올해 일어난 각종 사이버 테러는 엄청난 피해를 불러왔다. 문제는 갈수록 사이버 테러의 위협이 커지고 있다는 점이다. 국내 대표 보안 기업인 안랩의 김홍선(53) 대표는 예고된 사이버 피해를 막는 해결책으로 ‘사람’을 꼽았다.
김병주 기자 bjh1127@hmgp.co.kr
사진 윤관식 기자 newface1003@naver.com
지난 3월 20일, 대한민국 IT시계가 멈췄다. 주요 방송국과 금융권을 타깃으로 진행된 전산망 테러는 IT강국임을 자처하던 대한 민국의 허약한 단면을 여실히 보여줬다. 이후 등장한 국제해커그룹 어나니머스도 정부기관 시스템을 비웃기라도 하듯 사이버 테러를 자행했다. 국내 보안 1세대의 대표주자인 김홍선 안랩 대표를 만나 사이버테러의 현재와 미래, 그리고 대책을 들어봤다.
올 해는 유독 보안 이슈가 많았다. 2013년을 보안 전문가의 관점에서 한마디로 정리해 달라.
사실 과거부터 이와 유사한 사이버 공격은 끊임없이 있어 왔다. 다만 크게 이슈화 된 적이 없었을 뿐이다. 미국, 유럽, 일본 등 선진국에서는 기밀정보 유출, 사이버테러 등 심각한 상황이 표면화 된 지 오래다. 이제 국내에서도 위협의 실체가 드러난 이상 공격은 더욱 극심해질 것이다.
지난 3월 20일로 시간을 되돌려 보자. 사이버 공격의 타깃이 된 방송국과 금융권은 그야말로 아비규환이었다.
당시 중국 출장 중이었다. 3월 20일 오전에 출국했는데 사고가 터지고 나서 그날 저녁 바로 귀국했다. 하지만 귀국 후에도 우리가 할 수 있는 일은 아무것도 없었다.
할 수 있는 일이 없었다는 말이 쉽게 이해가 안된다. 당시 모든 국민들이 안랩의 대응에 주목하고 있지 않았는가?
일반적으로 안랩은 보안 사고가 터지면 공격에 사용된 악성코드를 분석하고 이에 관한 정보를 수사기관과 타깃 기업에 전달해왔다. 가장 보편적으로 알려진 분산 서비스 거부(DDoS·디도스)공격은 전반적 침입 패턴을 인지하고 있기 때문에 발 빠른 대응이 가능하다. 하지만 당시 전산망 마비는 특정 타깃을 대상으로 한 지능형 지속가능 위협(APT) 방식의 공격이었다. 상황 파악이 우선이었기 때문에 바로 대응하기는 어려웠던 것이 사실이다.
사이버테러 이후 일각에서는 이른바 ‘안랩 책임론’을 들고 나왔다. 안랩이 제대로 된 보안장비를 납품하지 않아 피해가 컸다는 지적이다.
그것과 관련된 언급을 하기가 곤란하다. 딱히 할 말도 없다. 하지만 솔직한 심정으로 많이 답답했다. 보안은 복잡하다. 항상 변수가 있고 이에 따라 상황이 변화한다. 표면적인 것만 이슈화 된 까닭에 잘못된 정보가 퍼지는 것 같아 답답하기만 했다.
그런 까닭일까? 각종 의혹이 제기 될 때마다 발 빠르게 대응하는 모습을 보였다.
사실이 아닌데 입을 닫고 있으면 오류를 사실로 인정하는 꼴이 된다. 특히 보안 업체로서 해명과는 별개로 제대로 된 보안 정보는 제공해야 한다는 것이 우리의 입장이었다. 분명한 것은 조직적으로 움직이는 해커집단의 경우, 대다수 보안 솔루션을 대상으로 공격 테스트를 하고 도출된 결과를 토대로 전략적인 대응을 한다는 점이다. 따라서 안랩의 점유율이 높기 때문에 공격 타깃이 됐다는 일부의 주장은 전혀 사실이 아니다.
화제를 돌려보자. 사이버 공격을 원천적으로 막기는 사실상 불가능하다. 그래도 위협을 예방할 수 있는 가장 효과적인 방법은 무엇이라고 생각하는가?
점점 사이버 공격은 조직적이고 전략적으로 진화하고 있다. 하지만 각 기업이나 기관은 보안 이슈와 관련해 여전히 수동적이고 소극적이다. 문제를 인식하면서도 외부로 알려지는 것은 꺼려하기 다반사다. 우선적으로 진화하는 사이버 공격의 속성에 대해 근본적인 공감대를 갖고 함께 공유하고 고민하는 것이 필수다.
어떤 공감대를 이뤄야 한다는 것인가?
사람에 대한 공감을 말하는 것이다. 여전히 대다수 기업 CEO들은 보안 사고가 발각되면 담당자들을 야단치기에 바쁘다. 이제 한두 명의 해커가 공격하는 시기는 지났다. 고도의 기술력과 자금력을 갖춘 해커들이 조직적으로 공격을 가한다. 이를 소수의 보안 인력이 다 막을 수 있을 것이라 믿는 낡은 생각이 문제다. 정부는 보다 광범위하다. 우선 보안 위협의 실체를 고민해야 한다. 조폭, 강도 등 우범집단으로부터 국민을 지키는 안전망 구축은 공공의 몫이다. 사이버 테러도 이와 다르지 않다. 칼과 무기를 휘두르지 않을 뿐 해커들도 조폭처럼 무시무시한 존재다. 또 민간이 해결하지 못하는 부분에서 정부가 발 벗고 나서야 한다. 예를 들어 A사이트에서 수만 개의 악성코드가 유포되고 있는 사실이 발각됐다고 가정해보자. 이 사이트를 치료하거나, 상황에 따라 폐쇄하는 역할은 민간의 몫이 아니다. 정부가 컨트롤해야 하는 문제다. 하지만 이 같은 정부 대응의 핵심 역시 사람이다. 결국 모든 일을 하는 것은 사람이기 때문이다.
보안인력의 중요성을 강조하고 있지만, 보안 인력이 부족하다는 사실은 어제오늘 일이 아니다.
맞다. 이미 과거부터 있어왔던 문제다. 능력 있는 IT인력 중 보안 분야로 오려는 사람은 거의 없다. 설사 있어도 능력에 걸맞은 대우를 받지 못해 무력감을 느끼는 경우가 다수다. 여전히 많은 기업들은 보안 인력을 비용의 관점으로 바라본다. 글로벌 기업으로 성장한 구글, 아마존 등은 수많은 시스템 보안인력을 보유하고 있다. 이를 기반으로 탄탄한 서비스를 내놓고 있다. 그런데 글로벌 기업에서 가장 우대하는 인력을 우리나라에서는 가장 하대한다. 국내 보안업계 인력 대다수는 밤샘근무에 신음하면서도 존중 받지 못하는 것이 사실이다. CEO를 떠나 IT분야 선배의 입장에서 정말 안타깝다. 보안 인력이 존중 받아야 자연스레 보안 산업에도 미래가 보이고 비전이 생긴다.
그래도 주요 대학을 중심으로 사이버보안 관련 학과가 신설되고 인기를 끌고 있다는 점은 고무적이다. 배우려는 학생들이 많아질수록 국내 보안 인력 수급과 기술력도 한층 성숙해지지 않을까?
물론 그럴 수 있다. 하지만 IT전문가의 입장에서 대학교 등 교육 현장에도 한마디하고 싶다. 바로 인문학에서도 IT를 배워야 한다는 것이다. IT기술자들이 인문학을 접하는 것은 자연스러워졌지만 인문학도가 IT를 배운다는 얘기는 들어본 적이 없다. 고전에서는 교훈을 얻지만, 이를 변화하는 현실에 적용하는 것이 중요하다. 인문학에서도 IT를 배워 시대의 변화를 예측하고 적응하는 법을 배워야 한다고 생각한다. 꼭 보안이 아니더라도 빠르게 변화하는 IT흐름을 배우는 것은 필요하다고 본다.
최근 ‘누가 미래를 가질 것인가?’라는 제목의 책을 출간했다. 내용 중 ‘예상치 못했던 과거의 변화를 통해 미래를 예측해야 한다’는 말이 있다. 이 말처럼 내년에도 사이버 공격은 더욱 강하고 대범해 질 것으로 보인다. 2014년 사이버 공격은 어떤 방식으로 진행될 것으로 예상하는가? 또 어떤 방식으로 대응해야 하는가?
이미 PC에서도 스마트폰 운영체제 안드로이드 악성코드가 발견됐다. 점차 PC는 감소하고 스마트 디바이스 위협은 증가할 것이다. 악성코드의 출현도 막을 수 없다. 지난 1988년 전 세계에서 발견된 악성코드는 고작 20개였다. 반면 지금은 알려진 것만 2억 개, 하루에 20만 개씩 쏟아져 나온다. 내년에는 지금까지 알려지지 않은 1~3%의 새로운 공격 방식이 모습을 드러낼 것으로 예상한다. 이를 예측하고 막기 위해서는 온라인에 집중돼 있는 보안시스템을 오프라인에서도 확대해야 한다. 각종 물리적 보안 솔루션이 그 정답이 될 수 있다. 또 앞서 말한 바와 같이 보안 인력 확충과 화이트해커 양성도 선행돼야 한다.
이제 화제를 안랩으로 돌려보자. 매년 꾸준한 성장세를 이어가고 있다. 1,000억 원 매출 돌파는 보안업계에 있어 상징적인 뉴스다. 비결은 무엇이라고 생각하는가?
보안뿐 아니라 소프트웨어 산업 전반에서 상징적인 매출 아닌가.(웃음) 내가 처음 안랩에 왔을 때 매출은 500억 원 수준이었다. 당시만 해도 안랩의 라인업은 V3가 전부였다고 해도 과언이 아니다. 최근에는 네트워크 보안 솔루션, 관제 서비스 등 제품군을 점차 넓혀가고 있다.
특히 올해 특허경영에서 가시적 성과를 보이고 있다. 국내외 각종 특허 출원이 글로벌 경쟁력 강화에도 큰 힘이 되고 있다. 특별히 이 분야에 집중하는 이유는 무엇인가?
글로벌 산업시장의 트렌드 중 하나가 바로 특허 전쟁이다. 삼성과 애플의 경우에서 봤듯이 특허는 곧 경쟁력이다. 특히 글로벌 시장 진출을 본격 시도하고 있는 소프트웨어 업체의 입장에서 특허는 우리를 잘 알릴 수 있는 포인트다. R&D분야에 투자를 집중하는 이유도 바로 이 때문이다. 물론 R&D투자의 중심도 최고의 인재다.
지난 7월 말까지 올해만 국내외에서 모두 80건의 특허를 출원·등록 했다. 가장 내세울 만한 특허를 꼽는다면?
(망설임 없이) DICA와 ROP다.
어떤 내용인지 간략하게 설명해 달라.
우선 DICA(Dynamic Intelligent Content Analysis)는 악성코드가 삽입된 PDF나 MS 워드 파일을 실시간으로 검증한다. 최근 유행하는 APT공격을 예방하는 데 효과적이다. 현재 이 기술은 글로벌 시장에서 오직 안랩만이 보유하고 있다. 약 2년간 관련 자료를 분석하기 위해 모든 개발진들이 고생했다. ROP(Return-Oriented Programming)는 운영체제(OS) 메모리에 존재하는 정상 코드 조각들을 조합해 악의적 공격 코드를 실행하는 방법이다. 이 역시 APT 공격에 많이 이용된다. 안랩 트러스와처(해외 출시명: 안랩 MDS)에 이를 감지하는 기술이 탑재됐다. 이들 특허는 미국 시장 공략의 중심이 될 것이다.
각종 특허와 라인업을 무기로 글로벌 시장 진출에 속도를 내고 있다. 미국에는 지사도 설립했다. 글로벌 시장 공략의 궁극적인 목표는 무엇인가?
해외에서는 안랩을 APT솔루션 업체로 인식하고 있다. 실제 영문 홈페이지에서는 V3에 관한 내용은 찾아볼 수 없다. 이것이 우리의 전략이자 개척하고자 하는 시장이다. APT솔루션 속에는 안랩의 모든 노하우가 탑재돼 있다. 다른 미국업체들보다 잘할 수 있다고 확신한다.
마지막으로 보안업계 진출을 꿈꾸는 학생들과 창업을 준비하는 후배들에게 조언 한마디 부탁한다.
얼마 전 판교역 인근에서 우연히 중학생들의 대화를 들었다. 한 명이 안랩 사옥을 가리키며 “저기는 천재들만 일하는 곳이야”라고 하더라.(웃음) 아이들에게 비친 IT기업의 모습에 흐뭇하면서도 또 다른 책임감도 들었다. 우선 글로벌 환경에 대응하기 위한 어학능력 습득은 필수다. 당장 소프트웨어 관련 각종 언어는 모두 영어다. 영어실력이 배양되면 보다 더 큰 꿈을 펼칠 수 있다. 그리고 실질적인 IT분야 종사자로서 당장의 어려움에 고민하지 말고 좀 더 길게 보길 바란다. 당장 힘들다고 좌절하면 성장할 수 없다. 끊임없는 자기개발을 지속한다면 분명 장밋빛 미래의 주인공이 될 수 있을 것이다.
