나와 V3의 인연은 1995년 5월 군 복무를 마치고 삼성동 코엑스에서 개최된 SEK 95 전시회에 가서 안철수 당시 사장님의 강연을 들으면서 시작되었다. 그 강연은 당시 생화학과 2학년 복학을 준비 하는 대학생으로서 ‘도대체 컴퓨터에 웬 바이러스가 있을까?’ 하는 궁금증을 해소할 수 있는 기회 였다.
당시 강연에서 “V3는 셰어웨어 소프트웨어로서 공개되지만 상용 소프트웨어를 사용하시는 고객의 기대에 어긋나지 않는 서비스를 약속하겠다.”라고 한 안철수 사장님의 말씀에 믿음을 갖게 되어 'V3 Pro 95'를 처음 구입해 현재까지 이용하고 있다. 지금까지 많은 백신 프로그램들이 나오고 있지 만 현재 내가 이용하는 V3 서비스에 특별한 문제점을 발견할 수 없었기에, 그리고 정품으로 서비스 를 받으면서 부족한 점을 느끼지 못했기에 꾸준히 사용하고 있다.
2000년경 회사에서 컴퓨터 바이러스에 감염된 적이 있었는데 감염 당일 다른 백신으로는 치료가 가능했지만 V3는 다음날에야 치료가 가능한 적이 있었다. 그 이후로는 현재까지 별다른 문제점은 없다. 내가 처음 사용한 V3Pro 95 설치 파일은 플로피 디스켓 한 장이었던 걸로 기억하는데 지금은 엔진 업데이트 파일만 50메가에 육박하고 있다. 향후 60주년, 70주년에 되어서도 노쇠하지 않는, 늘어난 파일 용량 이상으로 계속 발전하는 V3가 되길 기원한다. 어떤 제품에도 뒤지지 않도록 V3가 발전할 수 있도록, 그리고 안랩인들의 무궁한 발전을 기원한다.
1991년에 V3를 처음 사용한 이후 줄곧 사용해왔다. 통합 제품이 나온 이후에도 별 관심이 없었는데 집 PC가 ADSL 라인인데도 해킹을 당하는 일이 생긴 이후 업그레이드하게 되었다. 당시 특별한 피해는 없었지만 컴퓨터에 “당신의 PC는 해킹당했습니다”라는 폴더가 엄청나게 생겼다. 그래서 부랴부랴 방화벽 기능이 있는 AhnLab Client Security 1.0으로 업그레이드했고 지금의 V3 Internet Security 2007 Platinum까지 줄곧 통합 제품을 사용 중이다. 처음에 AhnLab Client Security 1.0은 안정화가 덜 되었는데 지금은 그런 문제가 없고 그 후에 아직 바이러스나 해킹을 당한 적이 없다.
V3에 얽힌 기억을 몇 가지 생각해보면 1997년 경에 회사에서 사내에서 사용할 백신 프로그램에 대한 직원들의 의견을 물은 적이 있다. 당시 V3는 데스크톱용으로는 독보적인 존재였지만 서버용 제품이 부족한 점이 많아 결국 다른 경쟁 회사에 밀렸던 기억이 난다. 그리고 한 번은 회사에서 개발한 제품이 계속 네트워크가 어느 순간에 끊어지는 문제가 있었는데, 원인을 찾다 보니 V3가 설치되어 있으면 끊어지는 현상이 있었다. 왜 그럴까 고민하다보니 하필 그때 유행했던 백도어와 같은 포트를 우리 제품에서 사용해서 V3가 바이러스로 인식한 것이었다.
V3를 계속 사용하는 이유는 무엇보다 안철수 전 사장이 좋아서이다. 물론, 제품도 내가 사용해본 다른 백신보다 가볍고 검사 속도가 빠르고 특히 시스템에 부하를 덜 주는 등 믿음이 간다. 하지만 아무래도 개발자이니 처음에 안철수 전 사장이 백신을 만든 계기와 만드는 과정, 기본부터 공부 하는 면이 매우 인상 깊었다. 직접 저술하신 책들도 다 읽어보았는데 회사를 운영하는 철학이 참 마음에 와 닿았다. 특히, 처음에 회사를 설립하고 미국에서 테크노 MBA 과정을 밟은 모습을 보고 ‘역시 회사를 경영하기 위한 준비를 하시는구나’라고 생각했고, 많은 경영자들이 창업을 할 때 본 받아야 할 부분이라고 생각했다. 제품 이름도 내가 제일 좋아하는 알파벳인 V와 제일 좋아하는 숫자인 3의 조합이라 마음에 든다.
V3가 벌써 20년이 되었다니 감회가 새롭다. 얼마 전 운전하면서 들은 라디오 DJ가 한 말이 생각 난다. 세상 끝을 향해 걸어가다가 끝에 도달했을 때, 그것이 끝이 아니고 다시 뒤돌아 서면 시작 이라는 내용이었다. 그 후에 ‘세상 끝에서의 시작’이란 노래를 틀어주었는데 매우 인상적이었다. 안철수연구소는 솔루션 개발 분야에서 독보적인 위치에 있는 회사이고 광고 수입이 아닌 제품 판매로 유일하게 살아 남은 대한민국 소프트웨어 회사의 자존심이다. 20 주년을 축하한다는 말과 동시에 이제부터 다시 전설을 만들기 시작해달라고 말하고 싶다. 또한 최근에 부쩍 무료인 경쟁 제품이 많아졌고 왠지 V3가 위축되어 간다는 느낌이 든다. 처음에 시작할 때 그랬듯이 새로운 기술과 새로운 제품으로, 그리고 데스크톱만이 아닌 엔터프라이즈 급에서도 최강자가 됐으면 좋겠다. 그래야 유료 사용자로서, 소프트웨어 개발자로서 뿌듯할 것 같다.
V3, 국가대표 SW 20년에서 글로벌대표 100년으로 이어지길 (글쓴 이 : 이희조 고려대학교 정보통신대학 교수)
V3가 1988년 C브레인 바이러스를 퇴치하기 시작해서부터 20년의 역사 동안 대한민국의 대표 소프트웨어로서 굳건한 자리를 잡고 있는 것은 정말 대단한 일이 아닐 수 없다. 10년 전 외국 친구가 안랩(AhnLab)은 몰라도 V3는 알고 있는 것을 보고 V3의 높은 인지도를 실감했고, 20살이 된 오늘까지 국내 백신 시장의 60% 이상을 차지하고 연 매출 500억을 상회하는 것은 실로 놀라운 일이다.
V3의 장점은 세 가지로 표현할 수 있다. 첫째, 신뢰할 수 있는 소프트웨어이다. 특히, 보안 서비스는 신뢰가 생명이라고 할 수 있다. 잠시 사용자를 현혹하거나 속임수를 써서는 안 되는데, V3는 중요하고 긴급한 상황에서도 언제고 도움을 받을 수 있는 신뢰의 이미지를 20년 간 한결같이 쌓아왔다. 안전한(secure) 소프트웨어는 언제고 새로 만들 수 있지만, 신뢰 (trust)할 수 있는 소프트웨어는 많은 시간이 필요하다.
둘째, 국내 환경에 최적화한 소프트웨어이다. 국내의 전산 환경과 다양한 소프트웨어들이 구동되는 환경에서 그 어느 백신보다 가장 많이 노출되고 최적화했다. 따라서, 다른 그 어떤 제품보다 국내에 유통되는 소프트웨어들과 함께 구동되는 데 충돌 문제가 적고, 국내 사용자의 구미에 맞는 미려하고 효율적인 사용자 인터페이스(UI)를 제공하는 장점이 있다.
셋째, 매우 안정적인 소프트웨어이다. 메모리 점유가 적고 검사 시간이 빠르며 다양한 사용자 환경에서 안정적으로 수행된다. 설치 용량이 비교적 크게 소요되고, 일부 외산 백신보다는 무거운 느낌이 들 수도 있으나, 많은 피해를 입히는 새로운 악성코드의 출몰에 그 어떤 회사보다 대응 체계가 잘 갖추어진 헌신적인 연구원 100여 명이 피해 최소화를 위해 늘 대기하고 노력하고 있기에 믿음이 간다.
국제 인지도 제고 등 지속적인 우위 유지를 위해 노력해주길
그러나, 늘 변화하는 환경에서 V3가 앞으로 20년 또한 우위를 점하기 위해서는 각고의 노력이 필요할 것이다. 특히, 글로벌 보안 업체들과의 경쟁, 무료 백신의 시장 잠식, 대형 IT 업체들의 보안 서비스 제공과 같은 시장 환경에서 경쟁력을 유지하기 위해서 다음과 같은 다섯 가지 정책의 검토가 필요하다.
첫째, 국제적 인지도 제고 전략이 필요하다. 국내용이라는 평가를 떨치기 위해 국제적 인지도를 높여야 한다. 이를 위해, 패스/페일(Pass/Fail) 방식의 인증뿐 아니라 해외 벤치마크 평가 결과에 적극적으로 대응하고 랭킹에서 최상위 성적을 받도록 더욱 노력해야 한다. 악성코드 출몰이 지역적으로 다른 분포를 보이고 있고, 벤치마크 평가 기준에 따라 성적이 달라질 수 있지만, 국내뿐 아니라 다른 나라에서도 좋은 성능 평가를 받도록 해야 할 것이다. 이를 위해, 주된 사업 영역인 한/중/일/영 언어를 제외한 운영체제에서는 V3를 무료로 배포하여 안정성을 높이고 샘플 확보 인프라도 높여서 글로벌 소프트웨어로 나아가는 적극적인 대처가 필요하다. 새로운 영역에서 자리를 잡아가면서 유료화로 전환한다면 글로벌화와 사업 성공의 두 마리 토끼를 잡는 데 큰 힘이 될 것이다.
둘째, 글로벌 보안 전문가 육성이 필요하다. 현재는 안철수 의장 외에 국제적으로 인정 받는 보안 전문가를 찾기가 쉽지 않다. 안티바이러스 학회를 제외하고 국제적인 보안 컨퍼런스에서 안랩 연구원의 발표를 본 적이 없다. 현실적으로 제품 개발에 매진하느라 국제적인 학술 활동에 여력이 없을 수 있지만, 글로벌 시장에서 성공하기 위해서는 기술적인 리더십을 보여야 한다. 최고의 보안 전문가를 영입하는 데 노력을 아끼지 않고, 연구원들의 국제적 활동을 적극 장려하는 프로그램을 운영해야 한다. 이는 보안 전문가들 사이에 기술력을 인정받음으로써 제품의 인지도를 높여가고, 안랩에서 스타 연구원들을 배출함으로써 우수 인재의 요람으로 만들어가는 데 중요한 역할을 할 것이다.
셋째, 대학과 산학 협력이 필요할 때이다. 산학 협력을 통해 신기술 확보와 우수 인력의 안정적 유치 등 서로에게 도움이 되는 활용 방안이 무궁무진하다. 글로벌 소프트웨어 업체들은 국적을 불문하고 국내외 대학에서 우수 인재를 입도선매하기 위해 혈안이 되어있지만, 국내 소프트웨어 업체의 대학 방문 및 산학 협력은 미미하다. 매년 매출 비례 10%는 신기술 개발에 투자하고, 그 중 10%는 경쟁을 통해 대학에 연구 과제를 줄 필요도 있다. 이를 통해 학계의 신기술 최신 동향을 자연스럽게 알게 되고, 제품에 반영할 수 있는 요소 기술을 확보할 수 있으며, 과제를 수행했던 대학원생 중 우수 인력은 회사로 유치해 연속성 있게 일을 해나갈 수 있을 것이다.
넷째, V3 수익 모델 증대에 지속적인 고민이 필요하다. 유연한 엔진을 개발해서 클라이언트, 서버, 네트워크 외에 다양한 기기에 활용할 수 있도록 준비해 두어야 한다. 이는 지난해 선보인 TS 엔진에서 충족된 것으로 안다. 또한, 수백만의 사용자가 스캐닝을 하는 10분 동안의 시간을 활용하여 광고 수익 모델을 개발할 수도 있을 것이다. 그리고, 적절한 라이센스 관리 및 비용 지불 방법을 다양화해 불법 사용자를 합법 사용자로 옮겨올 수 있도록 하는 데 노력을 기울여야 한다.
마지막으로, 변종 악성코드 탐지 성능 향상에 힘을 쏟아야 한다. 엔진 성능은 피할 수 없는 가장 중요한 경쟁 요소이다. 근래의 악성코드는 하루가 멀다하고 변종이 나타나고 확산 속도는 날로 빨라지고 있다. 악성코드 작성 툴 킷의 일반화 및 변종 제작의 용이성 등 여러 이유가 있지만, 백신은 발견 후 엔진 업데이트가 되어야 방어 효과가 생긴다는 약점이 있기에, 변종에 강한 엔진을 개발하는 데 더 힘써야 할 것이다. 이를 통해 휴리스틱 테스트 탐지 비율을 획기적으로 높여야 한다.
아무쪼록 지난 20년을 발판으로 향후 20년, 아니 그 이후에도 V3가 대한민국의 대표 소프트웨어로 세계 시장에서 사랑 받기를 기원한다. 아니, 꼭 그렇게 될 것이라 믿는다.
V3가 벌써 20년이 됐다니. 마치 내 일인 것마냥 감회가 새롭다. 20년 전이면 1988년, 그때 나는 대학생이었다. 그러고 보니 개인적으로 V3를 만난 것도 20년이 흘렀다. 지독히도 오랜 인연이다. 당시를 돌이켜보니, 하드 디스크도 없는 PC에 도스(MS-DOS)가 담긴 5.25인치 플로피 디스켓을 넣어 부팅을 하던 시절이다. 당연히 디스켓 통에 이런저런 소프트웨어들을 복사(^^)한 플로피 디스켓을 빼곡히 담아놓고 애지중지하던 기억이 새롭다.
잠시 20년 전 디스켓 통을 뒤져보자. 맨 앞줄에 도스가 담겨있다. PC를 켜기 위한 열쇠 같은 소프트웨어였으니 당연했다. 그리고, 한메타자, 보석글, 로터스1-2-3, 디베이스 등 지금은 추억 속의 이름들이 보인다. 그 대열에 V3도 보인다. '씨브레인(C-Brain)' 이후 컴퓨터 바이러스가 기세등등했던 시절이고, 이 때문에 바이러스 백신 프로그램으로 V3는 필수였다.
다시 돌아와 20년이 지난 지금, 그때 그 디스켓 통 속에 소중히 담겨있던 소프트웨어 중에 여전히 내 노트북에 살아있는 녀석이 하나 있다. V3다. 지독히도 질긴 생명력이다. 바이러스 잡다보니 면역력도 강해졌고 생명력까지 질겨진 모양이다.
내 디스켓 통을 20년 동안 채우고 있는 V3
소프트웨어 시장에서 20년을 유지해온 브랜드는 드물다. 내 기억 속의 브랜드만 떠올려봐도 그렇다. 20년 전 디스켓 통 속에 담겨있던 것들 중에 지금까지 명맥이나마 유지하고 있는 것은 거의 없다. 국산 소프트웨어에만 해당되는 것은 아니다. 당시 시장을 호령하던 외국 소프트웨어들도 지금까지 살아남은 것은 찾기 어렵다. 내가 애용하던 로터스1-2-3, 디베이스가 대표적이다. 아마도 국내 소프트웨어 브랜드 가운데 20년을 버텨온 것이 있을까. 아무리 돌아봐도 V3 말고 찾을 수가 없다. 아, 아래아한글이 있겠다. 그러나 이것도 V3보다는 한 살이 어리다.
사실 소프트웨어 시장에서 20년을 살아남을 수 있다는 것은 거의 기적 같은 일이다. 그 기적을 국내 브랜드가 만들어 냈다는 것은 정말 자랑스런 일이다. 릭 채프먼이 쓴 <초난감 기업의 조건>에 보면 소프트웨어 업계의 부침을 잘 보여주는 내용이 있다. 소프트레터라는 잡지가 매년 발표하는 PC용 소프트웨어 부문 100개 기업 목록을 비교한 내용인데, 1984년의 '톱 10' 기업 목록을 보면 마이크로프로를 필두로 마이크로소프트, 로터스, 디지털리서치, 비지코프, 애시톤테이트, 피치트리, 마이크로포커스, 소프트웨어퍼블리싱, 브로드번드가 올라와 있다. 그리고 17년 후인 2001년 '톱 10' 목록 을 보면 마이크로소프트 단 한 기업만 빼고 모두 리스트에서 자취를 감췄다. 여전히 살아남은 회사도 있지만, 살아있는지조차 모를 만큼 기억 속에서 멀어져 있다. 그만큼 부침이 심하고 경쟁이 치열한 곳이 소프트웨어 업계라는 얘기다.
국내 상황은 더 심하면 심했지 덜 하지 않을 것이다. 이런 가운데, V3가 20년을 버텨왔다니 대단한 일이다. V3는 브랜드가 살아남은 것 이상이다. 20년 동안 한 번도 대한민국 대표 소프트웨어 자리를 내준 적이 없다. 1995년 안철수연구소가 설립돼 V3가 본격적인 상용 제품으로 판매가 시작된 이래 기업의 성장세가 멈춘 적이 없다. 어떻게 이런 일이 가능했을까. 무슨 특별한 이유가 있겠는가. 신뢰할 수 있는 제품이었고 그 신뢰가 끊임없이 유지됐기 때문이지.
바이러스 백신 프로그램은 현지 토착 프로그램의 기득권이 매우 강했다. 컴퓨터 바이러스도 풍토병 같아서 특정 지역의 주민들이 그 병을 제일 잘 안다. 당연히 병에 대한 증상과 대처 방안을 가장 잘 아는 것은 그 지역 토착민들이다. 병에 걸린 사람들도 그 지역의 오래된 의원을 찾아가지, 듣도 보도 못한 외국 의사를 찾아가지 않는다. 컴퓨터 바이러스에 걸렸을 때, 사용자들이 V3를 찾는 것은 당연했다. V3가 외국 대형 바이러스 백신 기업들의 공세 속에서도 가장 많이 애용된 이유다.
과거를 발판으로 더욱 비상하기를
하지만 2000년대에 들어서면서 인터넷의 엄청난 확대로 컴퓨터 세상에 '지역'이 사라졌다. 바이러스의 풍토병적 성격이 사실상 없어진 것이다. 바이러스 백신 시장도 당연히 글로벌 경쟁 시대가 됐다는 얘기다. V3로서는 위기 상황이었지만, 여전히 컴퓨터 사용자들은 V3를 찾았다. 이유는 간단하다. V3는 글로벌 바이러스 시대에도 변함없는 바이러스 퇴치 능력을 보여줬기 때문이다. 풍토병 전문의라는 자만에 빠지지 않고 외국의 대형 기업들을 끊임없이 벤치마킹하고 부족한 부분을 채우면서 글로벌 전문의로 거듭났다. 그동안 쌓았던 신뢰를 잃지 않았던 것이다.
소프트웨어는 한순간의 방심으로 후발주자에게 선두를 빼앗긴다. 후발주자들은 늘 기존 선두 제품의 약점을 파헤친다. 그리고 그 허점을 집요하게 물고 늘어진다. 이때 자만에 빠져 방심하는 순간, 자기도 모르게 후발주자에게 발목을 잡힌다. "마이크로소프트의 제품은 '버전 3'쯤 되야 쓸 만하다"는 시장의 속설이 있다. 이런 식으로 마이크로소프트를 얕잡아보던 선두 업체들이 하나 둘 뒤로 밀려나 이름조차 가물가물한 것이 소프트웨어 시장이다.
시간을 되돌리고 싶은 것은 인간의 끊임없는 욕망이다. 시간 여행을 주제로 한 영화들이 늘 인기를 끄는 것도 인간의 본능적인 욕구를 다루고 있기 때문일 것이다. 다들 그리도 과거로 돌아가고 싶은 모양이다. 왜 그럴까. 그건 현재에 대한 아쉬움 때문일 것이다. 그때로 다시 돌아간다면, 지금 이 고통과 이 괴로움 모두 날려버릴 수 있을 것이라는 희망 말이다. 허나, 다시 돌아가 새로운 삶을 산다면, 아쉬움 없는 극락 같은 인생이 펼쳐질까. 아닐 것이다. 새로운 아쉬움이 생길 것이고 새로운 고통이 시작될 것이다. 끊임없는 시간 여행의 포로가 되는 수밖에.
<시간을 달리는 소녀>라는 애니메이션 영화에 이런 대목이 있다. 남자친구에게서 느닷없이 사귀자는 말을 들은 소녀가, 그 상황을 모면하고자 시간을 되돌린다. 그 말이 나오기 바로 전으로 돌아가 남자친구와 나누는 이야기의 주제를 몇 번이고 바꿔보지만, 결국 그 친구의 입에선 '우리 사귀어 보자'는 말이 나오고 만다. <타임머신II>에서도 주인공은 죽은 약혼녀를 살려보겠다고 과거로, 과거로 가 보지만 결국 또 다른 이유로 약혼녀는 죽고 만다.
시간을 되돌리기보다 현재에 충실한 것이 낫다. 어차피 되돌린다는 것 자체가 영화에서나 나오는 불가능한 일이다. 오늘은 내일의 과거이니, 어찌 보면 우리는 지금도 끊임없는 시간 여행을 하고 있는 셈이다.
지금 충실하자. 혹시나 하는 노파심에 영화 얘기를 빌려 V3에 당부하고픈 말이다. 지금까지 해온 대로라면 V3에 거는 신뢰는 꺼지지 않을 것이다. 하지만 현재 시장 상황을 둘러보면, 지나온 20년 시간이 행복했을 만큼 힘들고 치열하다. V3에 지금까지 보여준 사용자들의 신뢰는 가장 큰 자산이다. 그 자산을 바탕으로 자만하지 않고 현실에 충실한 모습을 변함없이 보여준다면 V3의 미래는 흔들림이 없으리라 믿는다.
20년 동안 내 곁을 지켜준 V3에 감사하며 진심으로 축하를 보낸다. 앞으로 10년 후에 30주년 기념 컬럼도 쓸 수 있는 영광이 주어진다면 정말 좋겠다.
안철수연구소 김홍선 대표는 지난 2일 서울 삼성동 코엑스에서 열린 "ISEC 2008 : 제2회 통합 정보보호 구축전략 컨퍼런스에서 기조발제를 통해 "보안은 최종 목표가 아니라 여정이다"라며 보안에 대한 올바른 관점 확립이 필요함을 역설한 뒤 보안 전문성 강화와 신뢰적 기반 구축을 강조했습니다.
김홍선 대표는 ‘입체화되는 위협과 보안 대책의 현황’이라는 기조연설에서 우리나라 IT 보안의 현주소와 관련, “관련 인식과 문화, 기술, 그리고 법 규정의 실효성 측면에서 많이 취약하기 때문에 금전적 조직 범죄에 노출되고 있으며, 이로 인해서 여러 해킹사고가 발생하고 있다”고 지적한 뒤 갈수록 입체화되고 있는 인터넷상의 위협과 관련, “보안의 전문성을 강화하는 동시에, 신뢰적 기반 구축을 위해 노력해야 한다”고 역설했습니다.
또한 김홍선 대표는 ▲종합적이고 장기적인 접근, ▲기업의 보안 인프라 투자 확대와 책임의식 확립, ▲프라이버시 체계 구축, ▲보안 정책과 보안 실제의 격차 해소, ▲기술 중심의 전문성 함양 등을 해결책으로 제시했습니다.
러시아로부터 독립한 지 10년이 조금 넘은 인구 140만 명의 에스토니아라는 국가가 있다. 이 국가는 시내 어느 곳에서든지 인터넷 접속이 가능하고 그만큼 인터넷 생활화가 앞서 있는 나라였다. 어느 날 이 나라는 조직적인 해킹 공격에 의해 주요 전산망이 마비되는 사태가 벌어졌다. 누가 어떤 목적으로 이런 공격을 했는지는 아직도 물증이 없다. 단지 러시아로부터의 독립에 불만을 품은 해커들의 소행이라고 추측될 뿐이다.
영화 ‘다이하드 4’에서도 미국의 금융을 포함한 기반 시설이 이런 형태의 공격을 동시 다발적으로 받는 것을 묘사하고 있다. 과연 영화 속의 스토리가 현실 세계에서 가능할까?
이 글을 읽고 있는 독자들은 인터넷이 주는 혜택을 만끽하는 생활을 영위하고 있을 것이다. 아마 인터넷 없는 생활은 상상이 안 되는 경우가 대부분이다. 그렇다면 이 거대한 인터넷이 누군가에 의해 조종되고 내 생활에 정지 상태가 발생할 수 있다면? 보안의 고민은 여기에서 시작한다.
오늘날 인터넷은 우리의 일터와 가정의 생활 속에 필수불가결한 요소로 자리잡았다. 10대 중고생부터 연세가 많은 어른에 이르기까지 연령대도 다양해졌고, 이용하는 서비스도 전자메일, 정보 검색, 온라인 게임, 전자상거래, 민원 신청, 인터넷 뱅킹, 채팅 등 공적, 사적 업무를 총망라하고 있다. 가히 인터넷은 빠른 속도로 우리의 생활 패턴과 삶의 형태에 변화를 가져왔다. 게다가 관련 신종 직업도 끊임없이 탄생하고 있다. 정보통신과 운송 수단의 발달로 형성된 글로벌 경제 패러다임에 불을 지른 것은 인터넷이라는 표준 커뮤니케이션 프레임워크다.
이렇게 인터넷을 사용하는 폭이 넓어지고 사용 빈도가 커질수록 ‘보안’의 중요성도 커지고 있다. 인터넷은 ‘오픈성’이라는 고유의 특징으로 인해 태생적으로 보안의 취약성을 지니고 있고, 결국 각종 위협의 경로를 제공하고 있기 때문이다.
IT 강국을 자부하는 우리 나라에서도 ‘보안’ 문제의 심각성을 오래 전에 인지하고, ‘정보보호’라고 다소 친밀한 느낌을 주는 이름으로 산업과 기술, 정책의 정체성을 정립했다. (사실 ‘정보보호’는 특정 실체를 보호한다는 수동적 개념으로 해석될 수 있어 ‘보안’보다 적극성이 떨어지게 비추어질 수 있다. 최근 정부에서도 ‘정보보안’으로 용어를 바꾸기로 했기 때문에 본 컬럼에서도 ‘정보보안’을 사용한다.)
인터넷의 보편화와 함께 등장한 정보보안은 우리의 업무 현장과 개인의 활동 속에 제품과 기술의 형태로 조금씩 스며들었다. 바이러스 백신과 인터넷 방화벽은 이미 일상 제품(commodity)화되었다. 인터넷 뱅킹을 한번 하려면 그 과정에서 무수히 많은 보안 기술과 제품을 거쳐야 한다 – 공인인증서, 온라인 백신, PC 방화벽, 키보드 보안, 네트워크 방화벽, 암호화 등. 보안이 중요하면 보안 단계가 더욱 강화되거나 보안 제품과 기술이 추가된다.
그럼에도 불구하고 왜 시간이 흐를수록 보안의 문제는 오히려 더 심화되어 가고 있을까? 바로 다양한 위협들이 보다 구체적인 목적을 갖고 조직적 범죄의 형태로 꾸준히 변화하고 있기 때문이다.또한 보안 사고는 일단 발생하면 그 여파가 일부 개인이나 공동체의 수준을 벗어나 국가적으로 때로는 글로벌하게 파장을 일으킨다.
패러다임이 급속히 바뀌고 기술의 생성과 통합, 그리고 소멸이 극명한 IT 분야에서 이렇게 한 분야의 영향력이 꾸준히 확대되는 것은 아주 드문 일이다. 그것은 보안이 인프라의 특성을 갖고 있기 때문이다. 이는 ‘보안’에서는 번뜩이는 아이디어보다 꾸준하게 파고드는 집중력과 전문성이 중요한 이유이기도 하다.
필자는 정보보안에만 14년이 넘는 기간을 종사했다. 주위에서는 1세대 보안 전문가라고 한다. 산업이 제로 상태에서 오늘의 규모로 성장한 것을 보면 신기함마저 느낀다. 개인적으로는 새로운 제품을 만들어 내서 고객이 사용하는 것을 목격하는 보람도 느껴 보았고, 새로운 사업 모델과 아이디어를 고민하는 즐거움도 누릴 수 있었다. 한편 벤처 산업의 버블 속에 혼란스런 상황도 경험 했고 개인적으로는 영욕의 세월을 보냈다.
정보보안은 인식과 마인드가 형성되어야 하기 때문에 전도자(evangelist)의 역할은 불가피했다. 정보보안에 종사하는 기업은 국가와 국민을 보호하는 공익적인 신념을 가져야 한다는 게 필자의 생각이기 때문에 봉사하는 마음으로 열성을 바쳤다.
고객은 물론 일반인, 정부의 정책 담당자, 전문 인력을 키워내는 학계에 계신 분들을 만나서 교육하고, 의견을 듣고, 실행 방안을 같이 만들었다. 국내뿐만 아니라 해외에서는 어떤 위협이 존재하고 노력을 하는지도 끊임없이 모니터링하고 우리 기술에 접목시켰다.
그러나, 그 동안 보안의 취약점과 사고는 수그러들 기미를 보이지 않는 가운데 우리의 안전은 계속 위협을 받고 있다. 문제가 발생하면 사회적으로 시끄럽지만 구조적인 개선은 좀처럼 이루어지지 않는다. 위협은 우리 생활 속 곳곳에 숨어 있음에도 여전히 마인드는 떨어진다.
보안은 추상적인 구호보다 실질적인 Hands-on 기반으로 구축되어야 하는데 현실은 그렇지 못하다. 그러는 사이 정보보안산업을 같이 일으켰던 많은 이들이 지쳐서 떠나갔고 정작 산적한 문제를 해결할 전문 인력은 점점 줄어들고 있다. 사용자나 공급자, 정책 입안자 모두가 불만족스러운 상황으로 치닫고 있다.
그러다 보니 모두가 정보보안에 지쳐가는 모습을 보게 된다. IT 환경과 서비스는 역동적으로 발전하고 있고 위협 상황은 급증하기 때문에 다양한 스펙트럼의 문제에 대응하는 것이 어려운 과제다. 또한 정보보안은 기업의 보안 담당자만의 몫이 아니라 기업의 대표의 인식 그리고 더 나아가 전사적으로 함께 고민해야 할 문제이다. 개인과 공동체의 사용 형태, 법적 규제, 문화적 요소를 고려하지 않은 정책은 무의미하다.
어떻게 하면 이 난국을 타개하고 모두가 윈윈(win-win)할 수 있는 상생 방안을 찾을 수 있을까? 이런 고민 끝에 그 동안 여러 가지 현실적 문제에 부대끼면서 필자가 체험한 것과 터득한 지식이 도움이 될 것 같다는 생각이 들었다. 이를 통해 보다 체계적으로 ‘보안’의 문제를 쉽게 접근할 수 있고, 동일한 시행착오를 하지 않을 수 있기 때문이다.
오늘날 정보보안에 관련되지 않는 사람은 거의 없다. 정보보안업체에 종사하는 사람, 기업에서 보안을 책임지고 있는 담당자, 인터넷 거래를 하려는 개인 사용자 등 각도는 차이가 있지만 보안이라는 중심 테마와 관련이 있다. 이런 분들이 정보보안에 비슷한 공감대를 가지는 것이 이 글을 쓰려는 목적이다.
본 컬럼은 특정 기술이나 제품의 지식을 겨냥한 것은 아니다. 단지 우리의 업무와 문화 속에 자리잡아야 하는 정보보안의 문제, 신뢰의 플랫폼을 구축하고자 하는 사회 구성원의 공감대 구축, 글로벌 표준에 맞춘 가이드라인과 같은 총괄적 인식의 어젠다를 다룰 것이다. 여러모로 부족한 필자의 경험이 독자들에게 도움이 되었으면 한다.@
어떻게 하면 이 난국을 타개하고 모두가 윈윈(win-win)할 수 있는 상생 방안을 찾을 수 있을까? 이런 고민 끝에 그 동안 여러 가지 현실적 문제에 부대끼면서 필자가 체험한 것과 터득한 지식이 도움이 될 것 같다는 생각이 들었다. 이를 통해 보다 체계적으로 ‘보안’의 문제를 쉽게 접근할 수 있고, 동일한 시행착오를 하지 않을 수 있기 때문이다.