이번 인터뷰에서 만난 분은 IBM에서 보안 컨설턴트로 일하고 있는 박형근 님입니다. 보안은 단순한 기술을 넘어 하나의 완결된 체계로 보고 효율적으로 조율하는 것이라는 박형근 님의 보안 이야기를 들어보시죠.
그 전부터 보안 공부를 하셨나요.
 보안에 대해 관심이 있었는데 전공이 전산이 아니었기 때문에 전문 지식이 있지는 않았습니다. 단지 컴퓨터에 대해 관심이 있었고 그 중에서도 보안 세계에 대해 흥미를 느꼈습니다. 관심만 있다가 인연이 되려고 했는지 기무사에서 보안 담당 업무를 했고 계속 그 분야를 공부하게 됐습니다.
|
 |
|
|
군 복무 기간에 보안 공부를 하신 셈인가요.
군 복무를 하면서 공부를 하기는 쉽지 않은데, 학습이라기보다는 업무를 하면서 보안 개념을 이해하기 시작했고 관련된 책을 읽으면서 배우는 과정이 반복되면서 성장한 것 같습니다. 제대 후 컴퓨터를 공부하기 시작했는데 당시에는 보안이라고 방향을 정하지는 않았습니다. 군대 시절 표창 경험이 있기는 했지만 그냥 컴퓨터에 대해 공부를 해야겠다고만 생각했습니다. 그런데 이상하게도 보안에 더 관심이 가서 공부를 했고 졸업 후 IBM 보안 사업부에 취직하면서 지금까지 이어졌습니다. 일종의 업인 것 같습니다.(웃음)
|
|
|
|
보안에도 다양한 하위 분야가 있는데 지금 하시는 일은 구체적으로 어느 분야인가요.
본래 업무는 IBM 티볼리 사업부의 보안 제품군에 대해 기술 지원을 하는 것인데 고객들의 요구가 다양해지면서 컨설팅 수준의 내용에 대한 요구가 있었고 제 스스로도 성장하기 위해 티볼리 보안 제품에 그치는 것이 아니라 보안 소프트웨어 전반에서 더 나아가 보안 개념, 조직, 관리체계 등에 대해 관심을 갖고 공부하다 보니 보안 전반적인 내용에 대해서도 조언을 할 수 있는 역할을 하게 됐습니다.
|
|
|
|
실제 현장에서 보안 컨설턴트의 역할은 어디까지 인가요.
보안 컨설턴트의 역할도 계속 변해 왔는데 현재는 고객의 전체적인 정보보호 관리체계에 대해 점검, 평가를 하고 그 다음에 향후 보안 계획과 방향에 대한 밑그림을 그리는 것입니다. 그 외에 보안체계 구축에 직접 관여하지는 않지만 구축 과정에 필요한 지원을 하고 있습니다.
|
|
|
|
방어자 위치가 아닌 공격자 관점에서도 연구를 하시나요.
예. 그런 관점이 필요합니다. “좋은 해커가 좋은 보안 전문가가 될 수 있다”는 말도 있듯이 공격자 입장에서 생각을 하고 그것을 토대로 방어책을 찾는 접근 방식을 취하기도 합니다. 예를 들어 웹 해킹 모의 실험을 해 보고 대응책을 생각해 보거나 해외의 해킹 추세를 분석하기도 하구요. 그런데 비즈니스 수준에서 보는 보안과 실무 수준에서 보는 보안은 약간 다릅니다. 다시 이야기하면 비즈니스라는 큰 기반 위에서 보안을 생각해야 하기 때문에 시각이 달라집니다. 단순히 취약점을 보완하는 것이 아니라 보호해야 할 가치 있는 자산이 무엇인지, 그 자산에 대한 위협이 어느 정도인지, 또 그 정도에 따라 보호에 들어갈 비용이 얼마인지를 총괄적으로 분석해야 합니다. 또 이런 기반 위에서 생각해야 하기 때문에 또 다른 복잡한 면이 있습니다. 정리하면 우선순위를 매기고 전체적인 관점에서 보안을 적정 수준으로 유지할 수 있도록 조율하는 것이라 할 수 있습니다. 그리고 종합적인 통찰력이 필요하겠죠.
|
|
|
|
보안 컨설턴트만의 어려운 점을 꼽는다면...
가장 어려운 점은 다 알 수가 없다는 점입니다. 아무리 보안에 대한 공부를 계속 했더라도 보안이란 영역이 굉장히 넓기 때문에 기술적이든, 조직적이든 들어가지 않는 곳이 없습니다. 이렇듯 굉장히 다양한 경우에 보안이 필요하기 때문에 실제 그런 상황을 제대로 파악하고 그에 대해 설명하려면 대상이 되는 조직과 기술에 대해 잘 알아야 하는데 한 사람이 그 전체를 깊숙하게 안다는 것은 불가능하죠. 노력은 많이 하지만 그런 점이 어려운 점 중 하나입니다. 컨설팅 요구가 들어왔는데 잘 모르는 부분이 있을 때는 같이 공부를 하면서 업무를 진행하기도 합니다.
|
|
|
|
상당수의 보안 사고가 시간과 자원의 한계 때문에 대비하지 못한 취약점이 뚫려 연쇄적으로 일어나는 경우가 많은데, 이런 문제들에 대해서는 어떤 대처가 필요할까요.
말씀하신 것처럼 생각하지도 못한 취약점으로 인해 사고가 생길 때가 있습니다. 앞서 말씀 드린 것처럼 보안 업무란 것이 전체를 다 막는 것이 아니라 우선순위에 따라 심각한 취약점이나 위협을 막아나가는 것인데 그렇게 하다 보면 빈번한 사고는 대부분 방어하지만 의외의 보안 사고가 나기도 합니다. 어쩔 수 없는 부분이 있지요. 하지만 더 중요한 것은 사고 후 처리 절차를 어떻게 하느냐일 것입니다. 만약 그와 같은 사고가 났을 경우 다음 번 보안 계획 수립 시에 우선순위를 조정하고 투자를 할 수 있도록 지속적으로 관리할 수 있는 프로세스가 필요합니다. 실제로 그와 같은 사고 발생 빈도는 아주 낮지만 관리가 필요한 부분이라 할 수 있습니다.
|
|
|
|
보안 사고의 경우 직접적인 피해가 많음에도 불구하고 인식과 기반이 쉽게 바뀌지 않는 것에 대해서는 어떻게 생각하시나요.
정보 관리체계가 잘 수립되어 있으면 큰 문제가 없겠지만 현실 세계에서는 시간과 돈이 제한되어 있기 때문에 이를 보안에 얼마만큼 투자할 것인지에 대한 문제가 있습니다. 보안이 잘 되려면 그만한 지원이 있어야 합니다. 그래서 경영층의 적극적인 지원이 매우 중요합니다. 물론 그냥 돈을 주지는 않겠죠. 정보 자산의 가치를 측정하고 그것을 보호하기 위해 얼마를 투자할 것인지를 고려해야 합니다. 그런데 제 개인적인 의견으로는 국내에서는 아직까지는 기술적인 접근을 더 좋아하는 것 같습니다. 예를 들어 PC 보안이라면 사내 모든 PC에 PC 보안 솔루션을 설치하는 거죠. 그런 것보다는 정보 가치에 따른 합리적인 투자가 필요하고 이를 위해 전략이 위해서는 필요한데 아직 잘 되는 것 같아 보이지는 않습니다. 보안은 솔루션만으로는 이루기 어렵습니다. 조직 문화나 관리 측면에서 문제가 생길 수도 있음을 인식해야 합니다. 즉 보안 솔루션 없이 보안을 할 수는 없지만 보안 솔루션만으로 보안을 할 수도 없는 거죠. 모든 것이 조화롭게 이뤄져야 하고 모든 사람이 참여해야 합니다.
|
|
|
|
컨설턴트로서 보람을 느끼는 순간은 언제인가요.
'보안 솔루션만이 전부다'라고 인식하던 고객들이 앞서 말한 내용에 공감하고 고마움을 느끼는 것이 보람이라 할 수 있습니다.
|
|
|
|
가장 매력을 느끼는 보안 분야는 무엇인가요.
보안이라는 것이 어차피 사람이 하는 것이기 때문에 정보보안 관리체계에 관심이 많습니다. 그런 것들이 잘 된 후 그 다음에 부족한 부분을 보안 기술로 다루는 것이기 때문에 실질적으로 중요한 것은 사람이라 할 수 있습니다.
|
|
|
|
SecurityPlus라는 보안 커뮤니티를 운영중이신데 어떤 계기로 만드셨나요.
두 가지 이유입니다. 한 가지는 앞서 말씀 드렸듯이 보안은 혼자서 다 할 수 없으므로 커뮤니티를 통해 함께 공부하고 지식을 공유해야겠다는 생각 때문이고 다른 한 가지는 개인적인 제 발자취를 커뮤니티를 통해 남기고 싶어서였습니다.
|
|
|
|
현재 9600여 명 규모의 대형 커뮤니티인데 어떤 과정을 거쳐 발전했나요.
곧 1만 명을 넘을 것 같습니다.(웃음) 업무 중에 만난 사람들에게 커뮤니티를 소개하고 참여를 권했습니다. 그리고 제가 공부한 모든 내용을 커뮤니티에 올리기 때문에 자료가 풍부합니다. 질적인 측면에서도 양질이고요, 그 자료를 보기 위해 찾아오는 사람들이 많습니다. 그렇게 입소문이 나기도 하구요. 다른 보안 커뮤니티에서는 해킹 도구를 많이 다루는 반면 SecurityPlus의 경우 보안 실무자들이 알아야 할 내용, 나갈 방향 등에 대한 자료로 특화되어 있습니다.
|
|
|
|
주로 어떤 사람들이 참여하고 있고, 어떤 활동을 하나요.
계층이 다양합니다. 학생부터, 실제 활동중인 해커, 현업에서 일하는 컨설턴트, 보안 실무자도 있고요. 규모에 비해서는 활동이 많지는 않습니다. 주력하는 활동은 두 가지인데 세미나와 번역 활동입니다. 세미나는 지난해부터 시작했습니다. 독특한 세미나를 준비해 자주 열려고 합니다. 번역 프로젝트에서는 국제적으로 권위 있는 문서인 SANS Top 20, OWASP Top 10 등을 번역하고 있습니다. 현재 SANS 및 OWASP 협회와 번역에 대한 협력 관계를 맺고 번역 에이전트로서 활동하고 있습니다.
|
|
|
|
커뮤니티에서 활동하는 실력 있는 '신예'들을 위한 계획은 있는지요.
제가 창업을 했다면 기회를 드릴 수 있을 텐데 그건 어려울 것 같고요.(웃음) 일단은 진로에 대해 고민이 있는 사람들에게 조언을 많이 하고 있습니다.
|
|
|
|
보안 분야에는 유독 '언더'라는 말이 쓰이는데 특별한 이유가 있을까요.
우선 크래킹과 해킹을 구분하지 않고 해킹을 범죄로 인식하기 때문이 아닐까 합니다. 물론 해커가 크래커로 변질될 수도 있겠지만 학습을 목적으로 해킹 기법을 연구하고 싶어 하는 것을 국내 환경에서는 잘 받아주질 못하는 것 같습니다. 그런 공부 환경을 만들어주는 곳도 많지 않고요. 이런 환경이 해킹을 공부하는 사람들이 '언더'로 가는 이유 중 하나일 것 같습니다. 보안 인력 급여가 그다지 높지 않은 것도 한 이유입니다. 기술 성숙도에 비해 보상이 높지 않으니 진로나 경력 계발에 어려움이 생길 수밖에 없습니다.
|
|
|
|
커뮤니티 운영을 위한 시간 배분은 어떻게 하시나요.
커뮤니티가 취미 생활입니다. 업무와 가정을 위한 시간 외에는 커뮤니티에 투자하고 있습니다. 사실은 그 시간을 커뮤니티에 대해 투자한다기보다는 보안 공부를 하고 그 결과를 커뮤니티에 올린다고 보는 편이 맞겠습니다.
|
|
|
|
커뮤니티의 향후 목표는 무엇인가요.
보안 연구 커뮤니티로서 보안을 필요로 하는 곳, 기업일 수도 있고 국가기관일 수도 있는데 그런 곳을 위한 외부 전문가 풀로서 활용할 수 있도록 성장하는 것이 1차 목표입니다.
|
|
|
앞으로 계획이 있다면.
보고민중입니다. 구체적인 것은 없지만 계속 공부와 업무를 해나가다 보면 길이 보이리라 생각합니다. 아직은 제 자신이 완성되어 그것을 바탕으로 무엇을 할 수 있는 단계는 아니기 때문에 계속 공부를 해야 하는 단계라고 생각합니다. 단기적으로는 정보보안 관리체계에 대해 좀더 깊이 있게 공부하고 책을 써보는 것도 개인적인 바람 중 하나입니다.
[박형근 소개]
IBM 티볼리 사업부에서 보안 컨설턴트로 일하고 있으며 네이버 SecurityPlus 카페를 운영하고 있다.
|
|
|
 |
|
|
*IBM developerWorks의 개발자 인터뷰는 릴레이 인터뷰 형식으로 다음 인터뷰 대상자는 서광열 님입니다. 다음 인터뷰도 많은 기대 바랍니다.
 [지난 인터뷰 보기]
|
|
|
