2020-07-08 14:10 (수)
[인터뷰] 연수권 보안전문가 “보안컨설팅, 본래 취지로 돌아가야”
상태바
[인터뷰] 연수권 보안전문가 “보안컨설팅, 본래 취지로 돌아가야”
  • 길민권 기자
  • 승인 2017.11.09 04:13
이 기사를 공유합니다

넥슨부터 쿠팡까지 대규모 조직의 보안팀장 생활을 접고 의미있는 인생 2막 시작

▲ 연수권 보안전문가.
▲ 연수권 보안전문가.
얼마전 판교에서 대형 게임사부터 이커머스 기업의 보안팀장으로 일하다 최근 프리를 선언하고 박사학윈 논문 준비와 프리랜서 보안컨설턴트로 인생 2막을 살고 있는 연수권 보안전문가를 만나 인터뷰를 진행했다. 매일매일 치열한 해킹과 방어 실전이 펼쳐지는 게임사의 보안팀장은 아무나 할 수 있는 자리가 아니다. 또 쿠팡과 같은 대형 기업에서 보안팀장으로 근무했다는 것은 보안에 대한 문무를 두루 겸비한 전문가로 볼 수 있다. 다음은 연수권 보안전문가와 인터뷰 내용이다.

-대학 전공과 사회 첫발은 어디서 시작하셨나요?

대학에서는 컴퓨터공학을 전공했고 데이터베이스에 관심이 많은 학생이었습니다. 학교 다닐 때는 보안 전공이 없었는데 사회 첫발을 보안 컨설팅 업체인 인젠에서 처음 시작을 했습니다.

-인젠은 어떤 계기로 입사하게 되셨나요?

대학을 졸업하고 취업을 준비하기 위해 대학동기 집에서 머물고 있었는데 그때 친구가 퓨쳐시스템이라고 방화벽 만드는 회사에 다니고 있었어요. 그 친구가 보안분야를 추천해서 그때부터 보안에 관심을 가지고 CISA라는 자격증을 공부하면서 보안분야에서 일해야겠다고 생각을 하게 됐죠. 이후 컨설팅 업체 취업을 위해 알아보기 시작했고, 첫 직장으로 인젠에 입사하게 되었습니다.

-인젠을 시작으로 쿠팡까지 다양한 보안부서 근무 경험을 갖고 계신데 회사별로 어떤 업무를 하셨고 어떤 차이점들이 있었나요?

인젠은 2002년도에 입사해서 2005년까지 다녔고 기술보안 컨설팅 업무를 수행했어요. 이후 잠깐 안철수연구소(현 안랩)에서 동일한 업무를 하다가 2006년도에 넥슨 보안팀에 합류해서 2010년까지 근무했고, 엑스엘게임즈에서 2010년부터 2013년까지 근무했어요. 이후 2014년부터 2017년까지 쿠팡에서 근무했습니다.

게임사에 처음 입사해서 보안업무를 수행하는데 일반회사와는 상황이 많이 달랐죠. 게임 아이템의 환금성 때문에 침해사고가 빈번히 발생했고 게임보안이라는 특화된 영역이 있었기 때문에 이러한 위협에 대응하기 위해서는 기술적인 부분에 많은 부분을 할애 해야 했습니다. 사실 넥슨에 처음 들어가서는 여러가지로 부족한 점이 많아서 많이 어려웠어요. 다행히 실력 있는 팀원들을 영입하면서 저의 부족한 부분을 많이 채웠지만 아쉬운 부분이 많았습니다. 저는 기술적으로 많이 배우고 싶었지만 넥슨은 이미 많은 게임을 보유하고 있고 조직도 어느 정도 갖추고 있어서 팀장은 조직관리와 여기저기 발생하는 이벤트에 신경쓰기 바빴거든요.

이후 엑스엘게임즈의 보안팀에 초기 맴버로 입사했는데, 정말 많이 공부하고 배우고 많은 경험을 했던 시기였습니다. 게임이 한 개 밖에 없었고 CTB 단계부터 상용화까지 모든 보안부분을 검토하고 책임져야 해서 게임보안 전체 사이클을 한 바퀴 돌아보는 계기가 되었습니다. 단계별로 계정도용, 게임해킹, 시스템해킹 등 많은 이슈가 발생했고 이를 처리하는 과정이 정말 힘들기는 했지만 아주 값진 경험이었고, 재미 있는 경험이었죠. 저와 손발을 맞출 친구들도 영입하면서 아주 좋은 분위기에서 일할 수 있는 경험도 덤으로 얻었구요. 게임이 국내시장에서 흥행에 실패하면서 결국 팀이 해체되긴 했지만. 어쨌든 게임사에서는 기술적인 보안이 매우 중요하기 때문에 관리적인 부분이 약간 소홀한 부분이 있는데, 공격이 수시로 들어오기 때문에 어쩔 수 없는 부분인 것 같습니다.

반면 쿠팡에서는 게임사와는 아주 달랐어요. 게임사에서 보안을 하다가 쿠팡에 갔는데 공격도 별로 없고 보호해야 할 데이터도 개인정보 이외에는 없었어요. 그래서 쿠팡에서는 관리적인 보안 부분을 많이 신경쓰고 있었고, 입사 초기에는 적응이 좀 어려웠습니다. 제 머리 속에 있는 생각을 많이 바꾸어야 했거든요. 쿠팡에는 관리적인 부분에 대해 고민을 많이 하게 되었고, 또 서비스를 클라우드로 전환하는 작업이 이루어졌기 때문에 클라우드 보안에 대해서도 많이 고민하게 되고 공부도 많이 했던 기간이었습니다.

-회사를 옮길 때 기준은 무엇이었나요?

사실 몇 군데 회사를 다녔지만 가장 중요했던 건 사람이었던 것 같아요. 일이나 연봉은 정도의 차이는 있으나 하지 못할 수준의 일은 없다고 생각하고, 돈도 일순위로 생각하지는 않았어요. 입사할 때도, 퇴사할 때도 사람이 제일 중요했던 것 같습니다. 제가 어려서부터 조직장을 하다보니 조직구성에 관심이 많았고 제가 약간 책에서 나오는 듯한 그런 조직을 만들어 보는 꿈이 있어서 돈을 많이 준다거나 많이 배울 수 있다거나 하는 요구사항 보다는 어떻게 하면 모두가 만족할 수 있는 좋은 조직을 만들 수 있을까 하는 생각을 많이 했고 그런 환경을 갖출만한 여건이 되는 곳을 선호했던 것 같아요. 결론적으로 혼자 그런 조직을 만드는 것은 쉽지 않다는 것을 절감했지만 주위에 좋은 사람들을 많이 남긴 것을 보면 어느 정도는 성공했다고 생각하고 있어요.

“보안팀장, 커뮤니케이션 능력과 맞춤형 리더십 필요해”

-넥슨이나 쿠팡이라는 큰 기업의 보안팀장까지 하셨는데요. 보안팀 리더로서 갖춰야 할 덕목과 중요한 부분은 무엇이라고 생각하시나요?

제 생각에는 커뮤니케이션 능력이라고 생각해요. 물론 기술력을 보유하는 것은 당연한 것이고요. 기본적인 기술력이 없으면 무슨 소리하는지 이해를 못하기 때문에 기본적인 기술력은 반드시 필요하고 잘 듣고 명확하게 의사결정하고 명확하게 전달하는 것이 필요하다고 생각합니다. 실제 업무는 팀원들이 하지만 업무가 진행되다 보면 보안 관련해서 많은 이슈가 발생하고 많은 부분에서 커뮤니케이션 오류가 발생합니다. 이런 부분들을 팀 내에서 혹은 타 조직과의 관계에서 잘 풀어내는 팀장이 좋은 팀장이라고 생각해요. 예를들어 두 명이 회의를 하고 있는데 서로 다른 이야기 만 하다가 회의가 끝나는 경우도 많더라고요. 그래서 한국사람 사이에서 통역도 많이 했습니다. 회의를 하다보면 논점을 흐려서 엉뚱한 방향으로 끌고 들어가시는 분들이 생각보다 많아요. 팀장이라면 이런 부분을 원래 논점으로 돌려 놓고 원하는 결과를 도출하는 것이 필요합니다.

하나 더 있다면 팀원들의 개성 또는 요구사항 등을 개인별로 터치해 주는 감성이 필요할 것 같습니다. 처음 팀장직을 맡았을 때 모든 팀원들을 다 똑 같이 대해주고 객관적이고 공평하게 하면 아무 문제가 없을 것이라고 생각했어요. 그런데 사람이라는 것이 다 똑 같지 않기 때문에 요구사항도 지향하는 바도 모두 다르더라고요. 그래서 맞춤형 리더십이 필요하다는 생각을 했고 이후에는 팀원 개인의 성향에 따라 맞춤형으로 커뮤니케이션을 진행해봤는데 좀 힘들긴 했지만 상당히 효과가 있었습니다.

-현재 직장생할을 그만두시고 프리랜서 보안컨설턴트로 활동하시는데, 근황에 대해 말씀부탁드려요.

제가 회사를 그만둔 이유 중에 하나가 박사논문을 쓰는 것도 있어서 열심히 논문을 쓰고 있고요. 보안 분야에 여러 가지 일을 하고 있습니다. 대학교 강의, 인증심사원, 정부과제 참여, 교육 등등. 근데 아직 제대로된 컨설팅은 해보지 못했네요. 기회가 되면 제가 머리 속에 그리고 있는 컨설팅 한번 해보고 싶어요.

“보안컨설팅, 인증심사에만 맞춰지고 있어…본래의 취지로 돌아가야"

-보안컨설팅 업무를 하시면서 예전 컨설팅과 최근 컨설팅의 차이점은 무엇이라고 생각하나요?

아직 컨설팅을 많이 해보지 않았지만 컨설팅 하시는 분들을 만나보면 과거 제가 컨설팅을 했었던 시기와 많이 달라진 것 같아 보입니다. 과거에는 컨설턴트가 새로운 것을 만들어 보려고 시도를 많이 한 것 같은데, 요즘은 인증심사에 맞춰서 진행하는 컨설팅이 많은 것 같아요. 모의해킹도 과거에는 내·외부에서 권한 획득이 가능한지에 대해 깊이 있게 진행했었는데 요즘에는 웹 취약점 점검이 모의해킹을 대체 한 것 같기도 하고요.

-보안컨설팅이 앞으로 변화해야 할 부분이 있다면 무엇이라고 생각하나요?

인증에만 초점을 맞추는 것 보다는 컨설팅의 본래의 취지로 돌아가야 하지 않을까 생각해요. 컨설팅은 기업의 문제점을 진단하고 회사의 보안 수준을 높이기 위해 나아가야 할 방향성을 제시해야 하는데, 지금은 인증을 대응하기 위한 컨설팅을 하다보니, 기업의 보안수준을 높이기 위한 수준으로 컨설팅이 진행되지 못하는 것 같아요. 그리고 과거의 컨설팅 방법론에는 불필요하게 리소스가 투입되는 부분도 많이 있었던 것 같은데 아직도 동일한 방법론이 사용되는 것 같습니다. 수백대의 서버진단, 네트워크 장비 진단 등등 이러한 부분은 거의 동일한 구성이고 프로세스를 변경해주면 공통적으로 적용될 수 있는 부분이기 때문에 몇 대만 확인하고 프로세스를 체크하는 것이 필요한데 아직도 많은 서버들을 점검하는데 리소스가 많이 투입되는 것 같습니다. 또한 서버점검을 한다며 기존의 보안설정을 확인하는 수준에서 더 깊이 있는 분석이 필요한데 아직은 그런 부분이 이루어지는 것 같지 않습니다. 그리고 기존 보안 컨설팅이 기술, 관리로 나뉘어서 단편적인 부분이 있는 것 같은데, 기술과 관리는 떨어질 수 있는 부분이 아니기 때문에 기술과 관리를 같이 분석하고 통합적인 대책을 제안하는 것이 필요해 보입니다. 보고서가 화려하지 않고 몇 장되지 않더라도 정말 회사에 필요한 부분을 분석해주는 컨설팅이 필요해요.

-기업들이 보안컨설팅을 받을 때 보다 효과적이고 진정으로 보안강화에 도움이 될 수 있도록 하려면 어떤 준비들이 필요할까요?

첫 번째로 무엇을 보호해야 할지 명확하게 정의하는 것이 필요해요. 둘째는 요구사항을 명확하게 정의해서 컨설턴트한테 전달하는 것이 필요해 보입니다. 셋째로 컨설팅 회사의 컨설팅 방법론을 무조건 수용하지 말고 프로젝트 요구사항에 맞게 조정하는 것이 필요합니다. 단순 반복적으로 점검하는 부분에 소요되는 많은 리소스를 줄이고 원하는 요구사항을 해결할 수 있는 분으로 투입한다면, 컨설팅 수행기업도 도움이 되고 컨설턴트도 단순한 점검 작업에서 벗어나 고민하고 결과를 도출한다면 스스로 자부심이 생기지 않을까요.

“클라우드 관점으로 보안에 대한 시각도 변경이 필요해”

-쿠팡에 근무할 때 클라우드로 이관 작업에 직접 참여하셨는데 클라우드에 대한 생각이 있다면…그리고 이관하실 때 어려웠던 점과 타 기업에 조언을 해 줄 말이 있다면?

쿠팡에서 클라우드TF에 참여했고 초기에는 단편적인 지식을 습득하는데 급급했습니다. 이후에 한국인터넷진흥원과 클라우드 보안 교육교재를 만들고, 교육하고, 클라우드 인증심사에 참여하고, 인증심사를 하면서 몇몇 회사에서 클라우드 운영 형태를 보니 어느 정도 정리가 되더라고요. 아직까지는 쿠팡처럼 대규모로 서비스를 이전한 경우는 국내에 없는 것 같은데, 혹시 클라우드를 사용할 생각이라면 환경 자체를 변경하는 것이기 때문에 상당히 많은 고민이 필요해 보입니다. 과연 클라우드가 우리 회사의 서비스나 조직구조에 맞는 것인지, 또 비용은 얼마가 드는지 등에 대해 사전에 검토하는 절차를 반드시 상당한 기간을 가지고 검증해야 할 것 같습니다. TF를 구성해서 일정기간 다양한 관점에서 검토하고 클라우드 사용여부를 결정하면 아주 좋을 것 같습니다.

클라우드로 이관하기 위해서는 아키텍처 설계부터 향후 운영을 어떻게 할 것인지 모두 검토를 해야 해요. 각 부서별로 이해관계가 다르고 지향하는 바가 다르기 때문에 아키텍처 설계부터 이견이 많았습니다. 또한 운영을 위해 다양한 솔루션을 검토했지만 요구사항에 맞는 쓸만한 솔루션이 많지 않기 때문에 자체 구축해야 하는 상황도 다수 발생해요. 이러한 것들이 사전에 준비 되거나 병행해서 준비되어야 하기 때문에 사전에 충분한 검토가 필요합니다. 비용적인 부분도 무시 못하죠. 저도 그랬고 대부분 클라우드를 쓰면 비용이 절감될 것으로 생각하고 있지만, 실제 구축해보면 비용 더 늘어날 수도 있다는 것을 염두에 둬야 합니다. 그리고 보안하는 사람들은 클라우드 환경에서 온프레미스(On-premise) 환경 수준으로 보안을 유지 할 수 있을지 면밀하게 검토하는 것이 필요합니다. 물리적인 환경에서 가상환경으로 변경되다보니 여러가지로 고민되는 것이 많았어요. 보안솔루션 구축부서 계정관리까지 많은 부분이 클라우드 관점으로 보안에 대한 시각도 변경이 필요합니다.

-앞으로 계획은 무엇인가요?

우선 1차 목표는 박사학위를 받는 것이에요. 그리고 제가 아들이 하나 있는데 아내와 아들이랑 배낭 여행을 다녀올 생각입니다. 직장생활 할 때도 많이 생각했던 부분이지만 회사를 그만두고 나서야 이제 가능해 진 것 같아요. 또 프리랜서 활동을 지속해볼 생각이에요. 교육, 컨설팅 등 제가 필요한 곳은 어디든지 달려가서 도움이 되고 싶어요. 기업보안 업무도 많이 했고 컨설팅 경험도 있기 때문에 나름 좋은 영향을 끼칠 수 있는 부분이 있다고 생각합니다. 프리랜서를 오래 하다보면 다시 기업으로 돌아가고 싶은 생각이 날지도 모르겠지만, 아직까지는 좀더 프리랜서로 활동하고 좋은 분들을 많이 만난다면 제가 생각하고 있는 보안전문가 그룹을 만들어 보고 싶어요.

-기업 보안팀에서 근무하는 후배들에게, 근무하면서 이런 점에 대해 많이 배워야 한다는 조언을 해주신다면?

기업에서 보안은 회사의 비즈니스 특성, 서비스 특성, 조직 구성, 보호해야 할 데이터 등 기업마다 다르게 접근하는 것이 필요해요. 물론 공통적인 부분도 있지만 회사의 특성이나 서비스를 이해하지 못하고 보안을 하는 경우가 종종 발생해요. 이러면 회사의 중요정보를 보호하기 위한 보안이 아니고 법에서, 인증에서 하라고 하니까 하는…그저 보안을 위한 보안을 하게 되는 경우가 많은 것 같습니다. 그러면 현업 부서에 무리한 요구를 하게 되는 경우도 있고 현업부서와 사이가 많이 안좋아지는 경우도 자주있어요. 사실 현업부서에서도 보안이 중요한 것은 다 알고 있어요. 그런데 공감을 못하니까 도와주기 싫은 경우가 많은 것 같습니다. 서비스를 충분히 이해하고 현업부서의 눈높이에 맞춰서 보안을 수행하면 서로 윈-윈하는 결과를 낼 수 있을 것 같습니다. 서로 사이도 좋아지고요.

-감사를 전하고 싶은 분과 도움이 됐던 책이 있다면 소개부탁드려요.

삶에 대해 많은 영감을 주신 분이 한 분계신데 대학원 지도교수님이세요. 업체를 운영하시면서 강의를 하시는 분이 셨는데 어떤 지식적인 부분 보다는 삶을 대하는 자세에 대해 많은 영감을 주셨습니다. 제 결혼식 주례도 해주셨고요.

그리고 제 인생의 책은 김미경 작가의 <Dream On>이라는 책이에요. 이 책을 제가 30대 후반에 읽었어요. 꿈에 대해서 아주 현실적이고 직설적으로 말해주는 책이에요. 이 책을 제가 20대 초반에만 봤어도 하는 생각이 들었어요. 그래서 조카들이나 아들이나 주위 사람들한테 무조건 권유하고 있습니다. 

(연수권 보안전문가 / ysk1069@naver.com)

★정보보안 대표 미디어 데일리시큐!★