jinsoolife.

<고수를 찾아서> 8번째 상대는 소프트포럼의 김기영 이사다. 그는 보안 전문가로 소프트포럼에서만 8년째 근무하고 있다. 8년 경력이면 보안 솔루션 개발 업계에선 '백전노장'으로 분류된다. "겨우 8년갖고 '백전노장'이 될 수 있느냐?"고 묻는다면 감히 '그렇다'고 대답할 수 밖에 없다. 사실은 사실이다.

보안 시장이 나름 주목받았던 2000년대 초반만 해도 화려한 경력의 보안 전문가들이 보안 벤처로 집결했던 시절이 있었지만 지금은 상황이 달라졌다. 이제 당대를 풍미했던 고수들의 이름 석자를 보안 전문 업체에서 찾아내기란 쉽지 않다. 찾으려면 학교나 대기업 그리고 대형 포털 업체에 알아보는게 낫다. 지난 몇년간 국내 보안 업계가 겪었던 부침을 보여주는 상징적인 결과물이다.

이런 생각이 내 머릿속에 너무 강하게 밖혀있었던 탓일까? 지난달말 소프트포럼이 마련한 기자간담회에서 김기영 이사를 몇년만에 만났을때, 내입에서 튀어나온 첫 마디는 "오랜만이에요"나 "반갑습니다"가 아니었다. 주책없게도 "아직 계셨어요?"였다. 그것도 최대한 놀란 표정을 지으면서. 한마디로 오버액션의 극치였다.

그로부터 얼마 뒤 <고수를 찾아서> 인터뷰를 위해 다시 만난 김기영 이사는 보안 솔루션 개발을 계속하고싶어 남았다고 했다. 획기적인 기술로 돈을 잘버는 '킬러앱'을 만들고 싶었단다. 다행스럽게도 그가 몸담고 있는 소프트포럼이 보안 업계에서 비교적 안정적이었기에 그의 이런 희망은 유지될 수 있었다.

김기영 이사에게 많은 것을 물었다. 보안 솔루션 개발자의 현재와 앞으로의 가능성은 물론 국내 보안 솔루션의 경쟁력과 심심치 않게 터지고 있는 보안 사고에 대한 전문가로서의 견해까지.

부장일때 만났었는데, 지금 명함을 보니 연구소장으로 돼 있네요. 요즘은 어떤 일들을 주로 하십니까?

직책이 직책이다보니 신기술 및 신제품 기획에 중점을 두고 있습니다. 개발자 교육에도 많은 시간을 할애하고 있어요. 기술, 교양, 어학에 대해 비용을 절약하면서 할 수 있는 교육은 다하고 있습니다. 외부에도 많이 돌아다니는 편이에요. 이유는 크게 두가지인데, 하나는 외부에서 나오는 소리를 듣기 위해서고 또 하나는 제품 및 기술 홍보를 하고 싶어서입니다. 실컷 만들어 놨는데 시장에서 그냥 묻혀 버리면 안되잖아요? 회사가 손해를 보는 것은 물론이고 개발자로서도 상처가 되거든요. 이런 경험 저도 해봤는데, 다시 경험하고 싶지 않습니다. 시장이 원하는 제품을 만들고 싶어요.

개발자들을 상대로한 사내 교육이 구체적으로 어떻게 이뤄지는지 궁금합니다.

기술 교육은 내부와 외부 교육 두가지입니다. 외부 교육은 개발자들이 1년에 얻을 수 있는 기회가 그리 많지는 않아요. 때문에 기본적이고 다수 개발자들에게 공통으로 해당되는 부분은 온라인 교육으로 많이 해결하려 하고 있습니다. 내부 교육은 우리가 하는 쪽에 특화된 교육에 초점을 맞추고 있고요, 어학은 시간이 많지 않으니 영어와 교양도 쌓을겸 EBS를 적극적으로 활용하고 있습니다. 아침에는 원어민 영어 강사를 초청하는 시간도 갖고 있어요. 디자인 교육도 강조하고 있습니다. 개발도 디자인적인 감각이 있어야 한다고 보기 때문이에요. 코딩 뿐만 아니라 해당 분야에 대한 전문지식, 디자인 감각 등 개발자들이 해야될게 참 많습니다.

바람직한 개발자상은 어떤 모습입니까?

코딩을 하는게 재미있는 개발자가 있습니다. 하던 방법만 계속 사용하는 사람도 있고, 끊임없이 이거말고 더 좋은 것은 없는지 찾으려고 하는 개발자도 있습니다. 개인적으로는 후자쪽이 바람직하다고 봐요. 많은 개발자들이 회사 옮길때 사용하던 소스를 가져갑니다. 다른데서 쓸려고 하는거죠.  그러나 중요한 것은 원리나 개념이잖아요? 원리나 개념은 머릿속에 있지, 갖고다닐 필요는 없습니다. 아이디어도 새로 시도하는 과정에서 생기는 거고요.

지난 몇년간 많은 분들이 보안 업계를 떠났습니다. 어떻게 보시나요?

보안 자체를 떠난 사람도 있고, 업종 변경한 사람도 있어요. 이쪽이 잘안되니까 다른쪽으로 간거겠죠. 그쪽에서 잘될지는 미지수지만요. 물론 저는 남았습니다.(웃음) 전문가가 아니면 대접받지 못하는 세상인데, 한우물을 파야 한다고 봤기 때문이에요. 한분야에 오래있는게 중요하다고 보는 스타일입니다. 지금 소프트포럼에서만 8년째 일하고 있는데, 5년전에 알던 사람이 거의 없어요. 회사마다 한두명정도입니다. 그래서인지 그분들하고는 돈독하게 지내는 편입니다.

떠난 자리를 새로운 사람들이 채워줘야 하는데, 그것마져도 쉽지 않은 듯 합니다.

규모가 작은 업체가 많다보니  하고싶은 일하는게 아니라 잡다한 일에 치이고 사는 경우도 많습니다. 살아남아야 하니까요. 이런 상황에서 개발자들이 꿈을 꾸기는 쉽지 않습니다. 솔직히 말하면 그렇습니다. 그래도 사람들을 뽑아야죠. 이거 해야겠다는 생각을 가진 사람만 뽑아도 인력 기반을 만들수 있는 생각을 할때도 있어요. 사람들을 찾으려는 노력을 하지 않았다는 반성도 하게됩니다.

때문에 4월에 개최하는 해킹 대회가 숨은 인재들을 끄집어낼 수 있는 기회가 될 것으로 보고 있습니다. 참가하는 사람들도 도움이 될거에요. 혼자 하다보면 우물한 개구리가 될 수 있습니다. 자기가 다른 사람들에 비해 부족한게 무엇인지에 대한 피드백을 받을 필요가 있어요. 이런거 거치면 부쩍부쩍 성장합니다. 그런데 현실은 그렇지 않습니다. 이런 과정을 거칠 기회조차 없습니다. 한마디로 수동적이죠. 해킹 대회를 여는 것은 수동적인 것에서 벗어나 하고 싶은거 마음대로 해보라는 겁니다.

개발자가된 계기는 무엇인가요?

컴퓨터를 처음접한 것은 대학에 들어가서였습니다. 1학년 겨울방학 때 친구들과 어셈블리어를 같이 공부하면서 프로그래밍에 재미를 붙였고, 3학년 때까지는 주로 땜질을 한 수준이었습니다. 군대 갔다와서 알고리즘, 이미지 프로세싱 등을 좀 다루게됐죠. 졸업하고 첫 직장은 포스코였는데, 벨트컨베이어 설계검증 도구(자동제어 분야)를 혼자 만들다가 프로그래밍을 본격적으로 하고 싶어 후지쯔로 회사를 옮겼어요. 후지쯔에선 확장성표기언어(XML) 기반의 리포팅 모듈을 만들면서 프로그래밍을 시작했고 이후 XML을 이용한 지방자치단체 자산관리 솔루션을 제작했습니다. XML 초기부터 지겹게 XML을 하고살았던 편이죠.

시작은 보안이 아니었군요. 보안쪽은 어떻게 해서 시작했습니까?

후지쯔에 있는데,소프트포럼에서 아는 선배가 불렀어요. 당시 소프트포럼이 XML 보안을 하려고 했었거든요.  늦게까지 일하는 개발자 입장에서 회사가 집과 가까웠다는 점도 매력적이었습니다. 보안 그러니까 좀 있어 보인다는 생각도 들었고요.(웃음)

소프트포럼에서 지금까지 진행했던 프로젝트에 대한 소개좀 부탁드립니다.

2000년 10월  소프트포럼에 오자마자 회사 간판 제품인 Xecure웹의 다양한 언어 버전을 만들었습니다. 이후 보안메일 제품 Xecure익스프레스,  XML 시큐리티와 웹서비스 보안을 지원하는 XecureXML을 개발했습니다. 이후 채널암호를 지원하는 Xecure프록시, 어도비 애크로뱃에 전자서명을 제공하는 XecurePDF도 내놨지요.  그러다가 2004년부터는 주로 유비쿼터스와 모바일 관련 프로젝트를 진행했습니다. KT 홈네트워크 시범사업을 시작으로 다양한 홈네트워크 보안 프로젝트를 진행했고 디지털TV를 위한 T-커머스, T-뱅킹 솔루션도 개발해 케이블 TV와 지상파방송에 적용했어요. 최근에는 IPTV를 대상으로 작업을 하고 있습니다.

보안 개발자의 향후 전망에 대해서는 어떻게 보시나요?

사실 국내 보안 솔루션들은 다양하게 발달돼 있지만 개발에 큰 돈이 들어가는 제품에는 손을 대지 못하는 경우가 많습니다. 개발자들의 수준은 높아야 하는데 SW라는 이유로 헐값에 팔리다보니 제값을 받지 못하는 악순환도 반복되고 있습니다. 한번 떨어진 가격을 다시 높이는 것은 어렵습니다.  그러나 IT가 존재하는 한 보안은 사라지지 않을 것입니다. 이것은 다시말하면 보안 개발자가 먹고 살 일은 많다는 것으로 볼수 있죠. 보안 개발자의 미래는 밝다고 보고싶은 이유입니다. 좀더 나은 미래를 위해서는 풀어야할 과제도 물론 있습니다. 우선M&A 등으로 규모를 키우고 그에 맞게 제품 완성도를 끌어올릴 필요가 있다고 봐요. 이런 환경이 돼야 개발자들도 제대로 일을 할 수 있을 거고요.

SI업체에 있는 지인으로부터 보안팀에 배치받은 사람들의 표정이 그리 밝지 않다는 얘기를 들은적이 있습니다.

보안은 주인공이 아니며 잘해야 본전이라는 시각이 물론 있습니다. 그러나 이제 바꿀 필요가 있지 않을까요? 선진국은 보안은 비용으로 보고 있습니다. 회사를 운영하는데 컴퓨터가 필요한 것처럼 보안도 그렇게 보고 있는거에요. 단순히 면피하고보자는 인식이 아닙니다. 그러나 한국은 상대적으로 적극적인 보안은 하려고 하지 않는 편이죠. 사고가 나면 책임지는것은 당사자들인데도 말입니다. 예를 들어 시스템이 뚫렸는데, 우리는 정부 가이드 라인 따랐다고 하면 되겠어요? 사용자들한테는 안통하죠.

중국발 해킹이 많아졌습니다. 분산서비스거부공격(DDos)으로 인한 피해도 늘고 있는데요.

DDos는 이제 공격자들이 마음만 먹으면 언제든지 할 수 있습니다. 그럴 수 있는 환경을 이미 깔아놨어요. 하나의 방법으로는 방어가 쉽지 않을 듯 합니다. 서버, PC, 기간망 삼박자가 맞아야 가능하다고 봐요. 우리도 관련 제품을 준비하고 있습니다.

외국과 비교해 국내 보안 솔루션의 기술 수준은 어느정도라고 보는지요?

공개키기반구조(PKI)를 예로 들어볼께요. PKI 자체만 놓고보면 큰 차이점은 없다고 봅니다. 오히려 한국이 PKI를 더 많이 사용하고 다양한 솔루션을 개발했다고 봐요. 한국처럼 인증서 인프라가 잘된곳이 없습니다. 그러나 원천 기술로 넘어가면 얘기가 달라지죠. 원천기술을 확보해야 하는데, 성능 테스트하면  외산에 뒤지는 경우가 많습니다. 보안 장비는 더욱 그렇습니다. 경쟁력을 키우려면  쉽게 만들어서 빨리 파는 모델로는 한계가 있습니다. 오래준비해서 성능이 좋은 제품을 만들어야죠. 결국 자금력이 문제가 될거에요. 완벽하지는 않겠지만 M&A가 이 문제를 풀 수 있는 해법이 될 수 있을거고요.

사실 해킹과 보안기술은 큰 차이가 없습니다. 해킹 기술이 보안에 사용되고 다시 그 기술이 해킹에 사용됩니다. 해킹이 발달했다는 것은 그만큼 보안 기술이 발달하고 있다는 뜻이에요.
보안은 다른 어떤 분야보다도 축적된  노하우가 중요한 분야인 만큼 인력 유출로 인한 어려움이 있는 것은 사실입니다. 그러나  최근 보안 시장이 다시 좋아지고 있고 새로 들어온 인력들이 성장하고 있기에 큰 걱정은 없습니다. 또 경험은 많지 않지만 보안에 관심이 많은 신세대 보안 개발자들은 종종 깜짝 놀랄만한 재주들을 보여주고 있습니다. 그럴때면 '죽으란 법은 없구나'라는 생각을 하게되요. 분명한 것은  크래커와의 싸움에서 밀리지 않는 방법은 오직 인재양성입니다. 소프트포럼이 방어기술 콘테스트와 해킹대회, 보안 컨퍼런스를 개최하는 것도 숨은 인재들을 발굴하고 기회를 제공하기 위해서입니다. 

보안개발자가 되고 싶은 후배들에게 해주고 싶은 말은 무엇인가요?

다른 분야와 비교하기는 좀 그렇기는 하지만 보안은 보안 기술은 물론 일반 응용프로그램과 시스템 프로그래밍에 대한 깊이있는 지식이 필요합니다. 절대로 심심할 틈이 없는 분야라고 할 수 있죠. 교수님들과 얘기를 나누다보면 보안은 이것저것 다 배운 다음에 시켜야 된다는 말을 들을때가 많습니다. 보안이 그만큼 어렵다는 얘기겠죠. 한마디로 끊임없이 공부하지 않으면 안된다는 뜻입니다. 이에 공부하기 싫어하는 사람들은 미리 다른길 알아보라고 말해주고 싶습니다.(웃음) 그러나 멋진 컨설턴트나 백발을 드날리는 개발자가 되고싶은 이들에게는 보안은 매력적입니다. 특히 논쟁을 재미있어 하는 사람들은 얼마든지 뛰어들라고 권하고 싶습니다.
 
향후 계획을 듣고 싶습니다.

획기적인 기술과 아이디어로 돈 많이 버는 제품을 만들고 싶습니다.  보안성과 편리성에서 그 해답을 찾으려고 노력하고 있습니다.

http://delight.bloter.net/1112