3.20 사건으로 떠들썩한 요즘 노트북 하나 메고 한 남자를 만나러 안암동으로 향했다. 올해초 안랩을 그만두고 새로운 사업을 준비하고 있는 디지털포렌식계의 젊은 피, 김진국 연구원이 바로 그다. 호칭은 연구원이 익숙하다. 해병대를 나와서 그런지 어딘지 모를 포스가 느껴지는 그와 고려대 근처 식당에서 간단한 점심으로 겸상하고 담배 한대를 핀 후 조용한 카페에서 인터뷰를 진행했다. 그는 요즘 어떻게 지내고 있을까.
 
◇경호원에서 정보보호 전문가로=소시적 이야기부터 들어봤다. 그는 고등학교 때 꿈이 경호원이었단다. 그의 이미지와 어울릴 법하다. 성격도 적극적이라 고등학교 전교회장 출신이다. 시쳇말로 엄친아다. 그는 고등학교 2학년 중순, 정보보안 전문가로 사상전향을 하기 전까지 경호원이 되기 위한 필수과정인 태권도로 무술훈련에 매진했다. 하지만 경호원은 평생 누군가를 위해 그 밑에서 충성을 다해야 하는 운명이란 것을 깨닫고 인생을 주도적으로 살 수 있는 것이 무엇일까 고민한다. 그러던 중, 정보보호 전문가가 미래 유망직종이라는 언론기사를 접하고 나서 목표를 수정한다.
 
김진국 연구원은 “당시는 정보보호학과가 없어 강원대 컴퓨터공학과에 입학했다. 보안공부를 하고 싶어 스터디 모임을 만들어도 참가하는 사람이 거의 없었다”며 “그래서 서울에 보안관련 스터디 모임이나 보안 컨퍼런스가 열리면 열심히 서울행 기차에 몸을 실었다”고 한다. 지금은 지방대에 정보보호학과들이 많이 생겨 다행이다.
 
당시 그는 인젠이나 어울림 등 보안회사 취업을 목표로 준비를 했다. 그 과정에서 부족한 보안지식을 메우기 위해 3개월 과정으로 주말에 서울로 올라와 찜질방에서 서식하며 토, 일 학원수업을 듣기도 했다. 그때 배운 것이 시스템보안, 포렌식, 네트워크 보안 등이었다. 당시 포렌식 교육을 담당하던 강사는 그에게 대학원을 추천한다. 좀더 전문적인 지식을 배울 수 있다는 이유에서다.
 
김 연구원은 “고려대 정보보호대학원을 지원했다. 서류전형에서 떨어질까 걱정돼 대학에서 받은 표창장부터 각종 이수증 등 전혀 상관없는 활동들까지 모아 포트폴리오를 만들어 제출했다”며 “그런 정성이 기특했던지 합격을 시켜주신 것 같다”고 미소 짖는다.
 
그는 고려대 대학원에서 다양한 전공 교수님들께 폭넓은 지식을 배우고 인맥을 넓힐 수 있었다고 한다. “대학원에서 포렌식을 전공했지만 포렌식을 제대로 하기 위해서는 컴퓨터, 네트워크, 시스템 등 다양한 기초지식이 필요하다”며 “그때 배웠던 지식은 사회에 나가서 배우기 힘든 기초 지식들이다. 실무를 할수록 기초적인 부분이 얼마나 중요한지 알게 됐다”고 말한다.
 
◇디지털 포렌식, 때론 노가다…때론 매력적=디지털 포렌식으로 대화주제가 넘어갔다. 전통적인 포렌식은 수사과정에서 필요한 증거 획득 방식이며 또 그 결과물이 법정에서 증거로 인정받을 수 있도록 입증하는 과정을 말한다. 한편 최근에는 디지털 포렌식 기술만을 활용해 기업의 침해사고 분석, 내부감사 등 소송목적 이외의 목적을 위해 활용되는 경우도 많다.
 
그는 “전통적 포렌식은 기술이 전부가 아니다. 기술과 함께 법정에서 신뢰할 수 있는 증거로 채택될 수 있도록 증거능력을 극대화 시키는 모든 것을 말한다. 그래서 기술만 활용하는 포렌식 전문가와 전통적 포렌식 전문가 사이에서 양분되는 경향이 있다”며 “서로 분리되기 보다는 디지털 포렌식이 새로운 정보보호 영역이란 것을 인식하고 포렌식 기술을 통해 새로운 정보보호 시장이 열릴 수 있도록 서로 존중하고 협력해 시장을 키워갔으면 한다”고 말한다.  
 
디지털 포렌식은 어떻게 공부해야 하고 매력은 무엇일까. 그는 기초와 끈기가 필요하다고 강조한다. “결국 포렌식은 분석 결과물이 100% 신뢰할 수 있는 증거가 될 수 있도록 입증하는 것이다. 그러려면 컴퓨터, OS, 데이터베이스, 네트워크 등 모든 부분의 기초가 중요하다”며 “대학이나 대학원에서 배운 것이 중요하다. 사회 나와서 다시 배우기 힘든 기초과정들을 열심히 공부해야 한다. 그 위에 실무경험이 쌓이면 디지털 포렌식 전문가로서 명함을 내밀 수 있다”고 강조한다.
 
또 “끈기가 있어야 한다. 포렌식은 가끔 노가다다. 대형 사건들을 분석하다 보면 50개 하드디스크를 2주동안 분석해 본적도 있다. 정말 머리에 쥐가 날 정도”라며 “끈기를 가지고 하나하나 분석하다 보면 단편적이고 흩어져 있던 파편적 증거들이 하나의 그림으로 보여지는 순간 그 쾌감은 이루 말할 수 없다. 그게 포렌식의 매력이기도 하다. 또 왜 이런 결과가 나왔는지 도무지 모르겠다가도 분석과정에서 이런 동작을 하면 이런 결과가 나온다는 것을 알아냈을 때도 포렌식의 묘미에 빠지게 된다”고 말한다.
 
그는 커뮤니티 활동과 글씨기 활동에도 적극적이다. 그가 운영하는 포렌식 프루프((FORENSIC-PROOF / forensic-proof.com)라는 블로그는 대학원에 들어오면서 공부한 것을 하나하나 정리해보자는 취지에서 운영하기 시작했다. 또한 현재 에이콘 출판사 '디지털포렌식 시리즈' 에디터도 맡고 있으며, 데일리시큐에 '김진국'을 검색하면 그가 10회에 걸쳐 디지털 포렌식을 알기 쉽게 설명한 시리즈 기고도 볼 수 있다. 이렇듯 디지털 포렌식과 그는 인연이 남다르다. 
 
또 포렌식 인사이트(FORENSIC INSIGHT / forensicinsight.org/)라는 커뮤니티도 운영하고 있다. 에너지가 넘친다. 그는 “외국에 비해 국내 포렌식 종사자들간 정보공유가 활발하지 못하다고 생각했다. 수사기관에 전문가들이 많기 때문이기도 하다. 기관별로 학교별로 나눠지는 분위기 속에서 정보공유를 하면 서로 기술발전도 할 수 있겠다는 생각에 커뮤니티를 만들었다”며 “지금은 서로 계급장을 떼고 만나 세미나도 하고 토론도 하고 친목도 다지고 있다. 총 회원은 30여 명이며 현재 2주에 한번 정도 첫째, 셋째 토요일 오전 강남일대 모임공간에서 세미나를 개최하고 있다”고 소개한다.
 
포렌식 인사이트 커뮤니티는 주로 포렌식 현업 종사자들이 참여하고 있으며 수사기관, 국가기관, 저작권위원회, KISA, 법무법인, 변호사, 민간기업 등 다양한 분야의 전문가들이 모이고 있다. 국내에서 유일한 포렌식 커뮤니티다. 또 세미나에서 공유된 결과물은 온라인 포럼(forensicinsight.org/insightforum)에 올려 정보공유(forensicinsight.org/articles)도 실천하고 있다. 
 
김 연구원은 “국내 포렌식 기술이 해외에 비해 떨어지지 않는다. 포럼에 세미나 문서를 올리면 해외에서도 많이 본다. 영어권 전문가들이 영어로 번역을 요구하기도하고 일본 친구들은 자신들이 직접 번역기를 돌려 포럼에 올라온 문서들을 보고 있다”며 “운영하면서 힘들기도 하다. 메일링 관리, 모임장소 예약, 온라인 포스팅 등 좀 힘들기도 하지만 의미있는 일이라 앞으로도 계속 잘 운영됐으면 한다”고 말한다.
 
그는 대학원을 졸업하고 6개월 정도 프리랜서를 하다 안철수연구소(현 안랩)에 입사한다. 안랩 침해사고 분석팀에 입사하자마자 3주간 현장에 투입돼 분석업무를 시작한다. 수사기관이 아니라 기업에서 분석을 의뢰하는 것만 해서인지 좀 답답한 면도 있었지만 현장 경험이란 항상 흥분되는 것.
 
◇현장에서, 보안의 현실에 직면하다=그는 “안랩 침해사고 분석팀에 일하면서 기업의 보안현실을 몸으로 느낄 수 있는 계기가 됐다. 큰 기업들도 내부 자신관리가 잘 안되고 있다는 것을 현장에서 보게 됐다”며 “중요하지 않은 서버들이 방치되고 있었고 부족한 인력으로 운영되는 보안팀은 힘겨워 보였다. 자산관리가 안되는 과정에서 보안홀이 생기고 그 틈을 공격자들이 집요하게 물고늘어져 사고가 생기고 있다는 것을 확인했다”고 회상한다.
 
그는 몇가지 현장 경험 에피소드를 소개했다. “내외부망을 분리한다고 하지만 완벽한 분리는 없다. 단기 작업을 하면서 내외부망을 연결시켜 놓고 이를 잊어버리고 그냥 연결시켜두다 사고를 당하는 경우도 있었고 APT 공격을 분석하면서 6개월 전부터 공격작업이 이루어졌고 분석결과를 알려주면 믿지 않는 경우도 있었다. 보안팀의 자존심이 무너지는 순간이긴 하지만 이를 증명시켜주면 어쩔 수 없이 믿는 경우도 있었다”고 말한다. 그는 그런 상황들이 처음에는 이해가 되지 않았지만 점차 어려움이 이해가 되고 이게 현실이구나 느꼈다고 한다. 
 
또 안타까웠던 점에 대해 “의뢰기업들이 사고가 났음에도 내부에서 다양한 조치를 취하면서 증거를 훼손시킨 후 한참 지나서야 의뢰하는 경우가 있다”며 “이런 경우 흔적을 찾기도 힘들어 분석이 어려운 지경에 이르기도 한다. 그래서 사고원인 규명이 제대로 안되고 원인규명이 안되면 재발을 방지하기도 어렵다”며 “기업에 한가지 팁을 드리면 사고발생 직후 바로 이미징 장비로 이미지를 떠 놓고 보관한 후 다양한 시도들을 해보는 것이다. 그러면 최초 증거도 훼손되지 않으니 시간이 지나 포렌식 의뢰를 해도 충분히 증거를 찾을 수 있다. 이점을 꼭 지켜줬으면 좋겠다”고 당부한다. 
 
그는 안랩에 근무하면서 다양한 사건분석과 많은 정보를 접할 수 있는 기회를 얻었고 시야를 넓히는 소중한 시간이었다고 말한다.
 
◇새로운 도전, 후회없이 부딪혀 볼 것=이제 그는 새로운 도전을 시작하려 한다. 지금까지 공부하고 현장 경험을 쌓은 디지털 포렌식으로 새로운 비즈니스 사업을 준비하고 있다.
 
김진국 연구원은 “사업영역을 3가지로 분류해 봤다. 하나는 포렌식 분석 서비스다. 분석능력이 필요한 로펌이나 기업의 의뢰를 받아 객관적 입장에서 분석 서비스를 제공해 주는 모델이다. 또 하나 포렌식 컨설팅 서비스다. 위협에 대응할 때 레디니스(Readiness, 준비도)를 가지고 있으면 빠르게 원인규명을 할 수 있다. 기업이 침해사고 대응 준비가 얼마나 되어 있는지 테스트 및 평가해 대응력을 키우려면 어떻게 해야 하는지 가이드를 제시해 주는 모델”이라며 “마지막으로 포렌식 트레이닝 서비스다. 기관이나 기업에서 실제로 필요한 분야만 요구에 맞게 실질적 교육을 해주는 서비스 등 3가지 모델을 준비하고 있다”고 말한다.
 
사업성에 대해 그는 “사고분석이나 포렌식 레디니스는 기업의 위협대응 능력을 키우는데 반드시 필요하고 장기적으로 기업 보안강화를 위해 꼭 필요한 부분이다. 시장성도 있지만 필요성도 크기 때문에 비즈니스로 가져갈 계획”이라며 “현재 계획 단계에 있으며 시장조사를 하고 있다. 걱정되는 부분은 한국시장이 서비스에 대한 합리적 비용책정 풍토가 조성되지 않아 고민되는 부분이다”라고 말한다.
 
그는 올해 중반 스타트를 목표로 ‘위드포렌식(With Forensic)’이란 이름으로 포렌식 서비스 사업을 시작하려 한다. 냉혹한 야생의 정글속으로 들어온 김진국 연구원은 이렇게 말한다.
 
“나의 한계에 부딪혀 보고 싶었다. 아직 젊고 내 성향이 부딪히며 살아가는 성향이라 스스로 한번 해보고 싶다. 고교시절 정보보호 전문가를 꿈꾸며 그때 꿈꿔왔던 것을 지금 실천해 보려 한다. 두렵기도 하다. 그래서 더 흥분된다. 이런 것을 즐기는 타입이다. 새롭게 알아 가는 것이 흥미롭다. 실패하더라도 후회하지 않는다. 또 다른 밑거름이 될 것이라 생각한다.”
 
김진국 연구원, 아니 미래의 위드포렌식 CEO 김진국 대표에게 갈채를 보낸다. 자신을 믿고 후회없이 밀고 가길 바란다. 훗날 무엇과도 바꿀 수 없는 큰 자산이 될 것이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com