정보보호 분야에서 오랜 실무 경험과 폭넓은 시야 그리고 각별한 애정을 갖고 있는 인사들과의 인터뷰는 언제나 많은 것을 생각하게 만든다. 2016년 초, 데일리시큐는 한국전자통신연구원(ETRI)과 한국인터넷진흥원(KISA), 미래창조과학부 정보보호 CP를 거쳐 충남대학교 컴퓨터공학과 교수로 재직중인 원유재 교수(사진)를 만나 정보보호 산업과 인력양성에 대한 그의 생각을 독자들과 공유키로 했다.
 
우선 급변하는 IT 환경에서 보안기업들이 경쟁력을 갖추고 산업이 활성화되려면 어떤 준비들이 필요한지에 대해 의견을 물었다.
 
◇격변하는 IT 환경에 보안기업이 발전하기 위해서는

원 교수는 “산업진흥법이 보안회사들에게는 기회다. 하지만 그 기회를 살리기 위해서는 지금보다 제품 개발과정에 대한 체계를 더욱 잘 갖춰야 한다. 개발과정에 대한 투자가 없다면 그 기회도 없다”며 “개발과정 체계화에 대한 투자가 밴더들에게 이전보다 더 큰 부담으로 작용할 수 있다. 하지만 그 과정을 거치지 않고는 시장도 커질 수 없고 글로벌 제품들과 경쟁도 어렵다”고 말했다.
 
우리 보안기업들이 글로벌 시장에서 경쟁력을 갖지 못하는 여러가지 이유중 제품 개발과정에 있어 체계 부족으로 인해 제품 퀄리티와 성능에서 차이가 나고 있는 부분을 지적한 것이다. 국내 보안시장의 발전은 진흥법에 달린 것이 아니라 글로벌 시장에 내놔도 경쟁력을 갖춘 제품 퀄리티에 있다는 점을 강조한 것이다.
 
원 교수는 최근 IT 산업을 주도하고 있는 IoT, 클라우드, 빅데이터, 모바일, 핀테크 등 새로운 주류에 대해서도 보안기업들이 발 빠르게 대처해 나가야 한다고 강조했다.
 
그는 “IoT와 같은 경우, 서비스를 개발하면서 오픈소스를 많이 사용한다. 이때 오픈소스의 취약점이 그대로 다른 솔루션에 상속될 수 있다. 시큐어코딩 등 개발과정에서 보안이 고려되지 않으면 제품 출시후 큰 부담으로 돌아 올 것이 뻔하다. 이 분야에 대해 보안기업들이 관여할 부분이 많고 클라우드가 활성화 되면서 프라이빗 클라우드에서 사용자 부주의 등으로 개인정보 노출문제도 이슈로 떠오를 것”이라고 말했다.
 
또 “빅데이터는 아직 활용도를 못 찾고 있다. 더 성숙해야 한다. 여론평가나 동향분석에 주로 사용되는데 이 과정에서 비윤리적으로 조작하는 행위가 문제가 될 수 있다. 그리고 모바일은 랜섬웨어가 이슈고 대안은 백업인데 백업을 위해 클라우드를 사용한다. 이때 다시 클라우드 보안문제가 대두된다. IoT, 클라우드, 모바일 등 보안문제가 복합적으로 연결되고 있어 이 분야에 대한 보안기업들의 적극적인 움직임이 필요하다”고 조언했다.
 
◇IoT 산업, 잘 들여다 보면 새로운 보안 시장 존재

특히 원 교수는 미래부 정보보호 CP로 활동할 때 보안산업에 도움이 될 수 있는 많은 정책과 방향성을 제시했고 실제로 현실화시키는데 큰 역할을 담당했다. 
 
그 중 하나가 바로 IoT 보안과 관련해 ‘시큐어돔 프로젝트’다. ‘시큐어돔’은 디바이스단, 네트워크단, 서비스단 등 세가지 영역으로 나뉘고 영역별로 새로운 보안사업이 창출될 수 있다는 것을 제시하고 있다.
 
디바이스단에서는 하드웨어 암호화 모듈 수요가 늘 것이고 IoT 디바이스에 따라 다른 암호화칩 라이브러리와 시큐어 운영체제가 사용된다는 것. 따라서 보안기업들도 이 분야에 진입하기 위해서는 암호화칩 생산을 위해 하드웨어 구조도 연구해야 하고 그 분야 기업들과 연계해야 한다. 원 교수는 “이제 보안산업도 혼자 뭘 해 보려고 해서는 발전할 수 없다. 다른 산업과 연계를 통해 새로운 시장에 적극 진출해야 한다”고 강조했다.
 
네트워크단에서는 IoT 디바이스 게이트웨이가 많이 사용되면서 게이트웨이에 보안기능이 필수적이다. 사용자 디바이스와 플랫폼 사이에서 작동하는 게이트웨이가 공격을 받게 되면 치명적일 수 있기 때문에 IoT 게이트웨이의 보안기능은 중요한 보안 시장이 될 것으로 내다봤다. 원 교수는 “IoT 디바이스에 사용되는 백신의 역할과 게이트웨이의 보안기능이 구분된다. 또 IDS와 파이어월도 디바이스 기능에 맞춰 다양한 형태로 나 올 수 있어 이 분야에 대한 보안기업들의 역할도 중요하다”고 말했다. 
 
또 서비스단에서는 IoT 디바이스에서 생성되는 많은 개인정보들과 연결된 디바이스의 다양한 정보들이 노출될 수 있기 때문에 이에 대한 보안도 중요하다. 즉 원 교수는 “IoT 보안은 다른 업종과 연합하고 공동으로 연구되어야 한다. IoT 산업과 융합제품을 만들어 내는데 보안기업들이 적극적으로 참여해야 한다”고 강조했다.
 
◇M&A, 왜 보안기업끼리만 해야 한다고 생각하나

보안기업들이 다른 산업과 적극적으로 연합해야 한다는 이야기가 나왔다. 그러다 보니 자연스럽게 M&A 이야기로 대화 주제가 옮겨졌다. 원 교수는 보안기업끼리 M&A만 생각하지 말고 다른 분야 기업들과 M&A를 생각하라고 말한다.
 
원 교수는 “블랙베리가 왜 삼성이나 애플보다 강력한 보안을 자랑하는 스마트폰을 제조할 수 있을까. 바로 보안기업 인수합병에 있다. 블랙베리는 지난해 5천억원에 모바일 보안업체 굿테크놀로지를 인수했다. 모바일은 기업 비즈니스 활동에 있어 이제 필수적인 요소가 됐다. 편리성 보다는 보안이 중요시되고 있다. 블랙베리는 모바일에서 보안의 중요성을 인식하고 보안기업을 인수하며 자사 스마트폰 보안 기능을 세계 최고로 만들어 글로벌 경쟁력을 갖췄다”며 “국내 대기업들도 내부에 보안연구소를 두고 있지만 전문 보안기업을 인수합병해 경쟁력을 키우는 방안을 적극적으로 검토해야 하고 보안기업들도 이질적인 산업과 협력을 모색하는데 촉각을 세워야 한다. IoT 시대에 보안기업들이 확장할 수 있는 영역은 생각보다 많다”고 말했다.
 
◇정부, 산업 버티컬화하면 융합산업 발전시킬 수 없고 장기적 관점 가져야

정부기관의 인식변화도 필요하다. 부처별로 자기 산업만 육성하려는데 문제가 있다. 원 교수는 “정부 부처도 산업의 벽을 넘나들며 융합을 위한 체질개선이 필요하다. 부처별로 자기 산업만 챙기며 버티컬화 한다면 융합산업은 발전할 수 없다”고 강조하며 “특히 보안기업들은 IoT 시대에 각 산업의 경쟁력을 키울 수 있는 기술을 가지고 있다. 자동차 제조사가 보안기업을 인수한다고 해서 보안기업이 다른 산업부처로 넘어간다고 생각하면 안된다. 서로 보이지 않는 벽을 만들기 보다는 협력할 수 있는 모델을 찾아야 한다. 보안기업도 인식을 전환해 다른 산업과 융합하며 시장 파이를 키우려고 노력해야 한다”고 지적했다.
 
다음은 여전히 애정을 가지고 있는 한국인터넷진흥원(KISA)에 바라는 점이 무엇인지 질문했다. 원 교수는 “여러가지 어려운 점이 있겠지만 긴 호흡으로 멀리보고 일하는 것이 필요하다. 투트랙으로 사업을 진행하길 바란다. 단기 성과도 중요하지만 장기적 관점에서 사업을 진행 해야 한다. 특히 장기적 관점에서 직원 교육에 보다 많은 투자가 필요하다. 교육에 투자하면 향후 KISA 역량이 올라가고 그 인력들이 KISA를 떠나 보안기업이나 일반기업 보안책임자를 맡게 되더라도 사회 전반의 정보보안 역량을 키우는데 큰 활력소가 될 수 있을 것”이라고 답했다.
 
◇IT침해사고 피해액 산정 방법 진보해야

또 정보보호 산업이 성장하고 기업들의 정보보안 인식이 성장하기 위한 방안으로 그는 침해사고 피해액 산정 방법이 발전하고 피해액을 고시해야 한다고 말했다.
 
원 교수는 “화재나 재난이 발생하면 관련 기관은 피해액을 산정되고 그에 따라 보험금액이나 피해보상 규모가 정해진다. IT 보안사고도 그렇게 되어야 한다. 피해액 산정 방법이 진보해야 한다. 그래야 기업 경영에 보안이 얼마나 중요한 부분인지 경영자들이 인식하고 보안투자에 신경을 쓰게 된다”며 “지금은 사고액 산정이 제대로 되지 않고 있기 때문에 사고가 발생해도 법원 판결에 따른 배상액에만 신경 쓰고 신규 보안장비 몇 개 도입하고 사람 몇 명 늘리는 정도에 그치고 있다. 사고피해액 산정이 정확히 이루어지면 기업의 보안투자도 늘고 DDoS 보험, 개인정보 보험 등 다양한 보험 상품도 개발되고 보험분야에 정보보호 인력들이 진출해 업무영역도 넓어질 수 있다”고 내다봤다.
 
◇취약점 정보의 비대칭 심화와 정보통신망법 48조

마지막으로 앞으로 대학에서 학생들과 함께 연구해 보고 싶은 분야에 대해 물었다. 원 교수는 “인터넷 기반 장치를 검색할 수 있는 시스템으로 취약점을 찾고 해킹 대상을 검색하는데 자주 활용되는 검색 엔진 'Shodan(쇼단)'과 같은 플랫폼이 우리나라에는 없다. 그런 플랫폼을 가지고 엄청난 정보를 수집하고 있는 자들과 비교하면 우리는 너무 빈약하다. 취약점 정보의 비대칭이 심화되고 있다. 국가적으로도 큰 문제”라며 “쇼단과 같은 플랫폼을 만들어 보고 싶은 생각이다. 하지만 우리는 '정보통신망법 48조' 때문에 취약점 연구에 제약이 따른다”며 “기업에 도움을 주기 위해 취약점을 찾아 알려줘도 법 위반이 되는 상황이다. 그래서 쇼단과 같은 플랫폼을 개발하려는 시도 조차도 못하고 있다. 당연히 법은 필요하지만 학문적 연구 목적의 여지는 있어야 하지 않을까”라고 말했다.
 
※참고: <제48조(정보통신망 침해행위 등의 금지) ①누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다. ②누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손, 멸실, 변경, 위조하거나 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니 된다. ③누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.>
 
또 원 교수는 KISA 재직시절 버그바운티 프로그램을 처음 정착시킨 장본인이다. 이에 대해 그는 “처음 버그바운티를 도입한 것은 민간 기업들의 참여를 유도하기 위해서다. 지금처럼 정부 비용으로 취약점 버그바운티를 계속 운영하는 것은 문제가 있다. KISA는 신고된 취약점을 평가해 주고 민간 기업들이 펀드를 조성해 운영하는 방식으로 발전해야 한다. 기업들의 자발적인 참여가 필요하고 이를 유도할 수 있는 정책이 만들어 져야 한다”고 강조했다.
 
◇정보보호 인력양성, 너무 양적 팽창에만 맞춰져 있어 문제

마지막으로 원 교수는 “보안시장이 확대되기 위해서는 보안기업들이 총 칼만 만들어서는 안된다. 군화도 만들고 군복도 만들어야 한다. 보안시장의 영역을 너무 좁게 보면 안된다. 인식 전환이 필요하다. 그리고 현재 보안인력 양성 방향은 너무 양적 팽창에 치우쳐져 있다. 질적 성장에도 신경을 써야 한다. 프리미엄 교육이 병행되어야 한다는 것이다. 그래야 우수한 인력들이 배출되고 다양한 산업 분야로 보안전문 인력들이 진출할 수 있다. 그렇게 되면 자연스럽게 똑똑한 인재들이 보안분야로 유입되고 보안산업에도 긍정적 영향을 미칠 것으로 판단된다”고 전했다.
 
원 교수는 보안분야에 관심을 갖는 학생들에게 이렇게 말한다. “보안전문가가 될 것인지 해커가 될 것인지 깊이 생각해야 한다. 자신이 원하고 재능이 무엇인지 생각하지 않고 무작정 시류에 편승해 진로를 정한다면 후회하게 된다. 진로에 맞게 공부 방향을 정하고 공부하는 곳도 정해야 한다. 단순히 해커가 멋있어 보인다고 해서 그 분야만 공부하다 다시 돌아 오려면 상당한 시간을 손해 보게 된다. 막상 회사에서 보안전문가로 일하려면 보안 지식도 중요하지만 커뮤니케이션 능력이 상당히 중요하다는 것을 학생들에게 강조하고 있다”고 말했다.   
 
원유재 교수는 보안기업들이 시야를 넓히고 자신들이 할 수 있는 사업에 대한 고정관념을 버리라고 말한다. 기업들은 글로벌 경쟁력을 갖추기 위해 보안기업과 손 잡으라고 말한다. 정부부처에는 보안기업들이 산업의 벽을 넘나들 수 있도록 버티컬화 하지 말고 협력할 수 있는 구조를 만들라고 말한다. 법에 대해서는 자유롭게 연구할 수 있는 예외 조항이 필요하다고 말한다. 학생들에게는 유행에 흔들리지 말고 보안전문가가 될지 해커가 될지 방향성을 정해 공부하라고 말한다. 원 교수가 배출한 학생들이 우리 사회 각 분야의 정보보호 발전에 기여할 날을 기대하며 인터뷰 기사를 마친다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com