KAIST 94학번이며 해킹보안 동아리 쿠스(KUS) 맴버이자 해커출신 사업가로 A3시큐리티 설립, 이후 국내 최대 게임업체인 엔씨소프트의 보안총괄 그리고 고려대학교 교수. 이런 화려한 이력때문에 보안바닥에서 그를 모르면 간첩이다. 그를 향한 후배들의 시선은 당연 본받을 만한 선배이자 부러움의 대상이다. 늦가을, 고려대 김휘강 교수 연구실이 있는 안암동 교정을 찾았다. 지난해 3월 3일부터 고려대 정보보호대학원 조교수로 임용돼 강단에 선지 벌써 1년 8개월이란 시간이 지났다. 그의 근황과 현업을 떠나 학자로서 바라보는 보안에 대한 생각은 어떤 변화가 있었을까 궁금하다.
 
◇현장에서 대학으로=김휘강 교수가 고려대로 오게 된 과정이 궁금했다. 김 교수는 “2009년 고려대에서 보안분야 교수를 모집한다는 임용공고가 떴다. 아내는 적극 찬성이었다. 그 당시 엔씨소프트 보안업무에 올인하고 있었기 때문에 가족들과 변변한 추억 한번 못 만들고 그렇게 매일매일 업무에 쌓여 살았다”며 “엔씨소프트에서 많은 것을 배웠고 회사와 상호간 신뢰로 정말 열심히 일했던 것 같다. 하지만 아내의 권유도 있고 현업에서 배운 것을 학문으로 정립하고 싶은 욕심도 있었다. 그리고 후배들과 지식을 공유하고 싶은 마음도 컸다. 그래서 이력서와 필요한 서류를 준비해 지원하게 됐다”고 말했다.
 
김 교수는 고려대의 열린 사고방식 때문에 임용이 될 수 있었다고 겸손해 한다. 일반적으로 교수임용은 본교 출신인지, 유학을 다녀왔는지, 연구성과와 논문이 얼마나 누적돼 있는지, 해외 강의 경험은 얼마나 되는지 등을 기준으로 임용을 결정한다.
 
반면 자신은 박사학위는 있었지만 지속적으로 논문을 발표한 것도 아니고 고려대 출신도 아니다. 또 유학을 다녀온 것도 아니고 강의를 계속 해 온 것도 아니었다. 하지만 고려대 대학원은 열려있었다. 이론과 실제 경험은 갖춘 인재를 양성하기 위해 실질적 교육에 중점을 두는 대학원이다. 이런 것이 맞아 떨어져 임용이 가능했다고 한다.
 
김 교수는 “그래도 교수는 논문으로 평가받는다. 그래서 첫해는 스트레스를 많이 받았다. 남들보다 출발이 늦은 터라 좋은 논문을 발표해야 한다는 압박감이 심했다”며 “정말 의욕적으로 준비해 국제저널에 논문을 한편 발표했는데 그 결과가 1년 뒤에 왔다. 결과는 떨어졌다. 발전적 지적사항도 없었고 어떤 문제 때문에 떨어졌다는 코멘트도 없이 그냥 뭔가 맞지 않는다는 이유였다. 그래서 실망도 많이 했지만 이제는 익숙해져서 차근차근 논문도 발표하고 교수로서의 리듬을 찾아가고 있다”고 말한다.  
 
현장에서는 프로젝트가 시작되면 빠르면 일주일 늦으면 한달 만에 결과가 나온다. 논문은 그렇지 않다. 혼신을 다해 완성해 국제학회에 보내면 마냥 기다려야 한다. 기다리는 사이에 또 다른 논문 주제를 찾아 연구하고 또 작성하고 이런 과정의 반복이라고 한다.
 
그는 “처음 고려대에 와서 고민이 많았다. 초보 연구자로 출발해 심적 부담이 컸던 것 같다. 현업보안기술자는 학계에 적응하지 못한다는 말을 들을까 노심초사했다”며 “첫 케이스인데 현업 경력이 학교랑 맞지 않는다는 인식을 주면 후배들에게도 희망을 꺾는 일 같아서 더 열심히 노력했다”고 말했다.
 
◇초보 교수로서 김휘강=현업과 학계의 다른 점도 많을 것 같았다. 김 교수는 “연구실에 온 첫날 내가 과연 이 조직에 어울리고 살아남을 수 있을까 고민했다. 한 달이 지났는데 답답함이 느껴졌다. 회사 부하직원은 어떤 과제가 떨어지면 어떻게든 해 낸다. 전쟁터에서 서로 의지할 수 있는 동료들이다” 반면 “처음 학생들을 받았을 때 그들은 처음 보안을 접했고 영어 원서로 이루어지는 수업도 힘들어했고 논문 읽은 방법도 몰랐다. 이 친구들을 데리고 연구를 잘 해낼 수 있을까 걱정도 됐다. 하지만 역시 반년이 지나고 1년이 지나면서 학생들이 젊어서 그런지 빠른 속도로 올라왔다. 지금은 너무 열심히들 하고 잘 따라와 주고 있다”고 말한다.
 
한편 그는 아쉬운 점도 있다고 한다. “대학원 2년간 석사과정 가르쳐 놓으면 취업해야겠다고 나가 버린다. 좀 허무하고 아쉽다. 또 신입생을 받아 처음부터 다시 가르쳐야 한다는 부담감도 있다”며 “회사는 인재가 남아서 영속성을 가지고 계속 이어지는데 학생은 관심과 애정을 가지고 가르쳐도 언젠가는 떠나버리더라. 내 지식의 분신으로 만들어 보고 싶었는데 거기서 오는 상실감이 현업과 학계의 차이점으로 보인다”고 설명했다.
 
또 교수는 연구만 한다고 해서 되는 것이 아니었다. 바로 학생들의 생계문제도 어느 정도 책임질 수 있어야 한다. 그는 “KAIST에서 공부할 때는 학비가 들지 않아 돈 걱정은 안했다. 그래서 열심히 랩실 운영하며 연구에 매진할 수 있는 분위기를 만들어 보고 싶었다”며 “하지만 학생들의 학비와 약간의 생활비에 도움이 될 수 있는 연구과제 프로젝트도 수행해야 했다. 그 부분을 처음에 몰라 자식 같은 학생들이 힘들었을 것이다. 그래서 아직 많지는 않지만 최대한 연구과제도 하면서 학생들의 어려움을 해소해 주고자 노력하고 있다”고 말했다. 교수란 직업도 만만치 않구나란 생각이 들었다.
 
그는 고려대 정보보호대학원 온라인컨텐츠보안 연구실을 책임지고 있는 만큼 현업에서 연구해 오던 게임작업장 문제를 계속 연구해 오고 있다. “중국이나 베트남 등지에서 오토프로그램을 이용해 게임아이템을 불법으로 모으고 이것을 돈으로 환전하는 일들이 계속되고 있다”며 “회사에 악영향을 주는 불법 프로그램이 사람인지 봇인지 분석해 차단하는 프로그램을 만드는 프로젝트를 여기와서도 엔씨소프트의 도움을 받아 계속 진행하고 있다. 프로젝트가 엔씨소프트 뿐만 아니라 게임업계에 장기적으로 도움이 되길 바라는 차원에서 연구를 진행하고 있다”고 밝혔다.
 
◇현장전문가와 이론가 섞여야 한다=현장과 이론의 괴리감도 대화주제로 올랐다. 현장 실무자들은 실제 경험도 안해보고 이론만 이야기한다고 말한다. 또 교수들은 이론적 체계없이 주먹구구로 현장을 운영한다고 실무자들을 평가절하한다.
 
김 교수는 “현장과 학계 양쪽 경험을 모두 해보니 양 진영의 조화가 필요하다는 것을 느꼈다. 현장에서는 항상 보안이 주인공이 아니었다. 게임업체라면 주인공은 게임개발자들이다. 그래서 보안담당자는 그들과 타협해야 하고 이론적으로 검증된 것을 적용하기가 힘들다”며 “현장에서는 이 정도면 충분하다는 타협이 있을 수밖에 없다. 그래서 현장에 암호 전문가 등 이론가들이 설 땅이 없다. 현장은 암호전문가 보다는 취약점 점검이나 VPN장비 셋팅, 리버스엔지니어링해서 악성코드 분석할 수 있는 실무자가 필요하다. 하지만 이제는 균형을 잡아야 한다. 보안의 중요성이 계속 대두되는 만큼 현장에서도 이론을 강화해야 하고 학교도 현장에 가깝게 다가가야 한다”고 강조했다.
 
그는 또 “DB암호화를 강력한 키로 적용하라고 하면 실무에서는 거부한다. 대형 사이트 경험 해 보지 않으면 얼마나 부하를 받는지 모른다. 하지만 이론가는 적용해보지도 않고 안된다고만 한다고 말한다. 그러다 보니 현장과 이론이 평행선을 달리는 것이다. 접점을 찾으려면 인력들이 섞여야 한다”고 덧붙였다.
 
◇보안을 보는 시각, Who와 Why에 집중하자=대화는 보안문제로 이어졌다. 그는 최근 침입탐지와 네트워크 보안 분야도 연구중이다. 많은 인력과 상시 보안관제 그리고 여러 보안장비가 배치돼 있는데도 왜 구멍이 생길까.
 
그는 “해커의 집요함이 가장 무서운 부분이다. 하지만 ESM이나 IPS 등 탐지관련 솔루션 등은 제한된 인터벌 안에서 알려진 공격이 있는지, 이상징후가 있는지만 본다”며 “하지만 최근 이상 징후는 롱텀을 두고 발생한다. 탐지 솔루션들이 학습할 수 없는 조건으로 조금씩 공격을 하기 때문에 탐지가 안되는 것이다. 즉 지금의 보안체계는 어디에서 일어난 공격이고 어떻게 들어온 공격인지만 분석하고 있다. 그래서 장기간 공격이나 변형된 공격에는 속수무책으로 당하는 것이다. Where나 How에만 집중해서는 안된다”고 조언했다.
 
그는 Where나 How에만 집중된 보안대응 컨셉을 바꾸어야 한다고 강조했다. Who와 Why에 집중해야 한다는 것이다. 어나니머스가 소니나 RSA를 왜 공격했는지, 우리 회사 개인정보가 왜 털렸는지를 연구하는 것이 중요하다. 이것이 바로 ‘시큐리티 인텔리전스’ 개념이라고 한다.
 
미 국방성이 DARPA(미국방위고등연구계획국Defence Advanced Research Projects Agency)에 사이버게놈 분석 프로젝트를 맡겼다. 공격코드에 개발자 습성이 남아있는 것을 분석하는 것이다. 개발자 습성을 연구하고 해킹그룹 공유사이트 등을 모니터링해 올라온 공격코드를 분석해서 누가 공격코드를 만들었고 누가 공격을 했는지 밝혀내는 작업이다. 미 국방성은 1년반전 이 부분에 집중적인 투자를 하고 있고 성과를 내고 있다. 김 교수는 우리도 이 부분에 집중투자하고 연구해야 한다고 강조하고 있다.
 
◇시큐리티 인텔리전스의 필요성=그는 “기업들은 장기간 분석해야 한다. 로그 1년치를 쌓아두고 데이터를 분석해야 한다. 그러려면 기존 솔루션으로는 안된다. 알려진 패턴만 분석하니 이상징후를 놓치는 것이다. 기존 솔루션은 탑10 정도만 탐지한다”며 “APT 공격을 막기 위해서는 Where나 How에 집중해 오던 것을 Who와 Why에 집중한 생각 프레임을 잡고 자체적으로 로그분석과 대응체계를 만들어야 한다”고 강조했다.  
 
또한 “이를 위해서는 내부 인텔리전스 체계를 확립해야 한다. 최근 보안사고가 북한의 소행이라는 결론이 인텔리전스에 근거한 결론인지 의심스럽다. 단기적 분석에 의해 발표된 결과는 장기적으로 보안신뢰도를 깎아 내릴 수 있어 위험하다”며 “인텔리전스의 체계적 구축은 보안인력만 가지고는 힘들다. 통계나 로그분석, 데이터마이닝 영역의 전문가들이 보안감각을 익혀 보안전문가들과 협업해야 한다”고 덧붙였다.
 
기업 여건상 보안쪽 인력이 큰 뷰(View)를 가지기도 힘들고 하루 아침에 될 일도 아니다. 데이터마이닝 달인과 보안담당자가 협업해 데이터 분석을 보안에 접목하면 기업 전체의 이상징후를 폭넓게 파악할 수 있는 아름다운 보안이 이루어질 수 있다는 것이다. 실제로 포털이나 전자상거래, 게임업체 등은 시큐리티 인텔리전스 체계 구축에 노력하고 있는 중이다.
 
◇보안업체, 악순환의 고리 끊을 방법 없나=한편 국내 보안제품에 대한 이야기도 나왔다. 현업 실문자로 국내 보안솔루션의 장단점을 훤히 알고 있기 때문에 이런저런 이야기가 많이 나왔다.
 
김 교수는 “국내 보안제품의 문제점은 보안인력이 대우를 못 받고 있는 문제와 일맥상통한다. 갑은 제품 가격을 후려치고 을은 머슴이며 서로간 존중이 없는 이유가 있다”며 “A3를 운영하면서 을의 입장에서 설움을 겪었기 때문에 갑사에 가면 천사가 되리라 마음먹었지만 막상 담당자가 되고 보니 너무 어이없는 제품들이 정말 많았다”고 말한다.
 
“회사가 글로벌이라 아무래도 글로벌 제품을 선호했다. 해외 지사와 본사가 표준화된 시스템을 갖춰야했기 때문이었다. 하지만 좋은 국산제품이 있으면 되도록이면 국산을 사용하려고 노력했다”며 “하지만 기능이 너무 부실한 제품들이 있었다. 기능설명서에는 빼곡히 적혀 있지만 실제 기능이 가동되지 않는 경우가 많았다. 또 문서의 질에서 너무 차이가 났다. 해외 제품은 매뉴얼만 잘 따라 해도 솔루션 운영이 가능할 정도였다. 그래서 글로벌 제품은 함부로 무상교육이나 엔지니어 불러 대기시키는 경우가 거의 없다. 반면 국산의 경우 매뉴얼도 부실하고 매뉴얼이 제대로 안돼 있어 엔지니어를 부르면 매뉴얼과 전혀 다른 방식으로 설치하거나 교육하는 등 신뢰가 가지 않는 경우가 많았다”고 밝혔다.  
 
품질관리가 제대로 안된다는 지적이다. “MS나 글로벌 기업들은 QA인력이 엄청나다. 엔씨도 QA인력이 100명이 넘는다. 물론 중소 보안업체의 고충도 알고 있다”며 “대부분 보안업체들이 중소기업이라 첫납품업체가 베타테스트가 된다. 갑사 담당자도 우리가 테스트베드이니 싼 가격에 줘야 하고 장애나면 보상해야 하고 일년은 무상유지보수와 무상 업데이트 해줘야 한다고 요구한다. 당연히 을사는 받아들인다. 갑사나 을사 모두가 제품에 자신이 없는 것이다. 이런 마당에 제대로된 제품 가격이 오고가고 제대로된 유지보수가 될 수 있을까”라고 말한다.
 
또 “보안업체 마다 핵심 엔지니어는 한 두 명에 불과하다. 이들이 회사를 책임지다 보니 격무에 시달리고 상대적으로 보수는 적고 여기저기 유지보수하러 다녀야 하고 커스터마이징만 하다보니 신제품 개발은 꿈도 못꾸고 그런 과정에서 신제품을 출시했다 해도 제대로된 제품이 나올리 만무하다. 이 악순환의 고리가 우리 중소 보안업체들의 현실이 아닐까 생각한다”고 말했다.  
 
이 질긴 무한 악순환의 고리를 어떻게 끊을 수 있을까. 김 교수는 이렇게 답한다. “작은 회사들이 합쳐져야 한다. 하지만 현실적으로 M&A가 잘 이루어지지 않을 것이다. 그렇다면 사람이 움직여야 한다”며 “능력이 안되는 회사는 정리되는 것이 맞다. 사람들이 능력있는 회사로 이동하는 수밖에 없다. 그렇게 대규모로 모여 큰 일을 이루어야 한다. 그러면 갑과 을의 악연도 해소될 것이다. 갑도 좋은 제품과 기업 앞에서는 절대 함부로 못한다”는 것이다.
 
갑사 입장도 이해가 된다. 갑사가 보안제품을 보는 기준은 당연히 성능도 보지만 해당 보안업체가 장기적으로 갈 수 있는지를 가장 먼저 본다. 문제가 발생해 회사가 사라질 경우 장비를 걷어내는 것도 큰 문제이기 때문이다. 그래서 회사 규모도 보게 되고 이직자들이 많은지 유지보수가 최소 3년은 이루어질 수 있는지 볼 수밖에 없다는 것이다.
 
한편 갑사도 변해야 한다고 지적한다. “유지보수비를 일괄적으로 도입비용에 10%를 적용하면 도입비용이 너무 낮게 책정됐을 경우 보안업체는 당연히 C급 인력을 유지보수 담당자로 보낼 수밖에 없다”며 “보안업체도 살고 갑사도 살려면 유지보수 비율을 도입가로 정하면 안된다”고 지적했다.
 
또한 관련 보험제도도 나와야 한다고 강조했다. 통상 계약서 작성시 을쪽 제품 하자로 갑에게 피해가 발생할 경우 보상을 해야 한다고 명시한다. 이럴 경우 대형 사고가 발생하면 중소 업체인 을에서는 감당하기 힘들다. 회사가 망하는 것이다. 그래서 갑사가 선뜻 중요 프로젝트에 국내 제품을 선택하지 못하는 경우도 많다. 온라인 게임회사 같은 경우 1시간 장애가 발생하면 20억 정도의 피해가 발생한다. 이에 대한 보상이 이루어질 수 있는 국내 기업이 몇이나 있을까. 기술력 있는 소규모 보안업체들도 외형 때문에 배제되지 않도록 관련 보험상품이 조속히 마련돼야 한다고 강조했다.
 
◇후배들아, 쫄지말고 당당하자=그는 후배들에게 조언도 잊지 않았다. “후배들 실력 좋다. 너무 주눅들지 않았으면 좋겠다. 언더그라운드에서는 존재감을 느끼지만 사회조직에서는 인정받지 못하는 경우를 봤다”며 “조금만 노력하면 당당해 질 수 있다. 쫄지마라. 미리 위축되면 안된다. 회사에서 뽑고 싶어도 자신감 없으면 안된다. 배포를 가지고 각자 빛나는 보석인데 스스로 위축될 필요 없다. 특히 대학원은 특화된 기술 있으면 깊이 있는 연구할 수 있다. 책만 본 학생들은 기발한 논문 못쓴다. 훌륭한 논문은 현장 경험자들이 더 잘 쓴다. 학업을 계속 하든 취업을 하든 자신감을 가져라”라고 주문했다.
 
그는 그 어려운 해킹기술도 터득했는데 사회가 요구하는 토익 700점, 졸업장 등은 상대적으로 쉬운 일이라는 것이다.
 
그리고 회사 일만 열심히 하다보면 자기 지식 소진만 하고 바보가 되어 간다고 조언했다. 회사에서 계속 생활하든 교수가 되든 지속적으로 자기개발을 해야 한다는 것이다. 회사 업무가 바쁘더라도 큰 뜻을 품고 주말이든 퇴근시간이든 조금씩이라도 야간대학원이나 학위코스를 밟으면 2~3년 안에 결과를 얻을 수 있다. 그러면 선택의 폭도 넓어진다는 것이다. 또 현장지식과 이론이 늘어나면서 자신의 시야가 점점 확대되는 것을 느낄 것이라고 조언했다. 물론 덤으로 일자리의 운신의 폭도 넓어질 수 있는 것이다.
 
◇현장과 학계 브리지 역할 하고파=김 교수는 “내년에는 지금 계속 하고 있는 연구를 밀고 나가 온라인 게임 보안쪽에 큰 틀을 만들어 보고 싶다. 현장과 학계의 가교역할을 할 수 있을 것”이라며 “게임 산업이 우리나라에서는 효자 상품이다. 이것을 중국 등 타 국가에서 불법으로 이익을 취해 가는 것을 막을 수 있는 방안을 마련하겠다. 또 강의에서 현장 냄새가 나게 더욱 노력하겠다. 그것이 김휘강만이 할 수 있는 특화된 장점이라고 생각한다. 그리고 해외 유명학회에 제대로 된 논문 1~2편을 내 볼 계획도 가지고 있다”고 말한다.
 
김휘강 교수가 진정으로 현장과 학계의 브리지 역할을 해주길 바란다. 그리고 후배들이 그의 발자취를 따라 갈 수 있도록 힘들겠지만 좋은 선례를 남겼으면 하는 바람이다. [데일리시큐=길민권 기자]