보안 컨설팅 분야 개척자, 현업 고민 해결사 나서
국내 보안 컨설팅 분야의 개척자라는 수식어가 붙어 다니는 김휘강 엔씨소프트 팀장. 그는 보안 컨설팅 전문업체인 에이쓰리시큐리티컨설팅사를 설립해 국내 보안 컨설팅 시장의 가능성을 제시했다. 경영인과 컨설턴트로 활동했던 그가 이제는 현업 보안 전문가로 변신했다.
그의 새로운 터전은 게임 전문 업체인 엔씨소프트다. 그는 엔씨소프트 시스템 운영실의 정보보안팀 팀장 역할을 수행하면서 최신 보안 위협을 경험하고 해결 방법을 체계화 하는 등 바쁜 나날을 보내고 있다. 그는 이곳에서 다양한 보안 위협을 경험하면서 컨설팅사에서 체험하지 못했던 생생한 보안 위협을 접하고 있다. 김휘강 엔씨소프트 팀장을 만나 그의 삶을 살펴보자.
안희권 기자 argon@it-solutions.co.kr
국내 보안 컨설팅 분야의 개척자라는 수식어가 붙어 다니는 김휘강 엔씨소프트 팀장. 그는 보안 컨설팅 전문업체인 에이쓰리시큐리티컨설팅사를 설립하고 국내 보안 컨설팅 시장의 가능성을 보여주었다. 현재 보안 컨설팅 시장의 잠재력에 대해 의심하는 사람은 없다. 하지만 초기 보안 컨설팅은 보안 솔루션을 파는 과정에서 무상으로 제공되는 서비스 차원에서 벗어나지 못했다.
컨설팅 사용료를 지급하는 것은 애초에 생각할 수도 없었고 그나마 제공됐던 서비스의 질도 매우 취약했다. 이런 상황에서 김휘강 팀장은 전문 보안 컨설팅을 주창했다. 보안컨설팅 방법론과 마스터 플랜을 기반으로한 보안 정책을 제공하면서 고객들에게 보안 정책 수립과 컨설팅 도입을 적극 권장했다.
이런 노력에 힘입어 금융권 및 대기업 등에서 적극적으로 보안 컨설팅을 의뢰하게 됐고, 보안 컨설팅 시장은 주력 시장으로 자리잡을 수 있었다.
김휘강 팀장은 에이쓰리시큐리티컨설팅사를 정부가 인정하는 정보보호지정업체로 승격시켰다. 그는 회사가 성장하면서 전문 경영인의 필요성을 인식하고 기술 연구개발을 위한 연구소 소장으로 자리를 옮기는 등 조직 및 기업 성장에도 노력을 기울였다.
이제 그는 그의 몸과 같은 에이쓰리시큐리티컨설팅사를 떠나 현업 보안 전문가로 자리를 옮겼다.
그의 새로운 터전은 게임 전문 업체인 엔씨소프트다. 엔씨소프트는 온라인 게임인 리니지 서비스를 제공하고 있는 업체로, 다양한 보안 위협을 직간접으로 매일 부딪히고 있다. 김휘강 팀장은 온몸으로 급변하는 보안 위협을 체감하며 현업 전문가로서의 삶을 열어가고 있다.
그는 엔씨소프트 시스템 운영실의 정보보안팀 팀장 역할을 수행하고 있다. 그는 이곳에서 체험하지 못했던 생생한 보안 위협을 접하고 있다. 또한 고객사가 우선적으로 무엇을 원하고 있는지를 파악하면서 고객 중심의 보안 해결을 구현하고 있다. 엔씨소프트는 김휘강 팀장과 그의 팀원들의 체계적인 문제대응으로 효과적인 보안 정책을 구현할 수 있게 됐다. 그의 능력이 이곳에서도 힘을 발휘하고 있는 것이다.
걸어다니는 컴퓨터 긴급 대응팀(CERT)이라는 호칭을 갖고 있는 그. 이제 이 분야 정식 박사를 눈앞에 두고 있다. 내년 2월에 KAIST 산업공학 지식기반 KMS 박사 학위를 받게 되기 때문이다. 항상 겸손하고 현장 경험을 최우선시 하는 그가 있기에 국내 보안 분야의 앞날은 밝다.
현업에서 보안 문제 해결로 바쁜 김휘강 엔씨소프트 팀장을 만나 그의 발자취와 철학을 직접 들어본다.
보안 컨설팅 분야에 진출하게 된 배경은.
▶보안컨설팅 전문업체인 에이쓰리시큐리티컨설팅을 99년에 설립하면서 본격적으로 보안 전문가로 활동하게 됐다. 이 회사를 설립하게 되기까지는 많은 일들이 있었다. 카이스트(KAIST) 1학년 학창시절 쿠스라는 보안 해킹 동아리에 들어가면서 보안 관련 일을 접하게 됐다. 이 당시 사과전쟁이라고 불리는 포항공대와의 해킹 경쟁이 애교 수준에서 매우 치열하게 진행됐다. 이를 통해 서로 보안 기술을 쌓을 수가 있었다. 그러던 중 시스템공학 연구소내에 보안대응조직팀원으로 참여하면서 아르바이트 차원에서 업계 보안 서비스 지원을 담당하게 됐다.
특히 98년 이니텍 권도균 사장이 기업을 대상으로 한 모의 해킹 서비스 의뢰를 요청하면서 독립적인 사업 영역으로 구상하게 됐고, 99년 정식으로 회사를 설립해 모의해킹을 제공하면서 전문 업체로 인지도를 쌓을 수 있었다. 이 당시 전산원과 신한은행 등은 모의 해킹 서비스를 받으면서 그 쓰임새와 취약한 자사 보안 환경으로 인해 매우 놀라워했다.
이를 계기로 모의해킹과 시스템 방법론 등을 만들어 체계적인 서비스를 제공할 수 있었다. 그해 흑자를 이루는 성과를 올렸고 2000년에는 경상이익 40%를 기록하는 등 큰 성장을 보였다. 지금도 에이쓰리시큐리티컨설팅은 보안 컨설팅 분야에서 독보적인 업체로 평가받고 있다.
경영자와 컨설턴트, 현업 보안 담당자. 이들의 역할 차이는 무엇인가.
▶회사 설립 초기에는 경영자로서 능력을 왕성하게 발휘했다. 이 시기에는 결정을 빠르게 내려야 하는 순발력이 필요했다. 그런 부분에서는 내 성격과도 맞아 잘 수행한 듯 싶다.
하지만 회사가 성장기에 접어들면서 대표 이사의 역할도 달라졌다. 따라서 보다 전문적인 조직 및 사업 비전 관리를 맡아줄 전문 경영인이 필요했다. 이 시점부터 경영에서 물러나 연구소 소장을 자리를 옮겼다. 연구소 소장 즉 컨설턴트는 보안 기술과 법률 지식을 함께 갖추어야 했다. 회사나 공공기관의 제도에 맞게 보안 컨설팅을 해주어야 하기 때문이다.
한 단계 더 나아가 현업 보안 담당자는 현업에 맞는 지식을 갖추어야 한다. 섬유관련 업체의 도메인 관련 보안 서비스를 담당한다면 섬유 관련 공부도 필요하다. 해킹 등 보안 문제가 섬유 관련 업무 프로세스와 연결되어 일어나기 때문이다. 특히 현업 보안 담당자는 부처간 의견 조율도 할 줄 알아야 한다. 보안 정책을 추진하다 보면 업무의 흐름을 제한하기도 한다. 이런 경우 현업 부서의 저항이 커진다. 따라서 불편함을 최소화하면서 보안을 구현할 수 있는 접합점을 찾아야 한다.
보안 컨설턴트로 활동하면서 희로애락이 많았을 것이다. 기억에 남은 몇 가지를 말해달라.
▶제일 즐거웠던 기억은 정보보호지정업체 선정 작업에서 제일 높은 점수로 지정되었을 때다. 밤늦게까지 서류를 준비하고 방법론을 체계화 시키는 등 정말 바쁘게 나날을 보냈다. 또한 재학시절 도움을 드렸던 분들을 업체 담당자로 다시 만나게 됐고, 이분들이 우리의 성실성을 믿고 프로젝트까지 수행할 수 있는 기회를 열어주었을 때였다.
힘들었던 기억은 고객의 요구사항이 너무 까다로워 프로젝트 완료 후에 담당자가 퇴사하겠다고 했을 때이다. 컨설턴트의 업무 강도는 매우 큰데 고객로부터 인정을 받지 못하게 되면 자존심에 타격을 받아 좌절하거나 퇴사하는 경우가 종종 있다. 이런 경우 책임자나 선배로써 안타까움을 금할 수 없었다.
게다가 외국계 보안 업체에게는 무척 호의적인 국내 업체들의 반응이 컨설턴트를 더욱 힘들게 했다. 실력으로 평가하지 않고 외국업체와 국내 업체로 평가하는 일부 고객들의 잣대가 전문가를 힘들게 한다.
보안 컨설턴트가 되지 않았다면 현재 어떤 모습일까.
▶과학고를 졸업하고 카이스트 대학과 대학원에 입학하는 것은 과학고 졸업생의 정례화된 과정이었다. 만약에 과학고가 아니거나 카이스트 대학이 아니었다면 평범한 직장인이 되었을 것이다. 하지만 보안 전문가가 된 것을 한번도 후회해본 적인 없다. 보안 전문가는 나의 천직이라고 생각한다.
보안 전문가가 지녀야 할 능력이나 필수조건이 있다면.
▶보안 전문가에도 초보와 중급, 고급의 등급이 있다. 초보는 열정만 있으면 된다. 중급자는 자기만의 기술이 있어야 생존할 수 있다. 메인프레임 보안이나 웹페이지 혹은 서버 모의 해킹 전문가처럼 전문 분야를 개척하는 것이 좋다. 최근에는 고객의 눈이 높아져 유닉스와 네트워크 등 여러 가지 분야를 꾀고 있어야 한다. 중급자에서 상급자로 가는 과정에는 관리적인 노하우가 필요하다.
학교에서 배웠거나 기술만 가지고는 고급 전문가의 흉내를 낼 수 있지만 최고의 전문가가 될 수는 없다. 그래서 현업 경험을 쌓은 것도 중요하다. 고급 전문가는 부서간 조율와 합의를 통해 의결 충돌을 완화시킬 수 있어야 한다. 따라서 시야를 넓게 갖고 장기적인 관점에서 회사 보안 정책을 수립할 수 있어야 한다.
최근 금융사고와 정보 유출 사고 등 많은 사건이 있다. 디지털 시대에 현대인이 가져야 할 보안의식은.
▶외국의 경우 권한 침해나 정보 유출에 대한 매우 민감하게 반응한다. 그리고 남의 것에 대해서는 관심도 없다. 국내에서는 반대다. 남의 것에 대해 관심이 많고 이를 함부로 생각하는 경우도 있다. 하지만 자기 것도 제대로 지키지 못하는 경우도 많다. 자기 것은 당사자가 책임을 지고 관리해야 한다.
보안도 이런 방향으로 나가야 한다. 다른 사람이 지켜주기 앞서 자신이 주인의식을 갖고 지킬 수 있어야 한다.