.gif)
보안전문인력, ‘시스템의 생명’ 다루기 때문에 윤리성이 최우선 화이트해커들의 아버지? 과분한 표현이지만 막중한 책임감 느껴 K-POP이 한류열풍 일으켰듯이 K-BOB 통해 보안한류 책임질 것 통일 대한민국의 초대 평양시장이 내 마지막 목표이자 꿈
[보안뉴스 권 준] 오는 8월 7일부터 미국 라스베가스에서는 세계 최고 권위를 자랑하는 해킹대회인 ‘데프콘 CTF 22’가 개최된다. 올해 본선진출팀 20개팀 가운데 5개팀이 한국팀일 정도로 우리나라 보안전문가들의 실력이 세계 최고 수준에 올라와 있다는 평가다.
더욱이 5개팀의 팀원 중 24명이 한국정보기술연구원(KITRI)에서 진행하고 있는 차세대 보안리더 양성 프로그램(이하 BoB) 졸업생이거나 교육생, 그리고 멘토들이라는 점에서 더욱 놀라움을 안겨주고 있다. 이제 겨우(?) 3기생을 모집한 BoB가 국내를 넘어 글로벌 보안인재 육성의 산실로 자리 잡으며, 국내외 보안인들의 주목을 한 몸에 받고 있는 것이다.
이러한 BoB가 탄생하기까지는 국회, 관련 정부부처, 공공기관, 기업 등 곳곳을 발품 팔아가며, ‘보안인력 10만 양병론’을 주창하고, 이를 토대로 보안인력 양성 예산을 확보할 수 있었던 한국정보기술연구원 유준상 원장의 노력이 절대적이었다.
이에 본지는 이번 데프콘에 참가하는 BoB 교육생·졸업생들과 함께 호흡하고, 글로벌 보안현장을 직접 보고 느끼기 위해 미국 라스베가스로 떠나는 유준상 원장과의 출국 전 인터뷰를 통해 그가 생각하는 BoB의 현재와 미래, 그리고 우리나라 보안 분야가 나아가야할 방향에 대해 들어봤다.
Q. BoB 3기 교육생이 선발돼 열심히 교육 중인 걸로 알고 있는데요. 새롭게 교육생들을 맞이하신 소감은 어떠세요?
2012년 7월 BoB 1기 60명을 선발한 이후에 교육생들의 안보현장체험, 워크숍, 정보보안 관련 기관 및 산업체 견학, 임무형 국외연수 프로그램과 같은 각종 교육 행사에 거의 빠짐없이 참가하고, BoB 교육센터에서 매일같이 교육생들과 함께해 온 것이 벌써 3년째네요. 2기 120명의 수료식을 거행했던 것도 엊그제 같은데, 시간이 빠르게 지나간다는 것을 새삼 느끼고 있어요.
그간 교육생들이 수료한 후에도 교육센터에 자주 방문하여 연구 활동을 지속하는 등 지속적인 교류가 가능한 문화가 형성된 것 같아요. 올해 새로운 기수 130명이 선발되는 과정에서도 지원자가 1,000명이 넘게 몰렸는데, BoB 수료생들이 주위의 선후배들에게 BoB에서 배우는 것이 많았다는 입소문이 큰 도움이 되었던 것 같습니다.
이번 3기 교육생들에게도 마음껏 연구 활동을 즐길 수 있는 환경을 제공하고 기술 교육과 함께 인성교육을 병행해간다면 BoB가 국내 정보보안 교육의 메카로서 자리 잡을 수 있을 것이라고 봅니다.
Q, 이제 BoB는 자라나는 보안꿈나무들에게는 선망의 대상, 그리고 보안종사자들에게는 관심의 대상이 되고 있는 것 같습니다. BoB의 탄생비화에 대해 간략히 말씀해 주신다면?
처음 부임할 때 한국정보기술연구원의 작은 규모와 IT 강국이라는 명성에 비해 국내 보안 분야가 상대적으로 열악한 상황이라는 점에 많이 놀랐어요. 이에 직원의 처우를 개선하고, 연구원의 외연을 확대하고자 첫 방향으로 잡은 것이 정보보안 우수두뇌 양성사업이며, 이것이 최근 주목받고 있는 BoB의 시작이었죠. 정보보안 분야의 중요성에 대한 인식부재와 종사자들의 열악한 처우개선이 가장 문제였어요. 이로 인한 우수 보안인재들의 유출로 인력의 수급 불균형이 심각하다는 사실을 알게 됐죠.
이때부터 생각하게된 것이 ‘보안인력 10만명 양성론’이에요. 첫해 어렵게 교육예산을 확보했으나, 당시 정부정책이 모든 인력양성 사업을 노동부로 통합하게 되어 구직자를 위한 보안전문가 양성 프로그램을 시행하게 됐어요. 이후 2011년 농협, 현대캐피탈 등 대형 보안사고가 잇달아 발생하면서 당시 연구원의 주무부처였던 지식경제부와 기획하고, 이를 바탕으로 국회 등을 설득해 2012년에 BoB 1기를 시작할 수 있게 된 겁니다.
▲ 제3기 차세대 보안리더 양성 프로그램(BoB) 발대식에서 교육생들과 함께 한 한국정보기술연구원 유준상 원장
Q. 국가나 기업 등에서 BoB에 거는 기대가 그만큼 커지는 것 같은데요. BoB에서 배출된 인재들이 어떤 역할을 해주었으면 하시는지요?
정보보안 분야는 IT 산업이 향후에도 안정적으로 발전할 수 있는 토대를 제공하고 국가안보와도 직결될 수 있는 분야로써 그 중요성을 아무리 강조한다고 해도 부족함이 없다고 봐요. BoB 교육생들이 이와 같이 중요한 분야의 핵심인력으로 성장해 국내 정보보안 기술력 향상에 도움을 주며 국내 정보보안 기술이 국제적인 경쟁력을 갖출 수 있도록 기여했으면 하는 마음은 저도 다른 분들과 마찬가지죠.
하지만 제가 덧붙이고 싶은 것은 국내 정보보안 산업 환경이 여전히 열악한 수준이라는 것입니다. 저는 BoB 교육생들이 차세대 보안리더가 되기 위해서는 단순히 기술력만 높은 수준으로는 어렵다고 생각해요. 기술적인 창의력뿐만 아니라 국내 정보보안 종사자 분들이 영감을 얻고 따를 수 있을 사업적·전략적 창의력도 고루 갖춰야 진정한 보안리더로 성장할 수 있는 거죠. 이에 교육센터에서도 교육생의 기술력과 함께 리더로써의 자질과 협업능력, 창의력을 중시합니다. 이러한 능력이 뒷받침되어야만 현 정부에서 강조하는 창조경제의 밑거름되는 인재로 성장할 수 있는 거 아닐까요? 전 결국 창조경제의 핵심과제 중 하나가 정보보안이라고 보니까요.
Q. 이제 BoB를 통해 배출되는 보안인력들은 글로벌 인재로 성장해야 하는데요. 이를 위해 원장님께서 특히 강조하시는 부분이 있으신가요?
정보보안은 한 명의 최고실력자가 만 명의 공격을 막아낼 수 있는 두뇌싸움, 즉 창의적인 문제 해결력이 매우 중요한 분야로 최정예 인재의 양성은 이제 전 세계 공통의 관심사에요. 이와 관련해 한 가지 예를 들고 싶은 제도가 바로 이스라엘의 인재육성 제도인 ‘탈피오트(Talpiot)’입니다. 탈피오트는 최근 미국 실리콘밸리에서 이스라엘 회사의 창업과 성공이 늘어가는 데 큰 역할을 하고 있어 BoB 교육을 이끌고 있는 저에게도 많은 영감을 주는 제도에요.
탈피오트는 수학·물리학·컴퓨터공학에 뛰어난 재능을 지닌 우수 고등학생을 매년 50~60명 내외로 선발하여 예루살렘의 히브리 대학에서 40개월 동안 공부시켜 과학학사(Bsc)를 취득하게 하고, 장교로 임관할 수 있도록 하는 제도입니다. 탈피오트가 이스라엘에서 각광 받는 이유는 수료생이 하버드 출신 이상의 대접을 받기 때문이기도 하지만, 이면에는 계급을 따지지 않는 수평적 네트워크와 창의성을 강조한 활발한 토론문화를 통해 우수한 인재로 거듭날 수 있는 기회를 제공받기 때문이죠. 이러한 제도가 성공한 이유는 아무리 높은 사람과도 격 없이 토론하는 ‘후츠파’ 정신이 밑바탕에 깔려 있기 때문이기도 해요.
이건 여담이지만 탈피오트는 영어로 ‘Best of the Best’ 즉 최고인재를 뜻하며 BoB와 같은 의미의 이름을 가지고 있어요. BoB 수료생들도 국제적 경쟁력을 지닌 탈피오트의 인재들과 같이 창의력과 자신의 생각을 잘 표현할 수 있는 능력을 갖출 수 있게 된다면 국제적 인재로서 기본 소양을 갖출 수 있을 것이라 믿고 있습니다.
덧붙여 국내 보안인재들이 국제경쟁력을 갖추기 위해서는 국내 보안인들끼리의 경쟁에서 벗어나 해외의 인재들과 교류하고 글로벌 기술 동향을 이해하는 시야를 갖추어야 해요. 얼마 전 은퇴한 축구선수 박지성이 한국 축구 국가대표팀의 리더로서 그만큼 좋은 선수가 될 수 있었던 것은 외국에서 치열하게 경쟁하며 자신만의 기술적·정신적 장점을 극대화해 왔기 때문이죠. 박지성의 사례와 같이 정보보안 분야에서도 국제적 경쟁력을 갖춘 인재가 되기 위해서는 도전정신을 통한 넓은 시야를 확보하는 것이 무엇보다 중요한 겁니다.
Q. BoB를 통해 배출된 인력들이 마음껏 활동할 수 있는 부처, 기관이나 기업의 보안담당자 자리가 확보되지 않는다면 교육생들이 다른 유혹을 받을 여지도 그만큼 크다고 볼 수 있는데요. 교육을 이미 마친 수료생들의 취업 지원 등 지속적인 관리 프로그램이 있다면?
BoB 교육의 가장 큰 특징 중 하나는 수료생들을 대상으로 하는 사후관리 프로그램이에요. BoB는 정보보안 분야에 잠재력을 지닌 청년층을 대상으로 모집을 진행하는 관계로 교육생들의 나이가 어린 특징을 지니고 있죠. BoB 교육생들의 평균나이는 20대 초반이며 교육과정을 수료한 수료생들이 정보보안 학계나 산업계에 진출할 시기가 도래하기까지는 군복무 기간을 포함하여 6,7년 정도가 남게 되요. 따라서 수료생들이 다음 진로로 진출하게 될 시기가 도래하기까지 관련 전문성과 진로방향을 유지하고, 수료생 각자의 적성과 희망을 고려한 맞춤형 진로연계 시스템을 구축하는데 많은 가장 큰 신경을 썼죠.
이와 함께 BoB 수료생들은 국가 지원을 통해 양성된 정보보안 분야의 일원으로서 사회적 책임을 다할 수 있도록 중소기업을 대상으로 하는 무료 보안 컨설팅이나 정보보안 진로 희망자들을 대상으로 하는 강연 등을 진행하도록 하는 등 다양한 기회의 장을 마련해주고 있어요. 수료생들은 보안연구회 등 상호 간 네트워크를 형성하여 연구 활동 등의 정보를 공유하고 창의적인 협력활동을 지속하는 등 협업 시너지를 창출할 수 있는 토대가 제공되는 거죠.
이러한 프로그램 덕분인지 최근에는 BoB 교육생들이 주축이 된 코드레드팀이 국제 해킹방어대회인 시큐인사이드에서 준우승을 하고 데프콘 본선에도 진출하는 등 많은 성과를 이루어내고 있어요. 향후에는 이 사후관리 프로그램을 보다 체계화·다양화해 더 많은 수료생들이 국내의 주요 기관이나 산업체에서 리더로서 성장할 수 있는 자질을 갖출 수 있도록 노력할 계획입니다.
Q, 해커란 용어 사용을 두고 여러 번 논란이 된 적이 있습니다. 원장님께서는 이제 ‘화이트해커들의 아버지’라는 말씀도 듣고 계신 것으로 알고 있는데요. 보안전문가와 사이버범죄자 사이에서 조금은 불분명한 해커라는 용어에 대해서는 어떤 견해를 갖고 계신지요?
해커는 본래 ‘도기로 잘게 쪼개다’라는 지닌 핵(hack)이란 단어에서 유래한 것으로 컴퓨터 등에 남보다 색다른 강한 집착과 흥미를 가지고 몰두하는 사람을 의미한다고 합니다. 해커는 본래 악의적인 범죄자인 크래커(Cracker)와는 엄연히 구별되는 사람들을 지칭하는 용어로서 선과 악의 개념을 포함하고 있지 않죠.
하지만 국내에서는 크래커란 명칭보다 해커라는 말에 익숙한 일반인들을 위해 해커라는 말을 크래커라는 말을 대신해 사용하게 되어 해커가 어두운 곳에서 악의적인 행동을 하는 이들을 지칭하는 말로 쓰이고 있어요. 이와 같은 사람들의 인식부재로 굳이 해커 앞에 ‘화이트’라는 말을 붙여야 악의적이지 않은 사람을 지칭할 수 있게 되었던 것이고, 이것이 보안전문가라는 의미를 포함하게 된 거죠. 하지만 단순히 화이트해커라는 단어로 보안전문가를 지칭하기에는 무리가 있는 것이 사실이에요.
이것은 정보보안 분야에 대한 또 다른 환상과 오해를 불러일으킬 수 있는 소지가 있으므로 보안전문가, 영어로 시큐리티 스페셜리스트와 화이트해커 또한 구분되어 쓰여야 한다고 봐요. 이는 언론에서도 신경을 써야할 부분이라고 생각하고요. 정보보안 분야에 종사하는 사람들이 해커란 영역에 대해 보다 명확히 대중들에게 알린다면 크래커나 보안전문가 등의 단어와 혼용하여 사용하게 되는 문제를 줄일 수 있을 것이라 봅니다.
Q. 원장님께서는 언제부터 보안에 관심을 갖게 되셨는지요. 그리고 원장님께 이제 보안은 어떤 의미인지 궁금합니다. IT에 대한 관심은 국회의원으로 활동할 때부터 지속적으로 있어 왔지만, 정보보안 분야에 대해 지금처럼 고민하고 연구하게 된 계기는 KITRI와 함께하면서부터입니다. 제 의견으로는 정보보안은 사회적 안전망과 같다고 봅니다. 마치 소방서나 경찰서가 없는 환경에서 큰 도시가 만들어질 수 없듯이 정보보안 기술과 정책이 반영되어 있지 않은 환경에서 건전한 IT 산업과 문화의 발달은 요원한 일이기 때문이죠.
특히, 의사들이 사람의 생명을 다룬다면 보안전문가는 ‘시스템의 생명’을 다루는 일입니다. 그만큼 높은 윤리성과 빠른 복원력이 요구되는 분야죠. 이제 해킹을 100% 방어할 수 있다는 생각은 버려야 해요. 사람도 100% 건강한 사람이 없지 않나요? 그렇기에 의사도 존재하는 것이고요. 보안전문가도 마찬가지라고 봐요. 100% 안전한 시스템이 없기에 취약점을 계속 찾아내고, 이를 빠른 시간 내에 정상화시킬 수 있도록 노력해야 하는 것이죠. 그렇기에 빠른 복원력이 중요한 것이고, 이 과정에서 필수적으로 갖춰야 할 인성이 바로 윤리성인 겁니다.
Q. BoB 교육생들이 롤 모델로 삼았으면 하는 국내외 화이트해커 또는 보안전문가를 몇 분 꼽아주신다면?
제가 교육생들을 위해 본받을 수 있는 화이트해커, 보안전문가 분들을 추천한다면 저희 BoB 멘토단으로 벌써 3년째 활동하고 있는 이승진 멘토와 심준보 멘토를 꼽고 싶어요. 이들은 어린 나이부터 오랜 시간동안 기술적으로 국내 최고의 실력을 쌓았고 이렇게 쌓은 기술을 음지가 아닌 양지에서 활약함으로써 성공할 수 있었기 때문이죠. 실제 이들은 국내에서 현재 내로라하는 실력을 갖고 있는 해커로서 많은 후배들에게 귀감이 되고 있어요.
이들의 실력은 이미 알려진 터라 더 설명할 것이 없겠지만, 제가 더 주목하고 싶은 것은 이들의 새로운 분야에 대한 도전정신과 후배기수들을 위한 희생정신입니다. 이들은 국내에서 자리를 잡기 힘든 오펜시브 리서치라는 보안의 생소한 영역에서 자신들의 실력을 유감없이 뽐내고 있으며, 해킹에 대한 순수한 기술 연구와 열정이 음지가 아닌 양지에서도 충분히 성공을 위한 능력으로 활용될 수 있다는 것을 그레이해쉬와 블랙펄시큐리티라는 회사에서 보여주고 있거든요.
또한 이 둘은 BoB 교육과정의 멘토로서 자신들의 바쁜 시간에도 많은 시간을 할애하여 교육생들의 교육을 담당하고 있으며, 정규교육 시간 외에도 교육생들과 형, 동생으로 편하게 지내면서 교육생들의 연구 활동이나 진로뿐만 아니라 속에 있는 개인사들까지도 함께 고민하고 조언해주고 있죠. 이렇듯 기술력, 리더십, 희생정신 등 여러 측면에서 우리 BoB 교육생들이 배울 점이 많은 것 같아요.
Q. 올 상반기 개인정보 유출사고 등 보안이슈가 너무 많았는데요. 보안 측면에서 우리나라에서의 가장 큰 문제점은 무엇이라고 보시는지요?
올해 초 발생했던 ‘세월호 사건’으로 인해 모든 국민들이 슬픔에 잠겼었습니다. 저는 세월호 사건을 보면서 정보보안 분야에서도 이러한 일이 발생했을 때에는 큰 재난이 닥칠 수 있겠구나라는 생각을 했죠. 세월호 사건의 근본적 문제는 재난구조를 위한 컨트롤타워가 부재했다는 데 기반하고 있어요. 국내 정보보안 업계의 가장 큰 문제 중 하나도 컨트롤타워의 부재라고 볼 수 있죠.
이제 정보보안판 세월호 사건이 일어나지 않으라는 법이 없으며, 항상 그래왔듯이 소 잃고 외양간을 고치고자 해도 이미 입은 피해는 복구하기 힘들어요. 컨트롤타워는 굳이 큰 사건이 발생했을 때만 존재하는 것이 아니거든요. 보안 컨트롤타워 부재는 하나의 보안정책, 즉 국가 정보보안을 위한 하나의 정치적 책략의 부재를 의미하기도 해요. 현재 정보보안 분야의 각 기관 및 산업체들은 소통이 부재하고 대기업들은 정보보안 분야에 대한 인식이 부족해요. 특히 기업들은 정보보안 분야를 필수요소라기 보다는 오버헤드로 인식하여 투자를 꺼리는 경우가 많죠. 또한 정보보안 사고 발생 시 되풀이되는 정부의 솜방망이 처벌로 인해 국내 기업가들에게 정보보안 분야에 대한 투자를 종용하기에는 소위 약발이 먹히지 않는 게 사실이에요.
이를 위해선 청와대 내에 보다 강력한 정보보안조직을 신설하고, 기업에 대해서도 징벌적 손해배상 제도를 도입할 필요가 있다고 봐요. 기업 자체적으로는 버그 바운티 제도를 활성화해 화이트해커들이 보안취약점을 찾아 신고하면 이를 신속히 개선시킬 수 있도록 하는 문화를 만들어야 하고요.
Q. 한국정보기술연구원(KITRI)의 경우 최근에는 보안인재 육성기관으로 인식될 정도로 BoB가 많이 부각되어 있는데요. 원장님께서 생각하시는 한국정보기술연구원의 지향점은 무엇인가요?
현재 우리나라 정보보안 인력의 수급 불균형이 심각한 상황이라고 봐요. BoB와 같은 차세대 인재에서부터 현장에서 활약할 전문가, 그리고 의사결정권을 갖는 보안임원 등 모든 분야가 마찬가지죠. 앞으로 정보보안 인력은 선택이 아닌 필수라는 인식으로부터 기인한 것이 ‘보안인재 10만명 양성론’이죠. 지금까지 KITRI는 BoB 외에도 정보보안 관련 구직자, 재직자 교육 과정들을 개설해 왔으며, 정보보안 인력양성에 많은 역할을 해왔다고 자부해요.
앞으로도 KITRI는 정보보안 인력 양성을 위한 다각적인 노력을 통해 신규 과정들을 추가로 개설하여 우리 연구원이 IT 보안 교육의 메카로서 자리매김하도록 남은 기간 최선을 다할 겁니다. 또한 이렇게 양성된 인력들을 바탕으로 우리나라가 IT보안 강국으로서 새로운 IT 교육 분야의 ‘한류’를 이끌어 국가의 미래 신성장동력이 될 수 있게 기여해야죠. K-POP이 전 세계 한류열풍을 이끌어왔듯 앞으로 K-BOB이 보안 한류를 일으킬 수 있도록 말이죠. 개인적으로 IT 분야 특히 보안 분야에는 여성인력의 참여비율이 낮은 편인데, 비전이 확실한 분야인 만큼 우수한 여성인재들이 많이 도전했으면 하는 바람도 있어요.
연구원은 그간 정보보안 산업의 발전을 위해 노력하며, 이룩한 성과를 바탕으로 최근 화두가 되고 있는 IT 분야 간 융합 프로젝트와 스마트그리드 산업 발전을 위한 차세대 프로젝트도 추진하고 있습니다.
#인터뷰 후기
통일 대한민국의 초대 평양시장? 유준상 원장과의 인터뷰는 끝날 줄 모르고 이어졌다. 그만큼 그의 보안인력 육성에 대한 열정이 남달랐던 것이리라. 워낙 이야깃거리가 많은 터라 조금 화제를 돌려 개인적인 활동계획을 물어봤다. “우리나라도 통일이 눈앞에 다가와 있다고 봐요. 우리나라가 통일된다면 세계 5대 강국으로 진입할 것이고요. 그 때가 온다면 서울에서 평양까지 두 발로 또는 인라인을 타고 가서 통일 대한민국의 최초 평양시장이 되고 싶어요. 그게 저의 마지막 꿈이자 목표죠.” 통일 대한민국의 초대 평양시장이라? 조금은 먼 얘기처럼 들리지만, 그의 추진력을 감안한다면 못할 일도 아니다 싶었다.
그의 무한한 마라톤 사랑 앞서 서울에서 평양까지 뛰어가고 싶다고 말했듯 유준상의 원장의 마라톤 사랑은 남다르다. 38세의 나이에 국회의원에 당선된 이후 4선을 하는 동안 지칠 줄 모르고 달려왔던 인생에서 또 하나의 전환점이 됐다는 마라톤. 65세에 뒤늦게 시작한 마라톤은 이제 그의 삶에 있어서 빼놓을 수 없는 일부가 됐다. 5km로 시작해서 풀코스, 100km, 그리고 우리나라 4대강 줄기인 633km를 완주하고, 7회째 독도수호마라톤대회를 직접 개최한다고 한다면 말 다한 거 아닐까.
여기에 대한체육회 산하의 대한롤러경기연맹 회장을 맡으면서 생활체육 활성화에도 매진하고 있는 등 그의 폭넓은 활동량은 끝이 없을 정도다. 그러면서도 손자들과 뛰고, 인라인과 스키를 타는 등 함께 운동하는 시간이 가장 큰 스트레스 해소방법이라 말할 정도로 여느 할아버지 같은 소탈한 면모도 보인다.
수많은 얘기를 나누었음에도 아직 담지 못한 얘기가 많을 정도로 아쉬움이 남는 인터뷰였다. 글로벌 보안현장을 직접 둘러보기 위해 미국 라스베가스로 떠난다는 그의 뒷모습에서 우리나라 차세대 보안리더 육성을 짊어지고 있는 강한 어깨가 더욱 도드라져 보였다.
[대담/글_ 권 준 기자(editor@boannews.com), 정리_ 민세아 기자]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
