“HP보안사업부에 근무한지 9년이 됐다. 이전에는 라드웨어와 티핑포인트에서 근무했다. 대략 보안 밥 먹은지 12년이 흘렀다. 예전에는 다른 회사 제품 약점만 보고 우리 회사 솔루션 장점만 봤지만 이제는 아니다. 특정 솔루션만으로는 다양한 사이버공격을 막을 수 없다는 것은 이제 상식이 됐다. 공격자들의 에코시스템이 있듯 방어자들도 에코시스템이 필요하다. 그러기 위해서는 정보공유가 무엇보다 중요하다.”
 
HP보안사업부 박진성 이사(사진)는 10년이 넘도록 보안분야 사업을 맡아 오면서 느낀 바를 이렇게 요약했다. ‘방어자 에코시스템’이 필요하다는 것이다. 정보와 정보, 제품과 제품이 유기적으로 결합한 시스템이 필요하고 이를 고객에게 제시할 시기가 왔다는 이야기다.
 
박 이사는 “보안솔루션간 결합이 필요한 시기다. 국산 외산을 막론하고 시너지를 낼 수 있는 패키징이 필요한 시기다. 공격자들은 그들만의 공격 정보 에코시스템을 만들고 있다. 이에 대응하기 위해서는 대응 에코시스템이 반드시 필요하다”며 “하지만 모두 공감은 하고 있지만 누가 먼저 나서서 하지 못하고 있다. 보안 SI 능력을 가진 기업이 나서야 한다. 특정 벤더가 힘들다면 어떤 조직이 됐든 시큐리티 인테그레이션에 대한 제시를 해야 지금 상황을 극복할 수 있을 것”이라고 강조했다.
 
지금 보안기업들이 힘들어하는 이유는 무엇일까. 바로 “이거 하나면 다 된다”는 식의 영업이 지금 상황을 만들었다고 봐도 과언이 아니다. 보안에서 ‘만병통치약’은 없다.
 
얼마 전, 여의도 HP 사옥 근처에서 박진성 이사를 만났다. 오랜 기간 보안산업 필드에서 그가 겪고 느낀 점을 들어보기 위해서였다.
 
국산과 외산에 대한 현장의 생각들은 어떻게 바뀌고 있을까. 박 이사는 “예를 들어 금융기관에서 CC인증 제품을 의무적으로 사용해야 한다는 규정은 사라졌다. 인증 받은 제품을 안써도 되는 것이 아니라 사용자가 결정하는 것이다. 책임도 사용자가 져야 한다. 이런 상황에 국산과 외산 구분은 아무런 의미가 없다”며 “사용자가 책임을 져야 하는 상황에, 중요한 것은 기존 도입된 솔루션과 연계가 얼마나 잘 이루어지고 새로운 공격기술에 얼만큼 대응할 수 있느냐가 기준이 되어야 한다. 국산, 외산, 가격이 도입 기준이 되어서는 안된다”고 말했다.
 
국내 보안제품이 글로벌 경쟁력을 갖추기 위해서는 어떤 노력이 필요할까. 이에 대해 박 이사는 “우선 한국 보안솔루션만의 선도적 기술이 무엇이 있을까 생각해 봐야 한다. 새로운 영역을 개척하고 뉴테크를 개발하는 것이 아니라 ‘me too’ 전략만 난무하고 있는 것은 아닌지”라며 “가트너 매직쿼드런트의 오른쪽 상단을 차지하는 국산 솔루션이 많이 생겨나야 한다. 아직 그런 한국 보안기업은 없다. 즉 글로벌 시장에서 제대로 평가받는 제품이 없다는 것이다. 국내에서만 통용되고 국내 체크리스트만 만족하는 제품들만 나온다면 글로벌 솔루션은 나올 수 없다. 선도기술이 무엇인지 고민해야 한다. 새로운 기술을 선도하는 기업들이 나와야 한다”고 강조했다. 
 
즉 RSA컨퍼런스 같은 데서 발표된 새로운 장비들을 ‘카피’만 해서는 글로벌 제품이 나올 수 없다는 것이다.
 
그가 생각하는 보안사고 원인은 무엇일까. 이에 대해 박 이사는 “사후약방문(死後藥方文)식 대응이 가장 큰 문제다. 최근 보안사고에서 침투경로가 이메일로 드러나면서 이메일 보안솔루션이 각광을 받고 있다. 그 전에도 이메일 보안솔루션이 많았는데도 말이다. 너도나도 이메일 보안솔루션 도입했는데 다음 공격이 이메일 공격이 아니면 어쩔건가”라며 “이건 선제적 대응이 아니다. 공격자의 뒤만 따라다닌 꼴이다. 땜질 처방에 끝나고 있다”고 지적했다.
 
이어 “수백가지 공격루트를 모두 대응할 수는 없지만, 우리 조직이 현재 보유하고 있는 솔루션들이 따로 놀고 있지는 않은지 살펴봐야 한다. 또 꼭 필요한데 예산문제 때문에 못하고 있는 것이 무엇인지 알아야 한다”며 “As-is(현재 시스템)를 철저히 분석하고 논리적으로 계획에 맞게 To-be(미래시스템)을 진행시켜야 한다. 현재 대부분의 기업들이 이슈가 되는 사고가 터지면 기존 계획을 올스톱시키고 이슈만 따라가고 있다. 이렇게 되면 계속 공격자에게 질 수밖에 없다. 우선 순위를 정하고 부족한 부분을 계획대로 실천해 나가려는 노력이 절실하다. 그래야 선제적 대응이 가능해진다”고 강조했다.
 
취업 이야기로 넘어갔다. 예를 들어, HP 보안사업부에 입사하려면 어떤 준비가 필요할까. 그는 “세일즈든 프리세일즈든 시장에서 축적된 경험이 있어야 한다. 포지션이 국내든 해외든 어떤 경험을 했는지, 어떤 일을 했는지를 본다. 하지만 수평적 경험은 중요하지 않다. 단계를 넘는 경험과 업력을 가지고 있어야 유리하다. 그래야 그 기술에서 자기 노하우가 생기기 때문이다. 기술과 산업, 고객군에서 자기만의 노하우가 있어야 한다. 버티컬 축적이 있다면 영입 1순위다. 그래서 신입보다는 경력자 위주로 채용을 하고 있다”고 설명했다.
 
또 채용시, 레퍼런스 체크의 중요성도 언급했다. 펙트 체크와 평판 체크가 이루어진다. 복수의 안좋은 의견이 들리면 채용은 어렵다. 팀웍을 해칠수 있기 때문이다. 회사라는 조직은 혼자 잘한다고 해서 되는 것이 아니기 때문이다. 또 잦은 이직 경력은 심각한 마이너스 요인으로 작용한다고 전했다.
 
더불어 박 이사는 보안산업 필드를 오랜 기간 경험하면서, 가장 중요한 모토를 ‘페이스 투 페이스’라고 말했다. 직접 대면하면 정답을 만날 수 있다는 것이다. 책상 위에는 답이 없다. 만남을 통해 쌓인 경험과 지식을 소유한 사람은 특별한 퍼포먼스를 낼 수 있다고 강조한다.  
 
마지막으로 그의 미래에 대해 물어봤다. 그는 훗날 IT 분야 일을 그만두게 되면 글도 쓰고 책 기획도 하는 출판사를 해보고 싶다는 꿈을 가지고 있단다. 다양한 분야의 책을 기획해서 만들어 보고 싶은 오래된 꿈을 마음 한 켠에 간직하고 있는 박진성 이사.
 
“모두들 마음 속에는 지금 생계를 위해 하고 있는 일이 아닌, 진짜 하고 싶은 일 하나쯤은 간직하고 있을 거에요. 진짜 나의 자아가 원하는 일이죠. 아직은 지금 업무에 최선을 다하겠지만 언젠가는 젊은 시절 꿈꿔왔던 일을 해 보고 싶어요.”
 
그와 이런 저런 대화를 나누면서 산전수전 겪은 IT맨의 이면에서 느껴지는 인문학적 향기가 풍기는 것도 그의 이런 꿈 때문이 아닐까 생각해 본다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com