차 타깃으로 2차 중간 업체, 3차로 그 상위 기관, 최종적으로 상급 기관을 공격하는 것이 최근 APT 공격의 패턴이다.

정부기관, 온라인 뱅킹도 공격 대상

조달청이 운영하는 나라장터 해킹이라고도 알려진 입찰 참여 건설 업체/지자체 PC 해킹 사건이 대표적이다. 정부의 건설 사업 관련해 최저가 입찰을 하는데 모 건설사에서 경쟁사의 입찰 가격을 알아내도록 해커에게 요청한 사건이다. 2007년부터 수십 억원에 달하는 비용을 불법적으로 취득했다. 이는 persistent한 경우는 아니지만 Advanced하고 Targeted한 공격이, 보안이 허술한 하청기관을 뚫는 것이 얼마나 효과적인지 보여주는 사례이다.

온라인 뱅킹 시 파밍 사이트로 접속하게 유도하는 사고도 자주 일어난다.

파밍(Farming)

이용자 PC를 악성코드에 감염시켜 이용자가 인터넷 '즐겨찾기' 또는 포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로 접속하여도 피싱 사이트로 유도되어 범죄 관련자가 금융 거래 정보 등을 몰래 빼가는 수법

일반적으로 사용자의 금융 정보를 가로채기 위해 공격자는 악성코드 감염을 통해 사용자의 호스트(hosts) 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화했기 때문에 대부분의 보안 프로그램은 사용자 시스템의 호스트 파일을 모니터링하여 변경 사실을 사용자에게 알리거나 변경 자체를 방어하기도 한다. 

최근 피해 사례가 증가하는 파밍 사이트로 접속을 시도하는 피해 시스템을 확인한 결과, DNS IP의 변경이나 호스트 파일의 변조가 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다.

악성코드 다차원 분석이 해법이다  

전통적인 보안 솔루션만으로는 고도로 지능화된 APT를 차단하는 것이 불가능하다. 방화벽(FireWall)은 네트워크 접근 통제로 악성코드 유입을 차단하기 때문에 허용된 주소로 들어오는 악성코드는 차단할 수 없다. 애플리케이션을 통제하는 차세대 방화벽(Next Generation FireWall) 역시 악성코드를 탐지하기 어렵다. 

또한 침입차단시스템(IPS)은 네트워크 기반 툴을 이용해 악성코드 유입을 차단하기 때문에 파일 기반 분석이 필요한 악성코드는 탐지할 수 없다. 악성 URL을 차단하는 유해 사이트 차단 시스템은 허용된 사이트를 거쳐 유입되는 악성코드는 차단할 수 없다. 기존 안티바이러스(AV) 솔루션 역시 알려지지 않은 악성코드는 탐지하기 어렵다.

어떤 과정을 거쳐서 다차원 분석 기술이 나오게 되었을까?

1세대 - 기존의 안티바이러스 제품군

악성코드가 대응센서에 유입이 되면 안랩과 같은 연구기관에 샘플이 전달이 되고 분석이 된 결과에 따라서 악성이라고 판단이 되면 엔진이 업데이트 되는 형식이다

즉, 1세대 시그니쳐 기반 악성코드 대응의 방식에서는 최초의 피해자가 존재해야 한다는게 특징이다. 대응시간도 2-3시간이 걸리므로 현재의 위협이 되고 있는 지능적 공격을 막기에는 역부족이라는 판단이다. 즉 패시브한 방식!

2세대 - 클라우드 기반 악성코드 대응

1세대 방식보다 좀 더 능동적인 방법으로 진화된 것이 많은 글로벌 대응 업체들이 시도를 하고 있는 클라우드 기반 악성코드 대응 방안이다. 클라우드에는 최신의 악성코드 정보가 들어 있게 되고 만약 클라우드 상에 정보가 없을댄 의심 파일을 클라우드 서버로 전송을 하게 되고 클라우드의 백엔드 상에는 다양한 정적 분석엔진 동적 분석엔진 그리고 전문가들의 수동 분석을 통해서

시그니쳐를 자동 또는 반자동으로 추출을 하게 되는 과정을 거치게 되는 것이다.

1세대 시그니쳐 기반 분석에 비해서는 효과적이지만 파일 자체가 유출될 수 있는 보안상의 문제점이 발생할 수 있는 단점이 발생한다.


안랩의 APT 방어 솔루션인 '안랩 트러스와처'

3세대 - 다차원 악성코드 분석 및 대응

1세대와 2세대의 효율성을 유지하면서 언노운(Unknown) 악성코드를 적극적으로 탐지하기 위해서 사용된 방법이다. APT 공격이 순수하게 언노운 악성코드만이 이루어진 공격이 아니기 때문에 최신 악성코드 정보를 가지고 있는 클라우드 또는 시그니쳐 기반의 로컬 데이터베이스를 적극적으로 활용하는 것이 최신의 트렌드이다.

다차원 분석의 핵심은 바로 평판 기반 분석 방법, 행위 기반 분석 방법, URL/IP 탐지, 연관 관계 분석이다. 

평판 기반 분석 방법은 파일 자체가 언제 최초로 유입됐는지, 얼마나 글로벌하게 퍼져 있는지, 혹은 도메인이 언제 등록됐는지 분석하는 것이다. 행위 기반 분석 방법은 분석 머신 자체에서 악성코드를 실행하고 어떤 OS 상의 행위 변화가 일어나는지 분석하는 방법이다. 

URL/IP 탐지 분석 방법은 단순히 특정 IP에 연결이 됐는지, 특정 URL에 접속이 됐는지를 보는 것이 아니라, 특정 IP 또는 URL에 관련된 도메인들이 어떤 개별적인 악성 스코어링을 가지고 있는지 분석하는 것이다. 연관 관계 분석 방법은 A라는 파일을 분석할 때 해당 파일에 관여하는 시스템 파일들 2차 3차 부가적인 연관 파일들까지도 분석하는 것을 말한다.

동적 컨텐츠 분석 엔진(DICA; Dynamic Intelligent Content Analysis)은 문서, 동영상, 스크립트 등 non-PE 악성코드를 탐지하기 위해 최적화된 악성코드 분석 엔진이다. 문서 파일 형태의 알려지지 않은 (Unknown) 애플리케이션 취약점에 대응하기 용이하며 알려진(Known) 취약점을 이용하는 변종 non-PE 악성코드 탐지에 최적화해 있다.

최신 공격 기법 ROP까지 막아내는 '트러스와처'

한편, 최근 들어 해커들이 많이 이용하는 ROP 기술에 주목할 필요가 있다. 

ROP(Return-Oriented Programming) 공격 기법

운영체제(OS) 메모리 상에 존재하는 정상 코드 조각들을 조합해 악의적인 공격 코드를 실행시키는 방법. 최근 APT 공격에 많이 이용된다.

얼마 전 MS사에서 보안 소프트웨어에 대한 컨테스트(BlueHat Prize)를 열었는데, 1~3등 모두 ROP 관련 기술이 들어가 있었다. MS는 이 컨테스트를 개최한 후에 자체 보안 유틸리티에 ROP 방어 기능을 추가하기도 했다. 거대 기업도 주목하는 기술인 만큼 대비가 필요하다. 

안랩의 APT 방어 솔루션인 '안랩 트러스와처(AhnLab TrusWatcher)'(글로벌 제품명 AhnLab MDS)는 ROP 공격 기법을 사용하는 비실행형 악성코드까지 탐지한다. 단순히 탐지에 그치는 것이 아니라 대응까지도 할 수 있는 제품이다. 즉, 탐지된 악성코드를 다운로드한 PC를 찾아 악성코드를 자동/수동 치료한다. 

또한 트러스와처는 다차원 분석(행위 기반 분석, 동적 컨텐츠 분석) 기술로 알려진(Known) 악성코드는 물론 알려지지 않은(Unknown) 악성코드를 모두 탐지하고, 해당 악성코드는 자동 치료/삭제해 실시간 대응이 가능하다. 악성코드 수집-분석-모니터링-대응까지 이어지는 Full Process를 제공하기 때문에 비즈니스 연속성을 도모할 수 있다. 아울러 단일 장비로 다양한 인터넷 프로토콜을 수용하며 비용 효율성이 높다. Ahn



대학생기자 박규영 / 연세대학교 건축학과

                  



댓글을 달아 주세요

편리하고도 안전한 BYOD 환경 어떻게 만들까

지난 4월 25일 서울 JM메리어트 호텔 그랜드볼룸에서 <제 8회 NES 2013-차세대 기업보안 세미나&전시회> 가 열렸다. 올해 NES 세미나에서는 '지능형 위협과 기업 보안, 안전한 BYOD 환경 구축' 을 주제로 안랩(AhnLab)을 비롯한 많은 IT, 보안 회사들이 급변하는 IT 및 위협 환경에 대응하기 위해 주목해야 할 최신 보안 위협 이슈와 동향, 대응 방안을 논의하였다. 

현재 화두인 'BYOD((Bring Your Own Device)의 보안'에 대한 발표 중 지란지교소프트 윤두식 본부장의

BYOD를 위한 효율적인 모바일 보안 구축 방안과 사례를 관심있게 들었다. 다음은 주요 내용을 정리한 것이다.


BYOD란 Bring Your Own Device의 줄임말이다. 스마트폰 BYOD를 통한 스마트워크 구현이 용이한 시대가 열렸다. 그런데, 아이러니하게도 BYOD와 스마트워크는 근본적으로 추구하는 목적이 다르다.

개인자산, 프라이버시, 업무 편의성, 개인 경쟁력 강화, 다양한 단말을 추구하는 BYOD와는 다르게  스마트워크는 기업정보, 사내 업부 통제/감사, 기업 정보보안, 기업경쟁력 강화, 일관된 관리를 추구한다. 

그렇다면, 어떻게 해야 이 두 가지가 상호보완 관계로 나아갈 수 있을까? 먼저 그 둘 사이의 차이를 진단하고 해결해야 한다.

현재, 모바일 분야의 핵심 보안 이슈는 △단말기 내 개인 및 기업의 정보보호(단말 위협), 모바일 오피스를 통한 중요 정보의 유출 방지(디지털 정보 위협), △디바이스(카메라 등)를 통한 사내 정보 유출 방지(기반시설 위협) 등이다.

다양한 보안 위협은 응용 프로그램, 애플리케이션, 플랫폼, 단말기, 서버 및 네트워크를 겨냥한다. 응용 프로그램을 위협하는 것은 악성 애플리케이션, 악성코드, 앱 위·변조 등이며, 플랫폼을 위협하는 것은 루팅·탈옥, OS보안 취약점 등이다. 단말기에서는 도난·분실, 데이터 노출 등이 서버 및 네트워크에서는 Wi-Fi 해킹, 비인가 AP 등의 위협이 있다.

이를 해결하기 위해 현재 모바일 기기 보안을 위한 여러가지 가이드 라인이 존재한다. NIS(국가정보원)가 스마트폰 보안 규격을, 금융감독원이 스마트워크 정보보호 가이드라인을 행정안전부가 모바일 전자정부서비스 보안 가이드라인을 내놓았다. 이를 종합해 분석 해보면 다음과 같다.

▲ 모바일 기반의 실 업무 환경에 따른 보안 대책                                                                                    

이처럼 안전한 모바일 업무 환경의 기반은 MDM이다.

보안과 사용자 권리 사이 균형점 찾기가 관건

MDM(Mobile Device Management)은 휴대폰 정보의 유출을 막는 솔루션이다. 즉, 위에 언급된 문제들의 해결을 위한 것으로 분실, 도난된 단말에 원격으로 잠금을 걸거나 휴대폰을 초기화해 정보 유출을 막는다. 아울러 카메라, 녹음기, 블루투스, Wi-Fi 같은 휴대폰 기능을 제어하여 사내에서 발생할 수 있는 정보 유출을 사전에 차단한다. 또한, 애플리케이션 배포, 실행을 관리해 업무에 필요한 애플리케이션의 설치를 유도하고, 악성코드 등의 위험이 있는 악성 앱의 설치와 실행을 차단한다.

간단히 정리하면, 업무 앱 보안, 앱 배포/관리, 모바일 기기 출입 통제, 기본 MDM, 모바일 부가 서비스가 국내 MDM 수요의 범위라고 볼 수 있다.

보안 수위를 높이면 보안 측면에서는 철통 같은 수비가 가능하겠지만, 단말기는 '개인 소유 기기'이다. 즉, 너무 강압적인 보안 솔루션은 결국 직원들의 불만을 사게 되고, 어떻게든 정책을 빠져나가려는 사람이 생겨, 이로 인한 문제가 발생한다. 즉, 효율적인 보안과 사용자 권리 보장이 적절한 조화를 이뤄야 한다. 실제로 MDM은 Mobile Device Management -> Mobile App Management -> Mobile Content Management로의 발전과정을 거치고 있다. 장치에서 앱 그리고 콘텐츠로 좁아지는 양상은 사용자 권리 보장의 신장과 맞물리는 것이 아닌가 생각된다. Ahn


이승건 / 성균관대 전자전기컴퓨터공학부


댓글을 달아 주세요

온라인 게임 회사에는 어떤 업무들이 있나

지난 2 28 안랩에서는 청소년/대학생을 위한 무료 IT 교육 프로그램인 V스쿨이 열렸다. 13회째 열린 이번 V스쿨의 주제는 '무궁무진한 IT 직업 탐방하기'였다. 따라서 IT 인터넷 분야의 다양한 전문가를 초청하여 강연 콘서트 형식으로 진행되었다. 

첫 순서로 KT뮤직 장준영 이사가 '디지털 뮤직의 세계'를 발표한 데 이어 다음커뮤니케이션 허진영 게임사업본부장이 온라인 게임 들여다보기’를 발표했다허진영 본부장은 대학 시절 물리를 전공하며 물리학자를 꿈꾸다가게임 사업에 뛰어들었다그는 강연에서 게임 산업에 대해 간략하게 소개하였다다음은 주요 내용.

먼저, 우리나라 온라인 게임 시장 규모는 작년 약 11조원이었는데, 영화 시장 규모인 작년 1조와 비교하여 게임 산업은 산업적으로 매우 큰 시장이며, 경쟁력 있는 문화 콘텐츠라고 할 수 있다. 특히, 해외에서 우리나라의 온라인 게임 시장점유율은 1위이다. 그만큼 많은 투자와 개발이 이루어지는 산업 분야이다.

게임 산업을 이끄는 두 축은 개발사와 퍼블리셔이다개발사는 게임 하나에 300~ 400명의 인원이 4~5년 간 연구하며, 200~300억 정도의 대투자를 한다퍼블리셔는 게임 개발사로부터 지적재산권을 얻어 사용자에게 배포하는 주체이다. 지적재산권을 확보하기 위한 비용은 물론, 게임의 흥행 성공을 위한 광고비 등 막대한 프로모션 비용을 투자한다. 몇 억에서부터 몇 십억 원을 투자하지만 성공을 장담할 수 없는, 영화와 같은 고위험(High Risk) 산업이다

게임 회사에 있는 다양한 직업

그렇다면 게임 개발사에서는 어떤 일을 할까. 간단히 표로 정리하면 아래와 같다.

-게임 기획자: 게임 기획, 규칙 및 시스템, 게임 아이템 기획

-클라이언트 개발자: 엔진, UI, 게임, 제작틀 등을 개발

-서버 개발자: 게임 서버 개발, 네트워크 프로그래밍, DB설계 및 프로그래밍

-원화 디자이너: 게임 및 일러스트, 캐릭터, 배경원화 디자인

-2D 디자이너: UI 디자인

-3D 디자인: 3D 캐릭터, 배경 모델링, 애니메이터 디자인

-음악감독: 배경음악, 사운드, 이펙트 감독

이 밖에도 많은 직업이 있어, 하나의 게임을 만들기 위해서는 많은 인력이 필요하다. 게임 산업은 실제로 영화산업과 비슷하다.

퍼블리셔에는 업 담당자와 운영자가 있다. 사업 담당자(PM; Project Manager)는 게임 소싱부터 매출까지 책임지는 역할을 하고, 운영자는 GM(GM; Game Manager)는 게임 운영을 담당한다. 그 외에 고객센터, 마케터 및 제휴, QA(버그, 오류 검증, 게임의 재미와 퀄리티 관리), 웹사이트·인프라·경원 지원 등의 업무가 있다.

게임은 어떻게 게임으로 완성되는가

게임의 수익 모델은 크게 게임의 퀄리티를 담보로 하는 월정액과, 유저의 진입 장벽이 낮은 부분 유료화 수익 모델이 있다. 또한 전체 매출의 20%를 차지하는 PC방 과금제와, 디아블로와 같이 원본 패키지를 구매하고 이용하는 DLC과 있다. 광고 수익 모델은 거의 없지만, 주로 모바일 게임에 있다.

이제 게임의 개발 과정을 살펴보자. 하나의 게임이 완성되기까지 14단계의 과정을 거친다.

TGO-계획 시각화

②프로젝트 관리

③컨셉 디자인

④배경 디자인

3D 그래픽 디자인(구현)

⑥배경 레벨 디자인

Prop 소품 디자인

⑧애니메이션(동작입힘)

⑨이펙트

UI, UX 디자인

⑪물리 엔진 개발

AI 엔진 개발

⑬구현(프로토타입)

⑭서비스 시작


게임 <Alice madness returns>의 UI와 다양한 아이콘

게임 서비스 준비 단계에서 챙겨야 할 일에는 이선스 계약, 게임 등급물 심의, FGI(Focus Group Interview), FGT(Focus Group Test)로 사용자의 반응을 알아보는 작업, CBT(Computer Based Testing), OBT(Observer Training, 많은 사람이 들어와도 문제가 없는지 테스트하는 것) 등이 있다. 이 과정을 거치면 상용화 단계로 넘어갈 수 있다.

게임을 오픈한 후에도 다앙한 일이 있다. 보안 측면에서는 계정 도용, 오토 프로그램, 다중 접속, 클라이언트 해킹이 있다. 버그를 통한 아이템 획득 및 복사, 버그를 통한 경험치 획득으로 불공정한 게임이 진행되는 것도 대응해야 한다. 서버 접속 폭주 등에 대비해 시스템 안정성을 확보하는 것도 중요하다.

온라인 게임은 우리의 눈과 귀를 즐겁게 해주고 재미를 주며, 사람들과 소통할 수 있는 하나의 공간을 만들어준다. 그 일에 이처럼 수많은 사람과 자원이 투입된다는 것을 이해하면 향후 진로를 생각하는 데 도움이 될 것이다. Ahn


대학생기자 조아라 / 숙명여대 멀티미디어과학과 

대학생기자 김다은 / 한국외국어대 태국어과/방송영상학


댓글을 달아 주세요

혼자서 7년째 컨퍼런스 개최하는 보안전문가 만나보니

정보보안이 이슈화됨에 따라 많은 세미나, 컨퍼런스, 해킹대회 등이 개최된다. 이 중에서도 보안 기술의 핵심이라고 볼 수 있는 리버스 엔지니어링을 주제로 하는 컨퍼런스가 있다. 바로 코드엔진 컨퍼런스다. 그런데 이 컨퍼런스는 7년째 줄곧 한 개인이 운영 중이라는 점이 특이하다. 코드엔진 컨퍼런스 운영 및 개최를 취미 생활로 하고 있다는 이강석씨노력하는 자는 즐기는 자를 이기지 못한다는 말이 있듯이지금의 바쁜 생활을 즐기면서 하고 있는 열정이 지금의 코드엔진을 만들지 않았나 싶다올해 7월에 열릴 2013 8th CodeEngn Conference를 기대하며 그의 이야기를 들어보았다.

 



 

먼저, 자기소개 부탁합니다.

이렇게 인터뷰를 한다니 많이 떨리네요. 저는 현재 금융결제원 금융ISAC에서 일하고 있는 이강석이라고 합니다. ‘리버스 엔지니어링 역분석 구조와 원리의 공동저자이며, 2007년부터 코드엔진 컨퍼런스를 운영 중입니다. 만나서 반가워요.. :)

 

CodeEngn의 뜻과 만든 배경이 어떻게 되나요

CodeEngn의 뜻은 세상의 모든 코드를 말하는 “Code”와 자동차의 심장을 뜻하는 “Engine”을 사람의 뇌로 비유한 "Engn"의 합성어이고 빨간색 번개 모양의 이미지는 코드와 심장을 깨자는 뜻을 담고 있어요.

 



 

사실, 처음부터 CodeEngn과 같은 컨퍼런스를 만들어 보고자 하는 생각은 갖고 있지 않았어요. 하지만, 2007년도에 15th Defcon에서 Song of Freedom 팀으로 참가하여 예선을 거쳐 본선 진출을 함에 따라 라스베거스를 다녀오게 되었는데, 한국에 돌아온 후 생각을 해보니 아직 국내에는 리버스엔지니어링만을 다루는 기술 적인 세미나가 없더라고요. 그래서 그때 당시 이미 2005년부터 개최된 해외 유명한 RECON 이라는 리버스엔지니어링을 다루는 컨퍼런스를 벤치마킹하여 CodeEngn을 열기로 마음을 먹게 되었죠.

 

사실, 대학교 4학년 학생 신분에서 첫 CodeEngn을 개최 하신 걸로 알고 있는데 가장 힘들었던 적과 보람찼던 적이 있을까요

사실 학생 신분에서 컨퍼런스를 개최하기란 쉽지 않더라고요. 먼저 발표자를 찾기가 매우 힘이 들었어요. 그때는 아는 지인 분들께 리버스엔지니어링 관련 주제에 대해서 발표 좀 부탁과 홍보를 많이 했었어요. 보람찼던 적이라면, 2007년 첫 회는 약 120명 정도의 분들이 컨퍼런스에 와주셨어요. 하지만 해를 거듭할수록 점점 많은 분들이 오시고 있고 지금은 중,고등학생부터 보안실무자까지 다양하게 오시고 있고 보통 250명 정도 오시고 있어요

 


코드엔진에서 발표를 하면 어떤 점이 좋은가요

코드엔진은 발표자에게 많은 특혜를 드리고 있어요. 우선 발표를 하면 평생 무료 입장 티켓과 20만원 상당의 기술서적, 발표 DVD 동영상, 소정의 발표비, 괜찮은 IT 제품을 제가 선정하여 선물을 드리고 있어요.

 


코드엔진의 장점과 발전 방향이라면

코드엔진 컨퍼런스는 보안실무자가 직접 운영 및 기획을 하고 있는 실무자 중심의 컨퍼런스라서 다른 컨퍼런스보다 좀 더 어떤 기술에 대해 심도있는 설명을 들을 수 있다는 것이 가장 큰 장점이에요. 매년 운영 노하우가 쌓이고 있고 좀 더 재미있는 주제와 좋은 발표자를 찾으려고 노력하고 있어요.

 


리버싱을 공부할 때 Tip이 있다면 어떤 것이 있을까요

먼저, 계속해서 노력하는 것과 재미를 느끼는 것이 가장 중요하다고 생각해요. 프로그래밍 같은 경우는 알고리즘에 대한 창의성이 많이 필요하지만 리버스엔지니어링은 인내심과 노력이 가장 많이 필요한 분야에요


이 분야를 공부할 때 Tip을 드리자면 먼저 관련 서적을 읽으면서 동시에 “Crackme“, “Unpackme“, “해킹대회 문제파일등의 문제를 풀어보면서 공부를 해야 실력도 많이 늘고 흥미도 많이 생기게 되요. 추후에 실력이 어느 정도 쌓았다면 직접 소프트웨어 취약점 분석도 해보고 취약점이 발견되면 KISAS/W 신규 보안 취약점 신고 포상제를 이용하여 레포트 하는것도 좋은 방법이구요.


그리고 CodeEngn 사이트에 들어가면 현재 4가지 정도의 리버스엔지니어링 문제들을 풀어 볼 수 있는 컨텐츠가 있어요. 기본 Crackme, 심화 Crackme, 악성코드 분석, 암호학 4가지 정도가 있는데 기초 문제부터 차근차근 풀어보면 도움이 많이 될거에요. 또 덧붙여서 Archive 메뉴에는 국내 소장가치가 있는 600여개의 보안문서가 관리되고 있고, Live 메뉴에는 국내외 최신 동향을 쉽고 빠르게 볼 수 있는 RSS 리더 서비스를 회원가입 없이 무료로 이용할 수 있어요.

 


마지막으로 정보보안 전문가를 꿈꾸는 학생들에게 한 마디만 해주세요.

이것저것 새로운 시도와 공부를 해보는 것이 중요해요. 새로운 시도를 하다보면 나중에 최신 기술이 나와도 더 쉽게 이해할 수 있기 때문이에요. 그리고 공부를 하다보면 프로그래밍에서 포기하는 학생들을 많이 보게 되는데 자신이 많은 프로그래밍언어를 다루지 못한다고 해서 절대 자신감을 잃지 않았으면 해요. 프로그래밍을 못해도 보안 분야에서 할 수 있는 일은 많기 때문이에요


그리고 프로그래밍을 하실 때 많은 언어를 겉핥기식으로 익히기 보다는 한 가지 언어를 제대로 익히는 걸 추천해요. 사실 프로그래밍언어란 문법의 차이가 있을 뿐이지 익숙해지면 새로운 언어를 배워도 금방 배울 수 있기 때문이에요


그리고 툴 등을 사용하는 학생 분들이 많은데 너무 에 의존하지 않았으면 해요. 물론, 실무에서도 자동화된 을 많이 쓰지만 분명한 것은 이 해야 될 일과 본인이 직접 해야 될 일이 따로 있다는 거에요. 지금의 보안 분야는 날로 성장하고 있고 보안전문가로 직업을 삼고자 하는 분들도 매우 많아지고 있어요. 자신의 경쟁력을 갖추기 위해서 항상 노력하신다면 분명히 좋은 정보보안 전문가가 될 수 있을 거라 생각해요. Ahn



대학생기자 유희만 / 수원대 컴퓨터학과


대학생기자 고은정 / 경희대 전자전파공학과

댓글을 달아 주세요

  1. ITU PP 준비기획단 2013.05.01 21:33  Address |  Modify / Delete |  Reply

    안녕하세요? 미래창조과학부 주최로 5월 9일 예술의 전당에서 개최되는 '2014 ITU 전권회의와 함께하는 "Girls in ICT Day"' 행사 운영사무국입니다. IT관련학과 여대생들을 대상으로 하는 행사인만큼 동료 여학우분들과 자리를 빛내주셔서 뜻깊은 시간 보내시기 바랍니다.

  2. 고은정 2013.05.14 05:23  Address |  Modify / Delete |  Reply

    인터뷰 즐거웠습니다 ^^

문화예술 플랫폼 만든 당찬 대학생 창업자들

예술은 생각보다 우리 가까이에 있다.

IT와 디자인. 공대생과 미대생으로부터 시작되었을 둘은 엄연히 다른 성향을 가졌지만 우리는 이 둘의 조합을 어색하게 생각하지 않는다. 더 나아가 이 두 가지가 잘 만난 사례 중 대표적인 모 기업의 제품을 ‘혁신’이라고 부른다. 네모상자 속 딱딱한 쇳덩이였던 것들이 진화를 거듭해 점점 더 아름다워지고 있다. 

IT기기뿐만 아니라 회사도 마찬가지다. 얼마 전 안랩의 보안 솔루션 소개 동영상이 세계적 권위를 가진 ‘2012 스파크 디자인 어워드’의 수상작 명단에 당당히 이름을 올렸다. 예쁘게 디자인한 하나의 동영상은 백 마디 말을 이긴다. 그래도 여전히 예술이 멀고 어렵게 느껴지는 사람들에게 소개하고 싶은 커뮤니티가 있다. 


<출처: 노트폴리오 홈페이지>

2011년 가을까지만 해도 “노트폴리오”는 어느 대학생의 아이패드에 마인드맵으로 펼쳐져 있는 하나의 프로젝트 구상에 불과했다. 2013년으로 막 접어든 어느 날, 여전히 대학생 신분인 네 명의 창업자 김성주, 송진석, 현강섭, 홍제용을 만났다. 

쉽지만은 않았을 청년창업의 현장에서 그들은 웃으며 일하고 있다. 어디선가 본 듯한 그저 흔한 청년들의 도전 스토리라고 생각하지 마시길. 이들의 산뜻한 크리에이티브는 연초부터 몰려오는 일일 업무로 지친 사람들에게 힘이 되어줄 것이다.


본격 문화예술 커뮤니티, 노트폴리오를 펼치다.

- 노트폴리오, 뭐 하는 곳인가?
진석 : 노트폴리오는 아직 알려지지 않은 아티스트들의 작품을 소개하는 하나의 문화예술 플랫폼이다. 노트폴리오의 뜻은 ‘Note’가 적다, 필기하다 이런 뜻도 있지만 또 ‘주목하다’의 뜻도 있다. 쉽게 적는 포트폴리오라는 의미도 있고, 자신의 포트폴리오를 주목받게 해라, 여기에 올리면 포트폴리오가 주목받게 된다는 뜻도 가졌다. 해외에는 아티스트들이 작품을 올리면 많은 사람들이 접하는 커뮤니티가 많은데 국내에는 활성화된 게 없다. 얼마 전 런칭한 공식 웹사이트를 보면 무슨 일을 하는지 더 정확히 알 수 있을 것이다.

- 노트폴리오 창업을 기획하게 된 계기는 무엇인지?
강섭 : 학교에서 전공으로 배운 게 커뮤니케이션 관련(창업자들의 전공은 신문방송, 광고홍보이다)이니까, 배운 걸 가장 잘 활용할 수 있는 방법이었다. 마침 네 명이 문화예술에 관심이 있어서 아티스트들을 돋보이게 하는 일을 하고 싶었다. 그러다 보니까 이와 같은 커뮤니티를 만들어 보자는 방향으로 의견이 집중된 것이다. 


성주 : 처음부터 ‘사업가가 될테야!’ 이런 생각으로 진행한 것은 아니다. 사회적으로 도움이 되는 프로젝트를 만들고 싶다는 생각으로 프로젝트를 구상한 것인데, 그것이 실제로 점점 시간이 지나고, 아이디어 구체화 되면서 사람들 반응 얻다가 사업으로까지 오게 되었다.

- 노트폴리오의 현재 구성원은 몇 명인가? 네 명의 창업자는 각자 어떤 역할을 하는지?
성주 : 현재 노트폴리오에서 일하는 사람은 여섯 명이다. 우리 넷에 디자이너와 개발자가 한 명씩 더 있다. 제가 서비스 기획 부분을 맡은 기획팀장 겸 대표직이고, 마케팅과 디자인은 진석이, 온갖 제반사항을 케어 하는 총괄운영은 강섭이가 맡고 있다. 그리고 작가미팅부터 페이스북 운영과 같은 대외적인 홍보는 제용이가 커뮤니케이션 팀장으로 일하고 있다.

 

왼쪽부터 현강섭, 홍제용, 김성주, 송진석.

- 대학생 창업을 했다. 대학생 신분이 도움이 되었거나 혹은 어려웠던 점이 있다면?

강섭 : 도움을 받은 부분이 여러 가지가 있다. 일단은 교내 창업보육센터에서 사무공간을 지원받았고 비용도 일부 지원 받았다. 그리고 정부지원으로 창업진흥원 쪽에서 하고 있는 예비기술창업자 육성사업에서 주관기관 학생팀 중 우수한 성적을 거두어 투자금 지원을 받고 있다. 대학생이라 유리한 점이 더 많은 것 같다.


진석 : 어려웠던 점은 넷 다 문과생이다보니 기술적 문제가 있었고, 또 무엇보다 학교 다니면서는 일을 할 수가 없다. 처음에 이 사무실이 없었을 때 기숙사에 모였는데 사무실에서 일 진행하는 것과는 분위기가 확실히 달랐다.


노트폴리오에 올려줘 너의 충만한 크리에이티브

- 예술전공이 아닌데 디자이너들과의 연락에 있어 어려운 점은 없었나?

제용 : 처음에는 누구를 만나야 할지 몰라 어려웠다. 이미 유명한 분들보다는 아직 주목 받지 못한 분들 중 자기스타일이 확실한 분을 찾다 보니 첫 단추를 끼우는 게 어려웠다. 하지만 접촉에 성공하여 일대일로 만나면 어려울 건 없었다.


성주 : 예술 하는 사람들이 외골수적인 면이 있을 것이라는 일반적인 편견이 있는데, 디자이너와의 만남에서 어려움을 겪었던 적은 거의 없다. 그들을 위해서, 좋은 취지에서 하는 커뮤니케이션이기 때문에 그 진심이 전해졌다고 생각한다.


강섭: 일대일 뿐만 아니라 블로그나 페이스북과 같은 일대다채널에서 이야기하는 공간도 어떤 방식으로 커뮤니케이션 해야 거부감 없이 보다 더 좋은 반응을 얻을 수 있을지 쉬지 않고 고민하는 중이다.

- 노트폴리오는 주로 어느 층이 이용하는지?

진석 : 20대 젊은 여성이 60~70프로다. 문화예술직 종사자나, 이 분야에 관심 있는 사람들도 다 그 쪽이다. 그래서 초기 마케팅전략도 타겟을 20대 여대생으로 잡았다.

- 플랫폼사업은 그 어떤 사업보다 집객이 우선인 만큼, 노트폴리오는 많은 액티브 유저를 확보한 편이다. 노트폴리오 만의 집객 전략이 따로 있는가?

제용 : 최대한 1:1 커뮤니케이션을 했다. 지금은 페이지가 커져서 못하고 있는데, 2000여 명이 되기 전까지는 페이지 ‘좋아요’ 누른 분들 한 분, 한 분께 우리의 취지를 알리는 메시지를 보내드리기도 했다. 그 분들이 아직까지 핵심유저로 활동하고 있다.

 

노트폴리오 페이스북 페이지. 여느 기업 페이지 안 부러울 정도로 많은 좋아요 수와 액티브 유저가 있다.
<출처: 노트폴리오 페이스북>


- 노트폴리오 일을 하며 창업자들의 생각이나 태도의 변화가 있었나?


제용: 친구들이 말수가 줄었다고 한다. 나 스스로 느끼기에도 차분하고 진지한 성격이 되었다. 웹진 준비하면서 인터뷰를 30명 정도 진행했는데 최대한 진지한 자세로 임했다. 그런 것들이 1년 정도 쌓이니 성격이 바뀌었다. 인격적인 성숙이랄까. 말을 많이 하는 역할이다 보니까 말을 신중하게 하게 되었다.

진석: 구상단계에는 이 사람들이 많이 작품을 올릴까? 방문자들은 눈팅만 하는 건 아닐까? 관심을 보이고 활동할까? 하는 갖가지 부정적인 생각이 들었는데 생각보다 사람들이 커뮤니케이션에 대한 욕구가 많다는 것을 알았다. 사람들에 대한 회의적인 생각이 바뀌었다.


- 노트폴리오팀의 최종목표는 무엇인가?

한국의 문화, 예술 하면 노트폴리오의 이름이 바로 떠오르도록 하는 것이다.


좋은 예술 작품을 공유한다는 것

세상에 도움이 되는 프로젝트를 진행하자. 이것은 노트폴리오의 네 청년뿐만 아니라 우리 모두 가슴속에 품고 살아야 할 가치이자 평생과제다. 그들은 예술전공자가 아니었지만 한국의 예술을 프로젝트의 큰 주제로 삼았다. 이는 문화와 예술의 세계를 어려워하는 사람들에게 시사하는 바가 크다. 연주회나 전시회가 졸리기만 한 사람도 노트폴리오 웹페이지, 블로그, 페이스북을 통해 깜짝 놀랄 예술작품을 ‘득템’할 수 있다. 유난히 칼바람이 몰아치는 이번 겨울, 감성마저 얼어붙기 전에 노트폴리오를 한번 들러보자.

노트폴리오 웹사이트 : http://notefolio.net

노트폴리오 페이스북 : http://facebook.com/notefolio Ahn


사내기자 김동희 / 안랩 커뮤니케이션팀 연수생


 

댓글을 달아 주세요

  1. 파니파니 2013.03.21 13:20  Address |  Modify / Delete |  Reply

    지기님~~보안솔루션 명예의 그 영상은 링크 걸어주는 센스를 보여주세요. 궁금해요 어떤 영상인지~

    • 보안세상 2013.03.23 20:15 신고  Address |  Modify / Delete

      http://www.ahnlab.com/kr/tv/product.do?playlist_id=1416245863001&player_video_id=1543896782001 에서 보실 수 있습니다. 관심 가져주셔서 고맙습니다.^^

  2. 이혜림 2013.03.23 19:17  Address |  Modify / Delete |  Reply

    사회적으로 도움이 되는 프로젝트를 만들고 싶다는 생각에서 시작하게 됐다는 말이
    정말 인상깊네요...
    노트폴리오라는 이름은 컨텐츠와 잘 맞기도 하고 기억하기도 쉽구요!
    좋은 기사 잘 봤습니다 ^^