http://www.dailysecu.com/news_view.php?article_id=1983


기사 스크랩은 웬만 하면 하지 않으려고 하는데, 본 인터뷰는 보안 방면을 떠나서 일반 IT 개발자에게도 큰 도움이 될 것 같아서 전문을 올립니다. 기자님과 Matt님의 양해를 바라면서... ^^


--------------------------- 이하 원문 ---------------------------



“한국에서는 사람이 중심이라면 미국은 시스템이 중심”
“마음을 비우고 목표와 이득을 너무 생각지 말고 그냥 해보자”
OH-2.jpg한국의 대표적인 보안정보 공유 커뮤니티 버그트럭(BugTruck)을 처음만든 오정욱 연구원을 코드게이트 2012에서 만났다. 오정욱(닉네임: Matt) 연구원은 현재 미국 마이크로소프트 맬웨어 프로텍션 센터(Microsoft Malware Protection Center)에서 일하고 있다.
 
오정욱 연구원과의 대화는 참으로 많은 것을 느끼게 했다. 그는 우리에게 어떤 문제가 있는지 객관적 시각에서 말해주었다. 나무를 말하는 것이 아니라 숲을 말하는 그의 내공에 인터뷰 시간이 짧았다. 짧은 시간이었지만 그와 나누었던 대화내용을 전달하고자 한다.
 
오 연구원의 현재 업무는 MS 맬웨어 프로텍션 센터(MMPC)에서 취약점의 근본원인을 찾아내고 분석하고 어떠한 방법으로 빨리 분석할 수 있는지 찾아내고  또 어떻게 디텍션 로직을 짜면 효율적으로 분석해 낼 수 있는지 찾아내는 업무다.  
 
그는 97년 서울대 생물학과를 졸업한 후 국내에서 90년대 말 ‘수호신’이라는 방화벽을 개발하고 3년 정도의 모의해킹 업무를 하다 미국행 비행기에 몸을 실었다. 미국에서 그는 웹센스와 시큐리티 업체인 이아이디지털시큐리티(eEye Digital Security)를 거쳐 1년 반 전부터 MMPC에서 취약점 분석업무를 하고 있다. 그는 한국에서 8년, 미국에서 8년 보안업무를 계속 해오고 있다.
 
그에게 한국과 미국에서의 차이를 물었다. 오 연구원은 “차이점에 대해 말하자면 몇 시간을 말할 수 있다. 근본적인 차이점은 한국에서는 사람이 중심이라면 미국은 시스템이 중심이다”라고 밝히고 “한국은 그 조직에 능력있는 사람이 들어오면 그 한 사람 혹은 몇 명에게 전적으로 의존해 제품을 만든다. 반면 문제가 생기면 그 사람이 책임을 지게 된다. 하지만 미국은 시스템 중심으로 제품개발과 리서치가 이루어진다”고 설명했다.
 
한국 보안담당자나 IT 종사자들이 야근과 밤샘업무 등 과도한 업무에 시달리는 이유가 바로 거기에 있다고 그는 지적한다. 제대로된 업무 시스템은 없고 사람에 의존하다 보니 사람수나 업무시간 연장으로 메울 수밖에 없는 상황이라는 것이다.
 
오 연구원은 “미국에 와서 처음엔 100여 명 회사, 지금은 본사 4만명, 해외 9만명이나 되는 기업에 일하고 있지만 작은 기업이든 큰 기업이든 합리적 의사결정에 의해 업무 시스템이 짜여져 있기 때문에 조직의 크기에 상관없이 시스템적으로 업무가 처리되는 것을 느꼈다”며 “8시간만 일해도 업무가 마무리 될 수 있도록 시스템이 설계돼 있다. 한국은 근거없이 업무 프로세스를 정하고 사람을 거기에 맞추고 있다. 그리고 직원들에게 희생을 강요한다. 사람에 의존하느냐, 시스템에 의존하느냐가 가장 큰 차이점이다”라고 말했다.
 
그의 출근 시간은 자유로워서 오전 11시 경이다. 그게 어떻게 가능하냐고 물었더니 “출퇴근 시간으로 뭐라고 말하지 않는다. 이 또한 시스템이다. MMPC팀은 출퇴근 시간이 중요치 않기 때문에 자유로운 것 뿐”이라며 “집단적으로 모여서 빨리 일 처리를 해야 하는 부서는 출퇴근 시간이 필요해 엄격히 지키고 있다. 하지만 MMPC는 주요 업무가 리서치여서 출퇴근 시간이 큰 의미가 없기 때문”이라고 밝혔다. 한국은 업무 성격을 막론하고 출퇴근 시간이 정해져 있다.
 
또 그는 “시스템없이 사람을 중심으로 업무를 하다 보니 단기적 성과는 나오겠지만 장기적으로 볼 때는 손해를 보는 것”이라며 “왜 저렇게 힘들게 엔지니어링을 하고 제품하나 테스트하는데 몇주씩 걸리고 하는 것이 답답하고 번거롭고 단기적으로 볼 때는 비용도 많이 들어간다고 생각할 수 있지만 장기적으로 보면 전체적으로 이득이 된다는 것을 그들은 알고 있기 때문에 그렇게 하는 것”이라고 설명했다.
 
한국의 보안사고들에 대한 그의 생각이 궁금했다. “답답하다. 어떻게 보면 굉장히 쉽게 해결이 가능한 부분이다. 문제를 모르는 것이 아니라 알고 있지만 해결은 못하는 상태로 보여진다. 혹은 문제 당사자들이 해결 의지가 없을 수도 있다”며 “예를 들어 한국에서 웹을 통한 공격이 많이 이루어지고 있다. 공격자들은 그 웹사이트에 기생해 악성코드를 퍼트려야 하기 때문에 해당 사이트에는 별다른 피해를 주지 않는다. 그래서 관계자들은 자신의 사이트에 피해가 크게 없기 때문에 단순 처방만으로 일을 처리하고 있을 것이다. 결국 자기는 피해가 없지만 자신들의 사이트에 접속하는 많은 사람들이 피해를 보고 있음에도 문제의식을 가지지 않는다는 것이 문제”라고 지적했다.
 
국내 여러 P2P 사이트, 언론사, 유명 커뮤니티사이트들이 지속적으로 악성코드를 뿌려대 많은 사용자들 PC가 악성코드에 감염되고 있지만 정작 자신들에게 큰 피해가 없기 때문에 근본적 문제해결을 하지 않고 있는 행태들을 꼬집은 것이다. 
 
해커들에 대한 이야기로 넘어가 봤다. 한국 해커들과 해외 해커들의 근본적인 차이점에 대해 그는 이렇게 말한다. “한국 해커가 한국 해커이기 때문에 외국 해커들과 차이가 있는 것이 아니라 한국 해커가 한국인이기 때문에 큰 차이가 발생한다”며 “한국인으로서의 문화, 사고방식, 배경, 교육, 유교적 가치관 등이 해외 해커와 차이라는 것이다. 테크닉에서는 전혀 해외 해커에게 뒤지지 않는다. 한국 해커들의 사고방식이 변한다면 더 발전할 수 있을 것”이라고 말했다.
 
예를 들면, 한국 해커나 개발자들은 오픈소스 활성화가 안된다고 자책하고 있다. 방법은 간단하다. 그냥 하면 된다는 것이다. 그는 “해외에서도 오픈소스를 만드는데 인류에 공헌하겠다고 거창하게 시작하는 사람 없다. 그냥 흥미롭고 재미있기 때문에 하는 것이다. 그런데 한국에서는 내가 지금 하는 일이 어떤 의미가 있고 내게 어떤 도움이 되고 취업에 어떤 도움이 되는지를 너무 생각하는 것 같다. 좀 액티브하게 단기적으로 아무것도 아니더라도 그냥 재미있게  하다 보면 자연스럽게 변화가 일어나고 기회도 찾아온다”고 강조했다.
 
이 일이 내게 어떤 도움이 되느냐를 너무 생각하면 아무것도 할 수 없다는 것이다. 그냥 해보라고 그는 권한다. 흥미와 재미를 찾아 창의적으로 생각하고 시도해 보라고 말한다. “한국 사회가 워낙 경쟁구도다 보니 별 도움이 안되는 오픈소스 개발에 시간을 투자하는 것이 마치 뒤처지고 있다고 생각하는 것 같다”며 “하지만 아무 의미없을 것 같은 일들이 자기에게 큰 의미나 기회로 다가올 수도 있다”고 말했다. 
 
그는 마음을 비우라고 강조한다. “마음을 비우고 오픈소스에도 참여하고 열심히 리서치 한 내용을 공짜로 뿌려도 보라. 그런 일들이 지금은 아무 의미없어 보일지라도 그냥 해보라. 목표와 이득을 너무 추구하다 보면 시야가 좁아진다. 작은 부분만 보게 되는 것이다. 그래서는 절대 발전이 없다. 마음을 비우고 넓게 생각하길 바란다”고 거듭 강조했다.
 
또 해커들의 고민거리중 하나인 취약점 공개 문제에 대해서도 의견을 물었다. 그의 대답은 “사람마다 생각이 틀리다. 미국에서도 공식적인 룰이 없다. 결론부터 말하면 취약점을 찾아낸 해커 마음이다”라며 “미국에서도 ZDI(www.zdi.net / 제로데이이니시어티브)에 취약점을 팔아 돈도 벌고 명분도 찾고 언더그라운드 마켓에 팔기도 하고 밴더사에 직접 판매하기도 한다. 혹은 커뮤니티에 그냥 공개해 버리는 경우도 있다. 여러 부류가 존재한다. 이런 상황에 한국 해커들은 이렇게 해야 한다고 말할 수는 없다. 사람마다 소신이 틀리기 때문이다. 노력한 만큼 대가를 받겠다는 것이 나쁜 것이 아니다. 왜냐면 자기가 발견한 것이기 때문에 자기 가치관대로 처리하는 것”이라고 말했다.
 
다만 “윤리적 측면을 고려해 선의의 사용자들에게 피해를 줄 수 있는 상황이라면 그냥 공개하기 보다는 ZDI나 밴더에게 팔면서 돈도 벌고 대부분 크래딧을 받을 수 있기 때문에 자기 이름도 알릴 수 있고 그것으로 자신의 밸류를 찾는 방법이 좋을 것 같다”고 덧붙였다.
 
한편 그는 버그트럭 보안커뮤니티를 처음 만든 사람으로 유명하다. 오 연구원은 “만들기는 했지만 지금은 손을 땠다. 2006년 8월에 만들었다. 당시 국내 해킹 보안 전문가들 사이에 의사소통 통로가 있었으면 좋겠다고 생각해서 만들게 됐다”며 “해커스랩이 사라지고 이후 널루트나 와우해커, 해커스쿨 등 그룹별로 정보교류를 했던 시기인데 그룹에도 속해있지 않은 사람도 많아서 사람대 사람으로 정보공유 채널을 만들어 보고 싶었다”고 밝혔다.
 
그래서 그는 자신의 신분도 어느 정도 숨기면서 편하게 정보를 올리고 받을 수 있는 메일링 리스트 방식을 선택했다. 자유도가 높은 시스템이었다. 그는 “어느 정도 익명성이 보장되는 시스템이라 크리티컬한 정보들이 많이 올라올 줄 알았는데 주로 유용한 정보를 공유하는 채널로 자리잡게 됐다”고 말했다.
 
현재 그는 버그트럭 운영에 참여하지 않고 있다. 버그트럭 메일링만 받아보고 있다고 한다. 왜 그러냐 물었더니 “예전에는 하루에 몇 건씩 올려서 한 달에 올린 글이 몇백개가 될 정도였다. 그렇게 되다 보니 나를 알리는 데는 도움이 되겠지만 정작 커뮤니티가 성장하는데는 도움이 되지 않겠다고 생각했다”며 “커뮤니티는 자발성이 전제돼야 한다. 자신이 커뮤니티의 일원이라면 자신이 알고 있는 정보도 올리고 새로운 관점에서 의견도 제시하고 토론도 참여해야 한다. 그래야 전체 커뮤니티가 건강해지는 것”이라고 강조했다.
 
그런데 “처음에 글을 많이 올린 이유는 이렇게 글을 올려도 좋다는 예를 보여주기 위해 많이 올렸다. 자동차가 아무리 좋아도 배터리가 방전되면 움직이지 못한다. 그러면 다른 차를 가져와서 연결해 충전을 시켜줘야 움직일 수 있는 것처럼 글을 통해 계속 전류를 흘러 보내 충전을 시키려고 노력했다”며 “좀더 두고 봐야겠다. 커뮤니티가 제대로 형성되려면 길게 봐야 한다. 지금 정체된 상태라고 생각하는데 이 상황도 하나의 성장 과정일 것이다. 누군가 예전을 그리워하면서 글을 올리기 시작하고 그런 사람들이 점점 늘어나다 보면 다시 활성화될 것”이라고 기대했다.
 
그는 “한국 문화 자체가 자기 의견을 내놓는 것을 꺼리는 분위기다. 그래서 자발성이 떨어지는 것이다. 이는 앞서 말한 한국과 외국 해커들의 차이점과 일치한다”며 “누군가 나 아닌 다른 사람이 키플레이어가 돼야 한다고 생각하는 것은 잘못됐다. 자기 자신이 주인공이 되면 된다. 마음을 바꾸는 것이 중요하다”고 말했다.
 
오 연구원은 마지막으로 “한국에서 직장인들은 사고방식이 회사 시스템에 억눌려 있다. 뭔가 다른 생각을 할 여유가 없는 것 같다. 오픈소스를 해볼까 뭘 해볼까 이것저것 생각할 여유가 없는 것이다. 하지만 그런 무의미하다고 생각하는 것들이 기회를 만들어내는 것”이라며 “버그트럭에 열심히 글을 올리면 취업에 도움이 될 수도 있다. 어떻게 될지 모르는 것이다. 지금 무의미하다고 생각되는 일들이 큰 의미로 내게 다가올 수 있다는 것을 생각하자. 너무 목표와 단기적 이득만 생각하지 말자. 열심히 뭔가 창조적인 작업들을 지속적으로 하다 보면 뜻하지 않은 기회가 찾아 올 수 있다”고 말을 맺었다.
 
그는 코드게이트 2012 일정 때문에 한국에 오게 됐으며 오는 6일 미국으로 출국한다고 한다. 코드게이트 발표 주제는 ‘AVM Inception’이었다.
[데일리시큐=길민권 기자]