◇ 보안업체 게임보안팀의 장단점
보안업체의 게임보안팀 조직은 개발파트, 분석/대응파트, QA파트, 기술지원파트, 언어지원파트, 영업파트로 구분된다. 개발파트는 솔루션의 엔진개발과 유지보수업무를 담당하고 분석/대응파트는 입수된 해킹툴의 리버스 엔지니어링과 긴급대응을 담당한다. QA파트는 만들어진 모듈에 대한 QA, 탐지테스트업무를 담당한다. 영업파트는 제품 판매를 위한 고객사 방문이 주요 업무다.
 
강팀장은 파트별로 어떤 장점들이 있는지 설명한다. 우선 개발파트의 장점은 보안개발 부분에 있어 최신 기술을 습득할 수 있다. 게임 플랫폼의 안티디버깅, 안티리버싱 기술은 보안업계 탑이다. 또 커널 프로그래밍, 시스템 프로그래밍 등 윈도 인터널에 대한 지식이 상승한다. 더불어 다양한 암호화 프로그래밍, 코드 가상화 기술, 각종 알고리즘으로 코드를 보안하는 고급 기술을 연마할 수 있는 파트다.
 
한편 개발파트는 라이브 서비스 경험도 축적할 수 있다. 게임보안 솔루션은 1억명이 넘게 사용하는 솔루션이다. 각종 다양한 클라이언트 환경에 대한 대응력이 생기고 돈주고도 배울 수 없는 소중한 경험과 연륜을 얻을 수 있는 곳이기도 하다.

 
분석파트는 최고수준의 리버스 엔지니어링 기술을 연마할 수 있는 파트다. 게임보안 업계는 리버스 엔지니어링을 밥먹듯이 사용하고 있고 언제나 최신 기술의 리버싱에 대한 내용을 현업에서 접하는 곳이다. 또 최신 패커, 최신 암호화 기술에 대해 항상 가장 먼저 접하고 그것을 분석하는 경험을 하게 된다.
 
더불어 각종 도구와 자동화에 능해진다. 분석을 위한 다양한 툴을 해외 여기저기서 얻을 수 있어 다양한 무기와 장비를 보유하게 된다. 또 분석시간 단축을 위해 각종 자동화에 능해져 동적 분석과 정적 분석을 결합한 바이너리 분석 스펙을 강화할 수 있다.
 
또 부서별 전문화가 잘 돼 있다는 점이다. 게임회사의 보안팀에 비해 개발, 분석, 지원, QA 등 업무 분할이 잘 돼 있다. 악성코드 전문 부서와 협업도 가능하다.
 
강팀장은 “보안회사 게임보안팀의 장점은 배울 것이 엄청 많다는 점이다. 보안업계 최신 기술을 대부분 게임해킹으로부터 나온다. 특히 레퍼런스가 많을 경우 대규모 해킹정보를 얻을 수 있다”면서도 “과중한 업무로 인해 제대로 배울 시간이 없다는 것이 단점이기도 하다”고 덧붙였다.
 
물론 단점도 존재한다. 강팀장은 “전문화가 잘 돼있긴 하지만 진정한 전문화는 전문가들이 모였을 때 가능한 것이다. 해킹을 막지도 못하고 버그만 잔뜩 내는 제품을 개발하는 개발자, 개발도 못하고 대충 동적 분석하는 분석가, 기술도 모르고 중간에서 메일만 포워딩하는 지원파트, 그냥 실행만 시켜보고 돌아가면 끝이라는 QA파트가 모여서는 전문화라고 할 수 없다”고 지적했다.
 
또 개발자들이 개발 이외 업무에 너무 많이 동원된다는 점도 지적했다. “제품 소개 나갈 때 영업파트에서 해야 할 일을 개발자를 동원해 나가는 일도 비일비재하고 게임핵 막다가 장애를 일으켜 몇시간 게임 서비스를 마비시키는 일이 발생하면 용서를 빌 때도 개발자가 가야 한다. 시말서와 감봉에 시달리는 경우가 개발자들을 힘들게 한다”고 설명한다.
 
더욱 힘든 부분은 갑과을의 관계에서 ‘을’은 항상 힘들다는 점이다. 해킹이 늘어나고 대응속도가 늦어지면 갑사의 감정적 발언이 쏟어진다. “이러면 제품 뺍니다” “왜 일을 이렇게 하시나요? “답답해서 같이 일 못하겠네요” 등등
 
힘든 점은 또 있다. 게임사의 보안팀이 중간에 끼면 더욱 힘들다. 게임개발팀과 보안팀의 요구가 다를 때 어느 장단에 춤을 춰야 할지 난감한 경우가 많다. 또 말도 안되는 제품가격을 요구하는 경우도 힘들다. 한편 갑사로 간 보안담당자가 보안업체 개발자보다 더 잘하는 경우도 참 힘든 상황을 유발시킨다.
 
강팀장은 훌륭한 PM/SE과 그렇지 못한 자들에 대해서도 지적했다. 훌륭한 PM/SE에 대해 그는 “개발파트에서 만든 모듈과 라이브러리에 대해 즉시 숙지하고 문서작업에 능해 매뉴얼도 잘 만들고 커뮤니케이션에 능해 개발파트와 게임사 사이의 원하는 것을 적절히 채키해서 업무를 이끌어 간다”하지만 그렇지 못한 경우는 “모듈에 대해 이해하지도 못하고 이해하려고도 않는다. 매뉴얼과 각종 메일 작성은 개발/분석파트에 넘기고 맨날 본 해킹툴도 매번 물어보고 방어모듈 제작을 끝냈는데도 그것을 고객에게 전달하지 못해 욕먹게 한다. 제일 중요 한 것은 후배를 자기보다 더 바보로 키우고 있다”고 설명한다.
 
◇게임회사의 게임보안팀 장단점
게임회사의 보안팀은 업무분화가 쉽지 않다. 또 회사 내부에서 엮이는 부서가 상당히 많다는 것도 특징이다. 한 부서안에서 업무가 가능한 보안팀과는 달리 A부서, B부서, 본부 자체가 완전히 다르기 때문에 여기저기 뻗어있지 않으면 팀의 존재감 자체가 유명무실할 수 있다. 즉 회사 전체를 알아야 한다고 강팀장은 강조한다.
 
게임회사 게임보안팀의 장점은 우선 보안회사 게임보안팀의 장점을 대부분 가지고 있다. 더불어 장점에 대해 강팀장은 “게임 타이틀별 담당자를 지정할 수 있다. 게임별로 심도있게 보안을 할 수 있다”고 말한다.
 
특히 장점은 게임 개발팀과 보다 밀접한 관계를 형성할 수 있다는 점이다. 보안팀원이 직접 게임소스코드 작업을 할 수 있고 취약점도 즉시 해결할 수 있다. 방어모듈도 개발가능하고 리버싱을 통해서만 파악했던 내용을 쉽게 알 수 있다. 즉 게임개발팀과 작업 코웍이 좀더 쉽게 가능하다는 점이다. 강 팀장은 “물론 이것도 당연히 어느정도 성과가 나온 이후에 가능한 것”이라며 “개발팀에서 보안팀을 인정해 줄 때만 가능하다”고 덧붙였다.
 
게임회사 게임보안팀의 단점은 무엇일까. 초반에 업무 셋팅이 힘들다는 점이다. 게임 프로그래머들은 상상 이상으로 보안에 대한 지식이 높다. 그들에게 무시당하면 보안팀의 존재는 끝이다. 게임회사 프로그래머들은 탑클래스들이다.
 
또 게임회사는 운영/방어 이슈가 메인업무이기 때문에 정식 R&D로 인정받기 어렵다. 리더가 나서서 팀 자체에 연구하는 분위기를 만들지 않으면 보안팀은 도태되기 쉽다. 한편 보안회사 시절에는 전체 게임의 해킹 정보를 다 볼 수 있었는데 폭이 한정되는 것도 단점이다. 그리고 보안회사의 잘못도 보안팀이 책임을 지는 경우도 많다.
 
더욱이 개발팀, 운영팀 등 보안팀이 도와줘야 할 부서는 많고 정작 보안팀이 도움을 받을 부서는 없다는 점도 힘든 점이다. 보안회사에서는 부서 내부에 언어지원 파트가 있어 걱정이 없지만 게임사 보안팀은 해킹툴 같은 경우 중국어로 많이 돼 있어 번역 한번 하려면 여러 곳에 사정해야 하는 경우도 있다. 또 게임사는 여러 보안팀이 존재한다. 타 보안팀과도 기술적-문화적 교류를 잘 해야 회사의 전체적인 보안수준이 상승할 수 있다.
 
이외에도 보안의 3요소인 기밀성, 무결성, 가용성에 대한 고민, AV 우회하는 악성코드 나오면 얼마만에 대응해야 하나, 데이터 변조 해킹, 프로토콜이 이미 공개돼 버린 해킹, 치트 엔진 등 막기에 버거운 많은 해킹기술들에 대한 대응 등에 대한 힘겨움도 게임보안팀을 힘들게 한다.
 
◇게임보안 담당자의 미래는 ‘맑음’
여러 힘든 점이 있음에도 불구하고 강팀장은 즐겁다고 말한다. 그는 “보안 기술의 최고와 최신 내용을 경험할 수 있다. 또 게임 서비스는 IT의 완성작이다. 모든 분야를 접할 수 있으며 보안 분야에서 데이터마이닝을 활용하는 등 시각이 넓어진다”며 또한 “PM 역할을 하며 기술 뿐 아니라 커뮤니케이션, 매니저 역량을 미리부터 쌓을 수 있다”고 말한다.
 
또한 “SE/PM은 본인이 어떻게 일을 하느냐에 따라 업무 퀄리티가 바뀐다. 외국어를 잘하는 학생들이 해외PM이나 보안SE 등을 지금 시작하면 이 분야의 탑이 될 수 있다. 아직 이 분야는 블루오션”이라며 “외국어를 하며 보안지식이 있다는 것은 엄청난 장점”이라고 덧붙였다.
 
또 보안은 이제 수비만은 아니다. 해커들과 실시간 대결을 펼친다. 뚫고 막히는 작업을 반복하는 가운데 다양한 기술을 습득할 수 있으며 승리의 쾌감도 맛볼 수 있다. 또 여러 상황을 경험해 봄으로써 보안 컨설턴트로서 역량을 키워갈 수 있는 최적의 환경을 제공한다.
 
강팀장은 “게임보안이라는 분야는 상당히 즐거운 분야다. 게임이라는 플랫폼이기 때문에 재미있는 일 투성이다. 분석도 지겹지 않고 언제나 새로운 것을 배우는 기분”이라며 “하루하루가 영화나 시트콤같은 다이나믹한 이슈가 발생한다”고 말한다.
 
또 게임보안팀이 유념해야 할 부분에 대해 “초반부터 모든 게임을 다 커버할 생각은 접어라. 하나씩 해 나가야 한다. 또 보안팀은 엮이는 팀이 많기 때문에 적을 만들면 안된다”며 또 “처음 이미지를 잘 만들어야 한다. 힘들지만 업무가 즉시 처리된다는 이미지를 심어주는 것이 중요하다. 그리고 초반에 왜 존재감이 없는지 고민할 필요없다. 존재감은 보안팀이 만들어가는 것이다. 또 보안은 가르치는 것이 아니라 함께 하는 것이다. 여러 조직과 융화해 물 흐르듯 유기적으로 보안업무가 이루어질 수 있도록 만들어가야 한다”고 강조했다.
 
그는 마지막으로 보안인력들이 자부심과 긍지를 가지고 즐겁게 일하자고 말한다. “보안인들은 우리 사회에서 꼭 필요한 사람들이다. 그래서 긍지와 자부심을 가져야 한다. 만약 억지로 참아가며 일하고 있다면 포기해라. 이 일을 즐길 수 있어야 한다”며 “업무 자체가 공부가 된다. 다양한 사람들과 만날 수도 있고 그들의 삶에서 다양한 것을 배우고 있다. 그래서 지금도 게임보안팀에서 즐겁게 일하고 있다”고 말했다.
[데일리시큐=길민권 기자]