2019-12-08 17:41 (일)
여성구 넥슨 팀장 “기본 위에 트렌드가 있다”
상태바
여성구 넥슨 팀장 “기본 위에 트렌드가 있다”
  • 길민권
  • 승인 2015.03.09 01:48
이 기사를 공유합니다

“내부를 정확히 파악해 무엇을 보호해야 하는지 명확히 아는 것 중요해”
정보보안 분야 10년 경력이면 국내 정보보호의 짧은 역사에서 무시할 수 없는 경력이다. 2003년 STG시큐리티 모의해킹 업무를 시작으로 넥슨 보안팀 근무까지 현재 10년 이상의 정보보호 분야 근무 경력과 이 분야에 남다른 애착을 가지고 있는 넥슨 IS시스템팀 여성구 팀장을 얼마전 판교 넥슨 사옥에서 만났다.
 
데일리시큐는 앞으로 현업 보안전문가들과 대화를 통해 현업에서 고민하고 있는 부분과 어떤 업무들을 하고 있는지 그리고 보안이슈에 대한 현업 전문가들의 다양한 의견들을 독자들에게 전달하고 정보를 공유하는데 지면을 지속적으로 할애할 예정이다. 이를 통해 현업의 고민들이 정책에 반영되고 보안전문가를 꿈꾸는 미래 전문가들에게 도움이 될 수 있기를 기대한다.
 
현재 여성구 팀장(사진)은 넥슨 IS시스템팀에서 인증보안 분야를 담당하고 있다. 인증보안 개선을 위해 TF팀을 구성해 시스템 구현 업무를 맡고 있다.

 
게임사, 악성 해커들과 매일 전쟁중인 사이버보안의 최전선
 
여 팀장은 “보안컨설턴트로 10여 년 근무했고 넥슨 입사는 3년 반정도 됐다. 1년 반은 보안팀장으로 근무했고 현재는 감사업무와 IS시스템팀을 맡고 있다”며 “IS시스템팀은 회사에 필요한 보안시스템을 개발하고 POC하는 팀이다. 보안이슈에 대해 외부 리소스를 활용하기 보다는 내부 리소스를 통해 자체적으로 보안시스템을 개발하고 개선하는 등의 업무를 하고 있다”고 설명했다.
 
즉 필요한 시스템이지만 외부에서는 개발하지 못하는 혹은 사내에 가장 적합한 보안시스템을 구현해 내는 작업을 하고 있는 것이다. 최근 대기업에서는 상용시스템이 구현하지 못하는 기능들을 사내 개발자를 통해 자체 개발해 적용하는 사례가 많다.
 
특히 게임사는 악성 해커들과 항상 전면전을 하고 있는 사이버보안의 최전선에 위치한 산업분야다. 그래서 보안팀의 역할과 역량이 상당히 중요하다.
 
여 팀장은 “게임사는 어뷰징이 주요한 이슈다. 게임머니를 불법획득하기 위한 부정사용자들을 적발하고 차단하는 업무가 주를 이룬다. 이들은 다양한 공격루트를 통해 공격한다. 디도스 공격도 많고 계정탈취를 위한 활동도 활발하다. 클라이언트 기반 해킹공격이 계속되기 때문에 항상 긴장모드”라고 전했다.
 
여성구 팀장의 개인사에 대해서도 들어봤다. 그는 대학을 졸업하고 2003년 STG시큐리티에 입사해 모의해킹 업무를 시작했다. 대학에서는 경영학 전공에 복수전공으로 컴퓨터공학을 전공했다. 대학에서는 프로그램 개발과 시스템 개발, C언어 과정을 집중적으로 공부했다.
 
STG시큐리티에 입사하면서 이론으로만 배웠던 것을 모의해킹 업무를 통해 실전 적용하는 스킬들을 배웠다. 업무를 위한 해킹툴 개발에도 노력했던 기간이었고 당시 함께했던 실력파 인맥들과 교류도 활발히 가졌다.
 
이후 안철수연구소(현 안랩)로 옮겨 4년 반 정도 근무했다. 안랩에서도 모의해킹 업무를 주로 했고 보안점검, 기술컨설팅 업무에 집중했다. 이후 프리랜서 생활을 하다 고려대 대학원에 진학했다.
 
여 팀장은 “오랜 기간 모의해킹, 컨설팅 업무를 하면서 내 자신이 많이 소진됐다는 느낌이 들었다. 자기개발 시간이 필요하다는 생각이 간절했다. 그래서 대학원에서 공부를 더 하고 재충전 시간을 가졌다”고 말했다.
 
그는 이후 미국행을 택했다. 여 팀장은 “국내에서 서로 경쟁하는 것에 염증이 느껴졌다. 파이 싸움을 해야 하고 빼앗아야 하는 상황이 싫었다. 그래서 외국행을 택했다. 처음에는 어학연수와 취업을 생각했다. 이후 해외 대학원 박사과정으로 들어갈 생각이었다. 캘리포니아주립대 어학연수 코스로 3학기를 다녔다”고 전했다.
 
어학연구 과정에서 구직활동도 이어갔다. 아마존 입사를 위해 전화인터뷰를 했지만 영어가 막혔다. 그는 “아마존 CSO와 전화인터뷰를 했는데 질문 들어보면 한국 전문가들이면 대부분 답할 수 있는 수준의 내용들이었다. 즉 가지고 있는 지식을 영어로 충분히 설명할 수 있다면 해외 취업은 언제든 가능하다는 생각이 들었다. 그래서 영어수업에 올인했다. 그래서 영어에 대한 두려움은 사라졌지만 여전히 고급영어와 비즈니스 영어는 더 공부해야 한다. 그 과정에서 결혼 시점이 돼 한국으로 복귀하게 됐다. 복귀하면서 넥슨 보안팀으로 입사하게 됐다”고 말했다.
 
“무엇을 보호해야 하는지도 모르고 보안 투자하는 곳 많아”
 
국내 보안에 대한 여 팀장의 생각은 어떨까. 그는 “국내 보안기술은 정말 많이 좋아졌다. 하지만 아쉬운 부분은 많은 기업들이 기술에만 포커싱한다는 점이다. 하지만 자신들이 무엇을 보호해야 하는지 명확히 모르고 있다는 것이 문제다. 무엇을 보호해야 하는지 모른 체 각종 기술과 솔루션으로 도배하는 경향이 있다. 결론적으로 보안솔루션 쇼핑만으로 보안을 하려고 하는 것이 문제다. 내부를 정확히 알아야 한다. 보호 대상을 명확히 하고 그에 따른 보안체계를 구축하는 것이 무엇보다 중요하다고 생각한다”고 말했다.
 
즉 자신들의 내부를 먼저 철저하게 알아야 한다는 것이다. 내부에 무엇이 있고 어떤 서비스 특성을 가지고 있는지, 그에 따라 경영진이 의지를 가지고 보안을 해 나가야 한다는 것이다.
 
그는 “보안은 상대적이다. 정말 중요한 것에 보안투자를 집중해야 한다. 대상이 모호하면 정확한 투자가 이루어지기 어렵다. 정확히 투자할 곳이 어디인지를 경영진에게 설득해야 경영진도 의지를 가지고 투자를 할 수 있다. 그렇지 못하다면 투자는 헛돈 낭비가 된다”고 조언했다.
 
즉 보안투자 금액이 중요한 것이 아니라는 말이다. 정확히 보호대상에 투자를 해야 한다는 것이다. 보안팀은 컴플라이언스 부분과 정말 보호해야 할 대상이 무엇인지 경영진에게 명확히 설명하고 사내 상황이 어떤지, 보안을 하지 않으면 어떤 결과가 발생하는지 제대로 전달해야 한다는 것이다. 막연한 보안투자는 낭비일 뿐이라는 것.
 
특히 여 팀장은 “컨설팅이나 실제 보안업무를 해 보면 보안담당자가 내부를 알기 힘들다. 내부는 발로 뛰지 않으면 모른다. 회사 전체를 볼 수 있어야 한다”며 “특히 담당자가 익숙한 분야만 보려고 한다. 이를 탈피해야 한다. 특히 매니징은 팀장만 하면 된다. 팀원들은 기술에 포커싱하면 된다. 기업들 중 기술자 뽑아서 관리시키는 경우가 많다. 매니징 능력이 있는 팀장과 기술에 집중된 팀원들이 있다면 금상첨화다. 팀원들이 기술발전을 계속할 수 있도록 보안팀을 구성하는 것 중요하다”고 말했다.
 
“기본에 충실하면서 트렌드 쫓아가는 것 중요해”
 
또 트렌드 보다는 기본에 충실하라고 전한다. 그는 “보안담당자라면 트렌드만 쫓아가면 안된다. 언론이나 학계는 트렌드를 쫓아야 하지만 담당자는 트렌드만 쫓으면 안된다. 기본 위에 트렌드가 있다. 트렌드만 쫓아 솔루션 구축하면 낭패를 본다. 그런것 때문에 보안수준이 낮아지고 업무에도 불편을 초래한다. 기본을 알면서 트렌드를 쫓아가는 것이 중요하다”고 강조했다.
 
특히 커뮤니케이션의 중요성도 강조했다. 현업에서는 항상 “어렵다”는 말을 많이 한다. 이 점 때문에 보안담당자들은 힘들어 한다. 법이 바뀌고 특정 부분에 보안이 강화되면 현업이 불편해 하는 것은 당연하다. 보안팀이 이런 부분에 대해 현업에 양해를 구하고 경영진을 설득하는데 커뮤니케이션 능력이 필요하다는 것이다.
 
한편 후배들에게도 “요즘 화이트해커 양성이란 말이 많다. 책임감을 심어주는 것 중요하다. 보안취약점을 찾는다며 기업의 XSS나 SQL인젝션 취약점을 찾는 것은 법 위반이다. 후배들, 법을 잘 이해하길 바란다. 허락도 없이 취약점을 찾는다고 스캐너를 돌리면 예상하지 못하는 위험 상황이 발생할 수 있다. 이때 서비스에 직접 영향을 미친다면 영업방해 혐의를 받을 수 있다. 이런 것을 양성기관에서 충분히 주지시켜줘야 한다. 후배들이 이 부분 잘 알고 있었으면 한다”고 강조했다.
 
또 보안사고 부분에 대해서는 “기업들은 개인정보를 활용할 수밖에 없는 환경인데 법만 강화하고있다. 환경 개선이 우선되어야 한다. 특히 보안사고는 얼마든지 발생할 수 있다. 이때 사후대응을 어떻게 하는지가 더 중요하다. 막상 사고나면 담당자는 이리저리 휘둘려 실제 사후대응할 시간이 없다. 실질적인 대안을 세울 수 있도록 하는 것이 무엇보다 중요하다. 담당자에게만 책임이 전가되는 상황은 옳지 못하다”고 말했다.
 
여성구 팀장은 최근 개최된 2015 포렌식인사이트 컨퍼런스(FICON 2015)에서 “어떻게 대응할 것인가?”란 주제로 발표를 진행했다. 기업에서 침해사고가 발생했을 때 어떻게 대응할 것인가를 주제로 발표를 진행했다. 또 모의해킹 10년 정도 하면서 느낀 점들을 정리한 책도 출간할 예정이다. 올해 상반기에 출간된다. 기업 업무 이외에 발표와 저술활동 등 바쁜 나날을 보내고 있다.
 
여 팀장은 “각종 활동을 통해 지금까지 경험했던 부분들을 공유하고 싶다. 또 보안컨설턴트, 보안담당자, 보안감사 등을 거쳐 이제는 이를 구현하는 POC 업무를 담당하고 있다. 기존 보안솔루션들이 구현하지 못하는 기능들을 구현하는 역할에 재미를 느끼고 있다”고 말했다.
 
자신이 경험한 것들을 공유할 줄 아는 전문가는 사회 전체의 발전을 위해 반드시 필요하다. 이를 잘 실천해 가고 있는 여성구 팀장. 보안 분야에 공유문화가 더욱 활발히 전개될 수 있는 환경이 조성되길 바란다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com