[컴퓨터월드] 정보보안 솔루션 전문기업인 (주)티앤디소프트는 최근 기술력 강화 및 기존 제품의 성능 개선을 위한 전략으로 보안 전문가를 영입했다. 연수권 기술연구소장이 그 주인공이다. 그는 인젠에서 컨설팅을 업무를 담당했고, 넥슨, 엑스엘게임즈, 쿠팡 등에서 보안팀장을 역임한 보안 전문가로 평가된다. 티앤디소프트는 지난 2014년 설립, 올해로 5년차의 기업이지만, 성장세는 그 어디에도 뒤지지 않아 주목받는 보안 전문기업으로 떠올랐다. 이런 성장세를 뒷받침하기 위해 기술력 등 내부역량을 강화하는 게 티앤디소프트의 전략이다. 연수권 연구소장을 만나 이야기를 직접 들어본다.

티앤디소프트, 올해 내실 다지기에 집중

2014년 10월에 설립된 정보보안 솔루션 전문기업인 티앤디소프트가 올해 내부 역량 강화에 집중한다. 웹 안전도 검사 솔루션 ‘TnD WSIS’ 사업에 주력하면서 동시에 기술력 향상으로 내실을 다져 기업의 가치를 높여 나갈 계획이다.

티앤디소프트의 영업 조직은 이미 안정돼 있다는 평가를 받고 있다. 티앤디소프트는 여기서 나아가 기술 역량 등도 갖춘 풍성한 기업이 되겠다는 목표다. 티앤디소프트가 최근 연수권 기술연구소장을 영입한 이유도 여기에 있다.

연수권 연구소장은 넥슨, 엑스엘게임즈, 쿠팡 등에서 보안팀장을 지낸 보안전문가다. 처음 보안 솔루션 및 컨설팅 기업 인젠에 입사해 컨설팅 업무를 담당했고, 이후 안랩에서도 컨설팅 업무를 했다. 이후 넥슨과 인연이 돼 넥슨 보안팀장을 시작으로 10년 이상 기업 보안담당자로 근무했다.

연수권 연구소장은 “티앤디소프트에 합류한 후, 지인들이 왜 ‘갑’에서 ‘을’로 이직했냐고 농담을 할 만큼 의아해 했다”며, “기존의 보안담당자의 업무가 아닌 새로운 걸 배우고 싶어, 티앤디소프트에 합류하게 됐다”고 합류 이유를 설명했다.

컨설턴트에서 보안담당자, 이제는 개발총괄로

연수권 연구소장은 처음 입사한 인젠에서 다른 회사로 이직하게 된 배경을 다음과 같이 얘기했다.

“처음 인젠에 입사해 보안 컨설팅 업무를 맡으면서 의아한 생각이 많이 들었다. 당시에는 보안에 대해 잘 모르는 상황에서 컨설팅을 진행하다 보니 체크리스트를 중심으로 업무를 진행할 수밖에 없었다. 새로운 것을 시도할 수가 없어 점차 회의감이 들었다. 프로젝트를 진행하면서 체크리스트를 적용해보니 맞지 않는 부분도 있었으나 내가 할 수 있는 부분은 극히 제한적이었다. 이런 여러 이유로 기업보안담당자로 이직을 생각하게 됐다.”

이후 연 소장은 안랩으로 자리를 옮겨 약 8개월 간 다녔고, 여기서 넥슨과 인연이 닿아 보안팀장으로 이직했다. 넥슨에서 약 5년, 엑스엘게임즈에서 약 4년동안 게임기업의 보안담당자로 근무했으며, 이후 E커머스 기업 쿠팡에서 시스템보안팀장으로 있었다.

연 소장은 10년 이상 넥슨, 엑스엘게임즈, 쿠팡의 보안담당자를 거치면서 반복된 일상에 지쳐갔다고 회상했다. 이러던 중 자유로운 삶을 살아야겠다는 생각을 했으며, 회사에서 나가라고 하기 전에 나만의 길을 찾아야겠다는 생각으로 사직서를 제출했다.

연 소장은 이후 프리랜서 보안컨설턴트로 변신했다. 대학교 강의, 인증심사원, 정부과제 참여 등 여러 가지 일을 하면서 다양한 경험을 쌓았다. 짧은 기간이었지만 프리랜서의 활동은 연 소장의 안목을 넓히는 데 큰 도움이 됐다. 한편으론 프리랜서의 한계를 많이 느꼈다. 프리랜서로서 사업 수주에 직접적으로 참여하기가 어려웠으며, 이렇다 보니 이미 수주돼 있는 사업에 참여하게 돼 주도적으로 일하는 데 제약사항이 많았다고 얘기했다.

이에 연 소장은 보안담당자로 복귀할지, 사업을 시작할지 많은 고민을 하던 중에 티앤디소프트 최성묵 대표로부터 같이 일을 해보자는 제의가 있어 합류를 결정했다고 한다. 보안 컨설팅과 기업보안담당자 그리고 프리랜서로 활동하면서 보고 배운 경험을 활용할 수 있을 것이라는 생각 외에도 티앤디소프트는 기업 운영하는 모습을 바로 옆에서 지켜볼 수 있다는 점에서 매력적이었다.

연 소장은 자기 개발에도 관심이 많았다. 사실 연 소장이 이전 직장을 그만 두게 된 것도 상당부분 공부에 대한 욕심 때문이었다. 상명대학교에서 박사과정을 진행하던 연 소장은 학위 논문을 준비하면서 직장생활과 병행하기 힘들다는 판단에 따라 퇴사를 결정했다. 회사보다는 자기개발을 선택한 것이다.

연 소장의 주전공은 경영학이고, 세부 전공이 정보시스템보안 분야다. 연 소장은 “주전공을 경영학으로 공부하다보니, 경영학 측면에서 보안을 바라볼 수 있는 이점이 있었다”고 말했다. 시야를 넓혀 보안을 다각도로 볼 수 있다는 것이다.

연 소장의 논문 주제는 게임보안관리체계다. 이 주제를 선택한 이유에 대해 연 소장은 “게임기업들은 봇대응, 프리서버 대응 등 단편적으로 대응하는 기술은 이미 구축돼 있지만, 체계적인 보안 관리가 필요하기 때문에 어떻게 게임보안관리체계를 구성해야할지가 중요하다고 생각했다”고 말했다. “게임회사는 보안의 극한을 경험할 수 있다”고 설명한 연 소장은 “적은 인원으로 봇, 프리서버, 해킹 등 많은 부분에 대응하다보니 엄청난 고생을 하고 있다”고 게임회사 보안담당자의 고충을 얘기했다.

보안담당자 경험 살려 솔루션 기능 개선

티앤디소프트는 연수권 소장이 게임 업체에서 보안담당자로 근무했을 때의 경험에 높은 기대를 하고 있다. 실제 게임 업체들은 보안에 관심을 갖고 투자를 하고 있다. 연 소장 역시 “게임사에 특히 보안 이슈가 많으며 일반 기업과 큰 차이를 보이고 있다”고 말한다. 그의 설명에 따르면 게임보안영역은 클라이언트 공격 분석, 악성코드 분석 등 다양한 기술을 필요로 한다. 게임 보안은 클라이언트뿐만 아니라 인프라 단에서도 이슈가 발생한다.

게임보안 영역은 특히 기술보안 쪽에 초점이 맞춰져 있다. 주로 침해사고 대응과 게임 방어코드 등의 분야로 구성된다. 계정도용 문제도 많은데, 하루 몇 십만 건에서 많게는 천만 건까지 신고된 경우도 있다고 한다. 이 수치가 다 도용에 성공하는 것은 아니지만 성공확률이 존재하고, 성공했을 경우 해당 계정의 아이템을 팔고 현금화하는 과정이 10분 이내에서 이뤄지기 때문에 게임회사들은 이에 대응하기 위해 많은 노력을 기울이고 있다.

게임회사 입장에서 프리서버도 문제가 된다. 2010년 초에 게임서버를 직접 구축하는 프리서버가 출현하기 시작했다. 이런 프리서버는 실제 훔친 것이라고 보기도 어렵기 때문에 저작권을 걸기도 어려워 대응에 한계가 있었다. 최근에는 게임관련 법률이 개정돼 이 부분의 대응이 가능해졌다. 연 소장이 게임사 보안팀장으로 근무할 때에는 현재처럼 법으로 대응할 수 없었기 때문에 클라이언트에 보안코드를 추가하는 등의 부분이 고려됐다고 얘기했다.

쿠팡에서 근무할 때는 여러 면에서 게임사와 많이 달랐다고 설명했다. 게임사에서 보안은 기술적인 측면이 강조된 반면 쿠팡은 관리적인 측면의 이슈가 많았다는 것이다. 연 소장의 설명에 따르면, 가장 신경써야 했던 것은 개인정보 관리 분야였고 핀테크 분야에도 대응해야 했다. 쿠팡에서는 주로 네트워크 장비, 보안솔루션, 핀테크 분야를 맡았으며, 핀테크 분야가 엮여있다 보니 금융 분야의 보안 기준에도 대응해야 했다.

특히, 연 소장은 쿠팡에서 클라우드 관련 경험을 쌓았던 게 지금 많은 도움이 되고 있다고 말했다. 연 소장은 쿠팡 근무 당시를 얘기하며, AWS로 시스템을 옮긴 첫 사례가 쿠팡이라고 소개했다. 쿠팡의 클라우드 도입을 진행하면서 많은 노하우를 확보할 수 있었다고 설명했다. 연 소장이 한국인터넷진흥원과 클라우드 보안 교육교제도 제작 및 교육프로그램 진행에 참여할 수 있었던 것도 쿠팡에서의 클라우드를 도입했던 경험 때문이었다.

연수권 연구소장은 지금까지의 이러한 경험을 살려 현장에서 실질적으로 필요한 기능을 티앤디소프트의 솔루션에 접목시켜 나갈 계획이다. 보안담당자의 시각에서 점검해 보고 기능 면에서 경쟁 솔루션에 비해 강점을 갖도록 솔루션의 기능을 개선하겠다는 것이다.

연 소장이 최성묵 대표로부터 받은 미션도 솔루션 개선에 초점이 맞춰져 있다. 연 소장은 티앤디소프트의 개발을 총괄하고 회사 가치를 높일 수 있는 지식 그라운드를 만들어 나갈 계획이다.

연 소장이 티앤디소프트에서 주력할 또 다른 분야는 보안 컨설팅이다. 컨설팅을 진행했던 경험과 보안담당자의 시각을 합쳐 기업에 필요한 보안 컨설팅을 제공한다는 전략이다. 연 소장은 “컨설팅은 다양한 요소를 고려해야 하며, 데이터 수집을 통해 기업문화나 기업의 현황을 분석해 적절한 컨설팅을 제공해야 한다”며, “이전 보안담당자 때 컨설팅 보고서를 받아봤을 때 기업과 괴리감이 있었던 적도 있었다”고 말했다. 이어 “보안담당자의 시각과 기업의 현황, 문화 등이 반영된다면 의미 있는 컨설팅이 될 것”이라며, “여기에 기업 경영경험까지 추가한다면 더 좋을 것이라고 생각했다”고 덧붙였다.

연 소장은 특히 클라이언트 보안 컨설팅에도 관심을 갖고 있다. 우리나라에서는 아직 보편화 되지 않은 클라이언트 컨설팅에서 의미 있는 성과를 거둬들인다면 회사 발전에 큰 도움이 될 것이라는 설명이다. 연 소장은 향후 솔루션 개발에도 집중한다는 계획이다. 솔루션 기능 개선이 완료되고 나면 개발에도 역량을 투자할 방침이다.

보안솔루션, 세밀한 기능도 챙겨야

연수권 연구소장은 보안담당자의 입장에서 볼 때 보안솔루션은 개선돼야 할 부분이 많다고 설명했다. 특히 국산 솔루션의 경우 트렌드에 쫓아가기 급급해 급조된 느낌이 있는 제품도 있다고 말했다. 실제 보안솔루션을 도입하기 위해 BMT를 진행할 경우 가능하다고 명시된 기능 중 일부가 안 되는 경우도 많다며 세밀한 부분까지 신경 썼으면 하는 바람이라고 얘기했다.

그는 특히 해커의 공격이 점점 고도화되는 상황에서 기본에 충실해야 한다는 원론적인 접근이 필요하다고 덧붙였다. 연 소장의 설명에 따르면, 보안은 계정관리, 접근통제 등 기본적인 기능에만 충실해도 어느정도 방어가 가능하며 오히려 기본적인 기능을 놓치고 간다면 솔루션 성능이 아무리 뛰어나다고 해도 방어할 수 없다. 그는 “어떤 보안솔루션이던지 기존 로그를 체계적으로 관리하고 분석하는 기본 골자는 변하지 않는다”며, “이런 기본적인 부분에 더욱 신경써야 한다”고 강조했다.

그는 보안 컨설팅과 관련, 현재의 컨설팅은 인증에만 초점이 맞춰져 있어 다소 문제라고 지적했다. 인증에 대비하기 위해 컨설팅이 진행되다 보니 현장에 필요한 기능이 부족한 경우가 많다는 것이다. 인증에 대비한 체크리스트 기반 컨설팅이 아닌 보안담당자가 실제 사용하는 환경을 고려한 컨설팅이 진행돼야 하며, 오랜 시간 보안 분야에 종사해온 전문가들에 의한 컨설팅이 이뤄져야 한다는 게 연 소장의 주장이다.

연수권 연구소장은 올해 보안시장은 엔드포인트 탐지 및 대응(EDR) 솔루션이 이슈가 될 것으로 예측했다. 연 소장에 따르면 이제 보안은 네트워크를 넘어 엔드포인트에서도 침해에 대응하고 분석하는 게 일반적인 현상이 됐으며 보안 솔루션 간에 융합도 진행되고 있다.

연 소장은 특히 클라우드로의 전환이 보아 시장에 큰 변화를 가져다 줄 것으로 전망했다. 클라우드로의 전환이 보안 시장을 크게 위축시킬 수 있다는 것이다. 클라우드 서비스에는 방화벽외에도 계정관리, 접근제어 등의 기능이 기본으로 들어있기 때문에 보안 업체들의 사업 영역이 그만큼 줄어들게 된다는 의미이다.

물론 클라우드 상에서 보안 서비스를 따로 도입해 사용할 수 있지만 그럴 가능성은 낮다는 게 연 소장의 분석이다. 클라우드가 활성화될 경우 당연히 기본 서비스의 범위가 확대되고 성능 또한 향상돼 그만큼 보안 업체의 설자리가 줄어들 게 된다는 것이다. 연 소장은 클라우드가 활성화될 경우 보안 취약점 점검, 패치관리 등이 필요 없어질 수 도 있어 시장이 축소될 것으로 보인다고 설명했다. 다만 클라우드가 활성화 될 경우 모니터링 솔루션, 탐지 및 분석 솔루션이 필요해 관련 시장은 성장할 것으로 예측했다.

연 소장은 “클라우드가 보안 솔루션의 전환점이 될 것”이라며, “물론 클라우드에서 서비스를 제공하는 마켓을 통해 사업을 유지할 수도 있겠지만 보안 업체들은 변화하는 시장에 대한 대응책이 필요하다”고 말했다.

“수평적인 조직문화 만들고 싶다”

연수권 연구소장은 기업의 문화에도 많은 관심을 갖고 있다. 연 소장이 기업의 보안담당자로 복귀하지 않은 이유 중 하나가 바로 기업 문화때문이었다. 큰 회사의 경우 짜여진 틀대로 움직여야 돼 하고 싶은 일을 제대로 할 수 없다는 것이다.

연 소장이 티앤디소프트를 선택한 이유도 규모가 크진 않지만 하고 싶은 일을 해볼 수 있을 것이라는 생각 때문이다. 연 소장은 먼저 티앤디소프트에 수평적인 기업문화를 심어볼 생각이다. 연 소장은 회사의 조직과 관련, 연구소장이라는 위치에서 수평적인 조직을 만드는 것을 목표로 삼고 있다.

또 기업이 성장해야 조직문화도 빛을 발할 수 있다는 생각에서 연구소장의 위치에서 어떻게 하면 회사가 성장할 수 있을 것인지도 고민하고 있다. 연수권 연구소장은 먼저 티앤디소프트의 웹안전도검사솔루션 ‘TnD WSIS’의 기능을 개선하는데 주력할 계획이다.

‘TnD WSIS’에 대해 연수권 연구소장은 “기존 솔루션은 탐지에 초점이 맞춰져 있으나, 이미 해킹된 상황에서 대응할 수 있는 기능은 적었다. ‘TnD WSIS’는 이런 문제를 보완하고 있다”고 말했다. ‘TnD WSIS’는 웹사이트가 이미 해킹돼 파일이 변조되고 있는 부분을 탐지해 대응한다는 장점이 있다는 것이다. 또한 공격에 사용되는 경유지로 활용될 여지도 있기 때문에 이를 탐지하는 기능도 갖추고 있다.

연수권 연구소장은 지금까지의 경험을 살린 지식 공유를 통해 회사와 함께 스스로도 성장한다는 계획이다. 현재 상명대학교에서 강의를 하고 있는 연 소장은 지식을 공유할 수 있는 방법을 강구하고 있다. 그는 특히 정부부처에 전문위원으로 참여해 현장의 목소리를 전할 생각이다. 학문적인 지식에 현장의 경험을 섞어 대안을 제시하겠다는 생각이다.

연 소장은 보안 컨설팅 분야에도 지속적으로 도전할 계획이다. 연 소장은 “보안담당자였던 사람이 보안 컨설팅을 하는 경우는 드물지만, 꼭 필요한 부분”이라며, “이런 경험을 살려 기업의 현황 및 문화 등을 반영한 현실적인 컨설팅을 해보고 싶다”고 말했다. 특히 “클라우드 보안 컨설팅이나 게임보안 컨설팅 분야에는 각각 특성이 있어 도전해보고 싶다”고 덧붙였다.

연 소장은 마지막으로 “회사를 나오면서 10년간 의미 있는 일을 해보고 싶었다”며, “새로운 경험을 통해 회사를 키워가며 많은 것을 배우고, 지식을 공유하거나 스스로 성장할 수 있는 기회로 활용하겠다”고 의지를 다졌다.