스마트 플랫폼 보안 분야 핵심기업으로 성장할 것
취약점 분석과 공유 활발해져야 보안 발전한다!
최근 보안분야의 새로운 흐름을 주도하고 향후 보안산업과 기술발전에 영향력을 미칠 수 있는 젊은 CEO와 핵심 인재들을 소개하고자 한다. 그 첫번째로 NSHC 허영일 대표(www.관련기사)를 소개한 바 있다. 두번째 주자로 아이넷캅 유동훈 소장을 소개할까 한다. 그가 생각하는 보안과 비즈니스 그리고 미래에 대해 들어봤다.취약점 분석과 공유 활발해져야 보안 발전한다!
유동훈 소장은 각종 세미나에서 해킹시연이나 발표 잘하기로 이미 정평이 나 있다. 큰 키에 확신에 찬 말투로 자신이 연구한 내용을 차분하고 똑 부러지게 청중들에게 전달한다. 최근 그는 정부기관 보안교육 뿐만 아니라 스마트 플랫폼 보안에 핵심적 솔루션을 개발해 이를 시장에 본격적으로 런칭하고 있다.
유 소장이 몸담고 있는 아이넷캅의 최근 근황을 들어봤다. “아이넷캅은 초창기 정부기관용 IP추적시스템 사업에 주력해 왔다. 이후 2010년 중순부터는 스마트 플랫폼 사업에 주력하고 있다”며 “스마트 플랫폼 보안 이슈는 잠재적 이슈다. 이러한 위협들은 최근 해외 논문을 통해 계속 발표되고 있으며 스마트 워크 시대가 활성화되면서 스마트 플랫폼 보안위협은 더욱 증가할 것으로 보고 있다. 사용자 부주의에 의한 사고를 막는 것이 앱보안이라면 스마트 플랫폼 보안은 근본적인 취약점을 차단하고 예방하기 위함”이라고 소개했다.
최근 보안 사고들이 대부분 취약점을 악용한 공격에 의한 것들이기 때문에 유 소장은 스마트 플랫폼을 중심에 두고 근본적인 취약점 분석, 방지에 주력하겠다는 것이다. IT 트렌드가 PC에서 스마트 디바이스로 넘어가는 상황이기 때문에 그의 전략이 정확한 포인트를 찾고 있다는 생각이 든다.
◇국내 해킹보안 연구환경 너무 아쉬워=유 소장이 보안을 업으로 하게 된 계기는 무엇이었을까. 그도 여느 중학생들처럼 게임에 심취(?)했다고 한다. 하지만 단순히 게임을 즐기기 보다는 게임을 크랙하고 좀더 편하게 이용할 수 있는 방법을 연구하는데 더 관심이 많았다. 그런 과정에서 해킹과 보안에 관심을 가지게 되고 해킹동아리까지 운영하게 됐다. 97년부터 2000년까지 그가 운영하던 해킹 커뮤니티가 ‘해킹매니아’였고 당시 200여 명이 넘는 회원들이 있었다.
그는 “그때 정말 활발하게 활동했던 것 같다. 연구도 많이 하고 열정적으로 커뮤니티 운영도 해왔다”며 하지만 “2001년부터 커뮤니티 운영보다는 내공을 좀더 쌓는 학습의 시간을 갖는 것이 중요하다는 생각을 하게 됐다. 그래서 모든 활동을 접고 올렸던 내용들도 삭제하고 공부에 집중했다”고 말했다.
물론 그렇게 된 데에는 말 못할 이유도 있다. 국내 환경에서는 민감한 내용들을 공개하거나 연구용 코드를 공개하는 것에도 많은 법적 제재가 따랐다. 그는 이후 국내에 자신이 연구한 공격코드나 구체적인 연구 내용을 게시하지 않고 있다.
유 소장은 “2001년부터 꾸준히 해외에 연구 결과물들을 발표해 오고 있다. 하지만 국내에서는 대부분 실제 공격되는 코드가 아니라 가능성만 보여주는 것이었음에도 불구하고 말들이 많았다”며 “지금은 국내 발표는 하지 않고 연구만 하고 있다. 연구 결과물들을 철저히 비공개로 해두고 있다”고 말했다.
그는 이런 현실을 안타까워했다. “국내는 취약점 공유하고 발표할 곳이 없다. 2000년대 초반이랑 10년이 지난 지금도 별반 달라진 것이 없다. 변하지 않고 있다. 소통의 부재가 국내 보안 성장에 큰 장애요인이 되고 있다”고 지적하고 “해외에서 코어기술 연구에 주력하고 있는 전문가들은 기술적 이슈에 대해 활발히 공유하고 공개한다. 국내에서는 모두 불법이다. 보안하는 사람들이 공격에 대해 모르면 방어도 할 수 없다”고 말했다.
유 소장은 “해외 포럼을 보면 너무 부럽다. 활발하게 공유가 이루어지고 의견이 오간다. 하지만 국내 환경은 뛰어난 기술자들이 많음에도 불구하고 그렇지 못하다”며 “2001년부터 버그트랙과 시큐리티포커스 등에 발표해 왔고 발표 목적은 크레딧을 최초로 인정받는 것이다. 또 그 결과물을 통해 해외 기업과 코웍해서 일한 적도 있다. 비즈니스에도 도움이 된다”고 밝혔다.
그는 취약점을 모집하고 공개하는 좋은 창구가 한국에도 있었으면 좋겠다며 안타까워한다. 정부 기관 주도로 한다면 해커들이 좋아하지 않을 것 같긴 하지만 이 부분에 대한 활성화 분위기와 구체적인 방안들이 나와야 한다는 것이 그의 생각이다.
그는 취약점에 대한 연구와 방어전략을 세우기 위해서는 공유가 무엇보다 중요하다고 강조했다. “악성코드를 실행케 하는 메커니즘은 취약점을 주로 이용한다. 좀비PC나 디도스 공격 등 모든 것이 취약점이 근본적인 원인이다. 취약점에 대해 전문가들이 공개적으로 이야기 할 수 있는 장이 있어야 하고 공유해야 한다. 또 제조사와 통신사 등 모두가 연계해 취약점을 제거하고 업데이트 할 수 있도록 환경을 만드는 것이 중요하다”고 피력했다.
유 소장에게 국내 보안 현실에서 필요한 것이 무엇인지 물었다. 그는 “국내에는 각 보안분야별로 인재들이 많다. 특히 보안전문가 중에서도 스페셜리스트들은 관리해야 한다. 어느 분야에 최고는 이 사람이다라는 인덱스 정리가 필요하다”고 강조했다.
또 “취약점 발표에 대해 질타할 것이 아니라 장을 만들어주고 크레딧을 인정해주는 문화가 형성돼야 한다. 또 해킹대회도 단순히 문제 풀이식 보다는 실제 소프트웨어의 취약점을 찾아내는 방식이 더 도움이 될 것 같다. 또 해외와 정보격차를 해소하기 위해 취약점 연구와 공개에 대해 보다 혁신적인 개선책이 나오지 않는다면 한국은 항상 뒷북만 치는 나라로 전락하고 당하기만 할 것”이라고 지적했다.
한편 “해커들이 제도권으로 나와 윤리적 해커가 될 수 있도록 문화를 만들어야 한다. 또 연구할 수 있는 환경도 조성해 줘야 한다. 지금은 제재가 너무 많아 국내 해커들이 주눅이 들어있다”며 “실제로 피해를 주면 안되겠지만 연구저작물에 대해 공유하고 공유된 것이 악용되지 않도록 윤리적 교육을 강화하는 것이 중요하다. 공격도구와 방어도구들이 활발하게 연구될 수 있도록 법적 제재 완화도 필요하다”고 덧붙였다.
◇19살에 회사설립 그리고 좌절과 재기=그는 2001년 아이넷캅이라는 회사를 설립했다. 그의 나이 19살, 당시 고3이었다. 당시 해킹그룹에 같이 활동하던 20여 명의 해커들이 주축을 이뤄 설립했고 목적은 모의해킹에 최적화된 기업을 만들어 보겠다는 것이었다. 하지만 초기 어려움을 겪으면서 2004년 다시 회사를 일구고 2005년에 지금의 법인을 설립했다.
그는 당시를 회상하면서 “2001년 7월 정통망법이 바뀌면서 직원중 한 명이 회사에 오기 전에 저지른 문제 때문에 회사 전체가 조사를 받게 됐다. 그 문제로 4개월 만에 회사가 끝이 났다”며 “좋은 경험이었다. 요즘 보안공부하는 분들은 학교 동아리 활동에서부터 커뮤니케이션 방법이나 문서작성법 등을 배우고 있지만 당시에는 커뮤니케이션 능력도 부족했고 자신의 연구 결과물이나 성과를 문서로 표현하는 방법도 서투른 상태였다. 해커들도 자신의 능력을 제대로 인정받기 위해서는 커뮤니케이션 능력과 문서작성 능력 등 회사가 기본적으로 요구하는 스킬에 대해서 배우고 익혀야 한다”고 조언했다.
이후 아이넷캅은 2005년 정부기관과 함께 IP추적시스템 사업을 활발히 진행해 왔고 더불어 기관쪽 정보보호 교육사업에도 주력해 왔다. 그리고 그 분야에 독보적인 인정도 받고 있다.
고3이라는 어린 나이에 회사를 설립했던 유 소장에게 사업과 관련해 한 마디 부탁했다. 그는 “장기적 플랜을 제대로 세우지 않고 무작정 뛰어들면 안된다. 당장 돈이 좀 된다고 해서 회사를 설립하는 즉흥적 자세는 자제해야 한다”며 “기술만 가지고 비즈니스는 못한다. 기술만 뛰어나다고 막연히 될 것이라 생각하면 오산이다. 생산적이고 창조적 일을 지속적으로 할 수 있는지 그리고 장기적 플랜이 확실하게 서 있는지 판단 후 회사를 설립하길 바란다”고 조언했다.
그는 또 이런 사람들과 일하길 원한다고 한다. “기업을 일구는데 가장 중요한 것이 함께 일하는 사람이다. 실력을 갖추고 있으면서도 자기 실력에 자신감과 함께 겸손한 사람이어야 한다. 또 커뮤니케이션을 활발하게 할 수 있어야 하고 자기 성과에 대해 제대로 표현할 수 있는 사람과 일하길 원한다”는 것이다.
그는 현재 전남대학교 컴퓨터공학과 대학원 박사과정에서 공부하고 있다. 그가 고3때 회사를 만들며 대학 진학을 포기했지만 이후 대학에 진학했고 이제는 대학원 박사과정까지 공부를 계속 하고 있다. 거기에도 이유가 있다고 한다.
유 소장은 “대학원까지 공부하고 있지만 기술적인 수준은 고3때나 지금이나 별반 차이가 없다고 생각한다. 하지만 대학교육에서 의사소통 스킬에 대해 많이 배웠다. 논문을 발표하고 학술적으로 지금까지 내가 공부했던 것을 정립하고 객관적 위치를 스스로 돌아 볼 수 있는 기회를 갖고 있다”며 “해커들 중에서도 분석능력과 창조적 능력이 월등하지만 학력 때문에 인정을 못 받는 경우를 봐왔다. 대학교육은 기회가 많아지고 넓어지는데도 도움이 된다. 졸업장을 따기 위한 공부보다는 기회를 넓히고 기술을 정립하는 차원에서 공부는 권장하고 싶다”고 말했다.
아이넷캅은 어떤 회사일까. 그는 “내적 학습시스템이 잘 돼 있는 회사다. 2주에 한번씩 내부 기술세미나를 열고 있다. 각 분야 전문성을 서로 인정하고 지식을 공유하는 장이다. 각자 부족한 부분을 다른 구성원에게서 배워 자기 개발과 함께 비즈니스에서도 시너지가 발생할 수 있도록 노력하고 있다”며 “당장 성과가 나오지 않지만 학습이 가장 확실한 투자라고 생각한다. 직원들이 깊이 연구하는 버릇이 있다. 구성원들이 깊이 연구할 수 있는 환경을 만드는데 주력하고 있다”고 소개했다.
◇또 다른 꿈이 있다=한편 유 소장의 취미생활은 다양하다. 평일도 모자라 주말에도 회사에 나가 밀린 업무도 챙기고 연구활동도 하지만 틈틈이 기타와 드럼연주도 하고 공연장을 빌려 공연도 했다.
그는 “중학교 때부터 배웠던 기타와 드럼연주 하는 것을 좋아한다. 음악 매니아다. 그래서 회사에 기타와 드럼도 설치해 놨다”며 “사내 그룹사운드를 만드는 것이 또 다른 꿈이다”라며 즐거운 상상에 빠지기도 했다.
또 “사실 보안 분야에 몸담지 않았으면 미술을 전공해 지금쯤 미술 분야에서 열심히 창작활동을 하고 있었을 것”이라며 “아주 먼 훗날, 아이넷캅이 무럭무럭 성장한 후 퇴직을 하게 되면 진짜 하고 싶었던 미술 활동을 해 보고 싶은 꿈이 있다”고 말했다.
유 소장은 마지막으로 “보안 분야에 일하면서 서로를 존중하는 분위기가 만들어 졌으면 좋겠다. 또 서로 배척하지 말았으면 좋겠다. 장기적으로 봤을 때는 모두가 파트너다. 잘한 것은 인정해주고 멋진 경쟁자들로 함께 갔으면 하는 바람이 있다”며 한국의 해커와 보안전문가들의 대승적 차원에서 연합이 바람직한 방향이라고 강조했다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지