[보안전문가 Interview] '알약' 보안대응팀의 수장 김윤근 팀장

왜 이런 인터뷰가 시작되었나?

철산초속 : 반갑다. 알약 블로그 관련해서는 한달만에 보는 것 같다. 그 동안 잘 지냈나?

김윤근 :

"잘 지냈다. 컨설팅이란 이름으로 가이드만 주고 가버리는게 어디있냐? 요즘 그래서 고생중이다."(참고로 인터뷰어 ‘철산초속’은 이스트소프트 마케팅팀에서 2012년 11월까지 근무한 경험이 있고, 얼마 전 ‘알약 블로그’ 런칭관련 컨설팅을 진행했음)

철산초속 :

다른 회사 알아봐라. 그 돈에 누가 컨설팅해주냐? 그래도 간혹 알약 페북에 올라온거 시간 있으면 공유는 해주고 그런다. 그것도 감지덕지 해야하는거 아니냐... 그나저나 이번 인터뷰 기획은 나름 참신한 것 같다. 외부인한테 인터뷰를 의뢰하다니… 이스트소프트 스럽지 않은데?

김윤근 :

"내가 그냥 하자고 했다. 블로그 런칭했는데, 블로그 컨셉 자체를 보안을 잘 모르는 사람들이 보기에 어렵지 않고 재미를 줄 수 있는 블로그로 정했지만, 현재까지 마땅히 재미있는 콘텐츠도 없고… 알약Creator라고 알약 만드는 사람들 인터뷰를 중심으로 포스팅하려고 기획한 카테고리가 있긴한데 내부에서 스스로 인터뷰하는게 영 오글오글 한 것 같아서 의뢰했다."

철산초속 : 그렇게 오글오글 한다면서 인터뷰이로 직접 나선 건 모순된 것 아닌가?

김윤근 : "(짐짓 당황하며...분명) 아. 아니다… 아무도 먼저 하려 하지 않았기에 내가 나선 것 뿐이다. 내가 처음으로 하면 다른 사람들도 편하게 할 것이라고 생각한다."

철산초속 :

좋다. 이 인터뷰 반응이 좋으면 앞으로도 종종 불러달라 알바좀 해야겠다. 물론 윗선에서 이런 형태의 인터뷰 내용에 대해서 어떻게 할지는 알아서 하시고... 분명 말하지만 인터뷰 내용은 내맘대로 편집할거다. 난 이스트소프트 퇴사한지 1년도 넘었고 좋은 말만 쓰진 않을 수 있다. 올리려면 토시하나 바꾸지말고 올리고, 안올리려면 없던 일로 해라. 바꾸면 내 페북에 올려버릴거다. 바꿨다고...

김윤근 : "알았다."

김윤근, 뭐 하는 인간인가?

철산초속 : 소속이 어디인가?

[김윤근] : 이스트소프트 보안SW사업본부 보안대응팀 소속이다. 무슨 취조하는거냐? (편집자 주 : 정확하게는 '팀장')

철산초속 :

그건 알고 있다. 내가 말하는 건 조금 더 자세하게 자기 소개를 해달라 이거다.

사실 예전에 이스트소프트에서 근무할 때도 ‘알약’ 관련해서 업무를 거의 하지 않았기 때문에 나도 잘 모른다.

사람들이 당신이 얼마나 대단하고 위대한 보안전문가인지 알아야 이 인터뷰에 가치가 올라가지 않겠냐?

[김윤근] : 위대하고 대단한 보안전문가는 절대 아니지만...이름은 김윤근이고 1979년생이다. 유부남이고 아들 하나 있다. 2006년 1월에 이스트소프트에 입사했으니, 벌써 9년차다.

철산초속 : 와… 이스트소프트에서 되게 오래 있었다. 짬밥 좀 되겠다. 삼성 10년차는 연봉 1억이라는데 이스트소프트 9년차면 어느 정도 되냐?

[김윤근] : 그런건.... 인사팀에 물어봐라...;; 암튼 짬은 좀 된다.

철산초속 :

그렇게 짬이 많은 사람인지 몰랐다. 난 그냥 언론에서 보안이슈 관련해서 이스트소프트 취재오면 왜 저런 덕후같이 생긴 아저씨가 항상 대표로 인터뷰하는지 몰랐었다. 본인 때문에 회사 이미지에 문제가 있을거라고는 생각해본 적 없는가?

[김윤근]

(자신있게) 없다. IT나 보안쪽이… 주관적인 판단이지만 … 그냥… 거의 다 대동소이하다.(편집자 주 : 많은 보안업계분들의 악플을 기대합니다) 난 중간 정도는 되는 외모라고 생각한다. 그리고 짬밥은 이스트소프트가 워낙 직원들 평균나이가 어린 회사다 보니 내가 상대적으로 많아 보이는 것일 뿐. 실제로 업계를 다녀보면 나 정도 경력은 명함도 못 내민다. 그저 쪼랩일뿐..

철산초속 : 알았다. 그럼 회사에서 주로 하는 일이 뭐냐?

[김윤근]

음. 딱 떠오르는 일이 너무 많다. 내가 일을 열심히 하는가보다 ㅋㅋㅋ

보안이슈 모니터링, 악성코드 수집/대응, 알약 DB업데이트, 블로그 운영, 동향보고서 작성 등의 업무를 수행한다. 추가로 국내외 제품 인증업무도 함께 담당하고 있다. 물론 이 업무를 내가 혼자 다 한다고 생각하진 않겠지? 훌륭한 팀원분들과 같이 열심히 일하고 있다.

철산초속 : 그럼 뭐냐 개발자는 아니네? 흐음...뭐 암튼 이제 본격적으로 질문을 좀 해보자. 그냥 대한민국에 사는 1명의 일반인의 입장에서 이것저것 물어보려고 한다. 잘 대답해줄 수 있을지 모르겠다.

보안회사 팀장이 말하는 최근 '해킹'에 대해

1. 요즘 이슈인 '해킹'에 대하여,

철산초속 :

일단 내가 보안 관련해서 제일 궁금한 건 이거다. 지금도 막 여기저기서 개인정보 털려나가고 이제 우리나라 국민들 개인정보는 값어치 떨어져서 돈도 안된다고 하는데, 이런 식으로 해킹을 시도하는 것을 못 막는 거 아니냐? 해킹당한 곳들도 백신은 있을거 아니냐? 결국 창이 방패보다 강하다는 것 아닌가?

[김윤근]

초반부터 매우 곤란한 질문을 던지고 있다...;;;

흐음… 일단 창이 방패보다 강하다는 부분에 대해서는 어느 쪽이 강하다고 말하기는 쉽지 않아 보인다. 다만, ‘창’이 ‘방패’보다 절대적으로 유리한 위치에 있는 것은 맞다. 그냥 쉽게 얘기하면 ‘창’이 ‘방패’를 10,000번 찔렀을 때 1번이라도 ‘방패’가 뚫리면 ‘창’이 이기지만 ‘방패’는 10,000번을 모두 성공적으로 방어해도 본전이라는 거다. '해커'들은 수십 수백번 찔러보다가 하나만 걸리면 대박인거고, 반대로 '보안업계'쪽에서는 한번이라도 뚫리면 실패니까...

아 그리고, 최근 개인정보 유출 사건들을 보면, 아까 말했던 해킹(크래킹)으로 인한 정보 유출 말고도 내부직원을 통해서 혹은 공모를 통해서 유출한 경우도 종종 있다.

철산초속 : 응? 중국해커들이 다 빼가서 팔아 먹는거 아닌가?

[김윤근]

아니다. 해킹으로 당한 것도 있지만 조직 내에서 근무하는 내부자가 정보를 유출하여 넘긴 경우도 있다.

무조건 해킹으로만 개인정보가 유출되는 건 아니다. 많은 분들이 ‘개인정보유출’이라는 뉴스를 보면 무조건 해킹이라고 생각하는 경향이 있는데, 개인정보를 보관하는 기업의 내부자 또는 해당기업에 파견된 타사 업체 직원들이 불법적으로 개인정보를 열람 및 유출시켜 금전적인 이득을 취하는 경우도 있다.

물론 중국발 해킹이 가장 성행하는 것은 맞다. 이들은 보안이 취약한 웹사이트를 변조해서 해당사이트에 사용자가 방문만 해도 악성코드를 감염시키는 형태를 취하는 경우가 제일 많다. 물론 이 경우, 무조건 감염이라기 보다는 방문자PC에 보안취약점이 존재하는 경우에 피해가 발생한다.

2. 최근의 '해킹'유형과 과정에 대하여,

철산초속 : 아…어렵다….;;; 다시 원론으로 돌아와서 ‘해킹’에 대해 이야기해보자. 그럼 중국발 해킹이 가장 성행하는 이유는 무엇인가?

[김윤근]

최근 발생하는 ‘해킹’이라고 뜨는 경우는 대부분 ‘돈’과 관련이 있다. 피싱, 파밍, 스미싱,개인정보유출, 금융계정 탈취 등의 다양한 해킹시도는 결국 금전적인 이득을 얻는 것이 가장 큰 목적이다. 물론 정치적인 목적을 띈 핵티비즘(hacktivism)도 간혹 보이긴 하지만 빈도는 매우 낮은 편이다.

철산초속 :

그러고보니 예전에 바이러스는 내디스크 깨버릴까 무서웠는데 요즘은 내돈 빼갈까봐 무섭다... 그렇다면 이런식의 해킹이 어떤 식으로 발생하는 것인지 좀 더 이해하기 쉽게 설명해달라.

[김윤근]

먼저, ‘공격자’들(편집자 주 : ‘해커’들을 이렇게 표현한듯)이 어떤 사이트나 기업의 서버에 접근하여 정보를 빼내가려고 할 때 문을 열어야 하는데 직접 그 문에 접근하는 대표적인 방식이 ‘사회공학적 기법'을 활용하거나 ‘취약점’을 이용한 악성코드 유포이다.

간단하게 유출된 개인정보를 활용한 가상의 사례를 들어보겠다.

1) 내가 만약 당신의 개인정보 몇 가지를 알고 있다고 치자. 주요 거래처가 어디인지 뭘 좋아하는지...예를 들어 이렇게 얻은 정보를 가지고, 당신을 타겟으로 하는 악성코드가 포함된 문서를 메일로 보낸다. 절대 안열어볼것 같지만 당신이 쓰는 신용카드 회사명으로 된 내역서고지라던가 최신야동소식 같은거... 열어보지 않겠나? (편집자 주 : 절대 안열어봄 -_-) 일단, 유출된 개인정보의 조합을 통해 그 사람으로 하여금 정말 실제로 내가 열어봐야 하는 메일이라고 느끼게 만드는 것이 첫번째 포인트다.

2) 당신이 그 메일을 여는 순간 사실 거의 게임은 끝났다고 볼 수 있다. 집문을 활짝 열고 '들어와~들어와~' 하는거다. 당신도 모르게 악성코드가 문서프로그램의 취약점을 이용하여 PC를 감염시킨다.

3) 이 악성코드는...종류야 많겠지만...잠복해 있으면서 당신 PC의 관리자권한을 탈취하고, 저장된 다양한 정보들과 타이핑하는 키보드 입력값을 수집하여 공격자에게 전달한다. 이때 당신이 담당하거나 접속하는 기업 내부정보가 보관되어 있는 서버의 계정정보 역시 수집될 수 있다. 그냥 다 털리는거다.

4) 공격자는 악성코드를 통해 수집한 정보를 이용, 당신의 PC를 통해서만 접근이 가능한 기업 내부 시스템에 접근하고 원하는 정보를 탈취한다.

이런 일련의 공격 과정 가운데, 해커들은 기업이 세팅해 둔 ‘보안 시스템 및 기업보안정책’와 부딪히게 된다. 이 때 다양한 보안위협에 대해 대비를 잘 해둔 기업일수록 해커들이 공격하기가 어렵다. 특히, 어떤 한가지 수단만 사용하는 것보다 다양한 형태의 보안수단을 통해 계층별로 방어가 이뤄진다면 해커들로 하여금 공격에 많은 시간과 노력을 기울이게 만들 수 있고 해킹에 대한 피해 가능성을 크게 낮출 수 있다.

3. '해킹', 막을 수 있는 방법은 없는 것인가?

철산초속 : 피해가능성을 낮출 수 있다? 왜 항상 보안담당자들은 그렇게 말하냐? 100%막을수는 없는거냐?

[김윤근] : .....

철산초속 : 얼른 말해라. 아무리 대비를 열심히 해도 못 막는다면, 비용과 인력을 투자해서 보안솔루션을 도입하고 운용하는 게 비효율적인 것 아닌가?

[김윤근]

으흠... 아무리 대비를 잘 해도 100% 방어는 어려운 것은 맞다. 하지만 그게 비효율적이거나 필요가 없는 것은 아니라고 말하고 싶다. 공격자가 공격을 하는데, 만약 5겹의 방어체계를 구축했다고 하자. 그렇다면 공격자 입장에서는 한겹 한겹 방어체계를 뚫기 위해서 엄청난 시간과 노력을 들여야 한다. 이렇게 되면 공격자가 침투를 시도하는 도중에 조직 내부의 보안인력들이 감사나 정기점검 등을 통해 외부로부터의 공격시도에 대한 감지를 할 확률도 높아진다. 해커 입장에서도 이렇게 ROI(투자대비수익)이 안 나오는 시도를 계속 하기보다는 공격이 용이한 타겟을 다시 찾을 가능성이 높다.

이렇게 겹겹의 보안 시스템을 구축하고 보안정책을 잘 세팅해두면, 아무래도 기업 내부직원들의 업무 효율성을 저하할 수 있는 단점이 발생할 수밖에 없다.

따라서, 시스템과 정책을 잘 갖추는 것 뿐만 아니라, 조직 내에서도 업무상 조금 덜 효율적이더라도 '보안을 강화하는 방향으로 업무프로세스가 진행되는 것이 결국은 효율적인 것'이라는 인식이 자리잡아야 한다.

철산초속 : 그...메신저 사용 차단하는 회사같은... 그런거 말인가? 그런거 진짜 불편한데!?

[김윤근]

맞다. 또 하나 예를 들자면, USB 또는 공유폴더를 통한 자료 이동 및 공유가 보안정책상 금지되어 있음에도 불구하고 사내 보안담당자보다 높은 직위에 있는 경영진이 업무하는데 너무 불편하다고 정책에서 자신만 예외를 해달라고 요청한다던지… 이런 부분이 문제가 될 수도 있다. 사내 업무 또는 협력업체와의 업무를 진행함에 있어서 프로세스상의 보안 관련 취약점은 없는지 지속적인 점검 역시 필수다.이렇게 하기 위해서는 사내 임직원들을 대상으로 지속적인 보안의식 교육이 반드시 필요하다. 특히 경영진의 인식이 제일 중요하다.

철산초속 : 그럼 기업이 ‘해킹(크래킹)’공격으로부터 좀 더 안전하려면 백신 하나만 깔고 땡!이 아니라, 조직 내부에서 종합적인 보안 시스템과 정책을 유기적으로 잘 구축해야 한다.. 라고 이해해도 되는가?

[김윤근]

그렇다. 그리고 꼭 하고 싶은 이야기는 사실 변명 같아 보이지만, 백신의 기본적인 원리는 이미 발견된 악성코드 또는 그와 유사한 악성코드를 탐지하는 것이다. 아직 존재하지 않는 악성코드를 탐지하는 사전방역기능을 알약을 포함한 많은 백신들이 도입하고 있지만 백신을 보조하는 기능일뿐이다.

생각해봐라. 철산초속 당신이 공격자라면, 특정목표를 공격할 때 사용하는 악성코드가 백신에서 탐지하는지 여부 정도는 체크하고 공격에 들어가지 않을까?

기업의 경우는 OS나 SW최신패치 업데이트는 물론이고, 대부분 개개인들의 PC보다는 더 강력한 보안시스템과 정책으로 세팅되어 있다. 그러나 이러한 보안시스템을 얼마나 효과적으로 운용하고 조직구성원들이 설정한 보안정책에 잘 따라주느냐에 따라, 동일한 보안장비와 정책을 세팅한 기업의 방어수준은 크게 달라질 수 있다.

'알약'이라는 백신에 대하여...

1. 무료백신의 아버지는 누구?

철산초속 : 좋다. 알약 이야기좀 해보자. 알약에 대해 이런저런 이야기가 많다. 일단 무료백신… V3가 먼저냐? 알약이 먼저냐?

[김윤근]

무료백신이라는 정의를 어떻게 내리느냐에 따라 다를 듯 하다. V3의 경우 V3+Neo라는 제품을 개인사용자에 한해 무상으로 제공했다. 지금으로 말하면 백신업체들이 심각한 보안이슈가 발생할 경우 사용자 보호를 위해 전용백신을 무료로 배포하는 형태라고 할 수 있다. 다양한 악성코드를 탐지하는 전용백신 형태의 무료백신은 V3가 먼저다.

알약의 경우는 지금 사람들이 흔히 알고 있는 형태인 윈도OS에서 동작하는 실시간 감시기능과 DB 자동업데이트가 포함된 무료백신을 국내최초로 정식출시했다. 당시 대부분의 사용자들은 백신을 잘 설치하지 않았고, 백신을 설치한다 해도 불법 라이선스 씨리얼 넘버를 입력하여 유료백신을 사용했었다. 따라서, 불법 백신이므로 DB업데이트나 최신기능이 전혀 적용되지 않고 있었기 때문에 사용자PC 보안이 매우 취약했다. 그래서 우리는 무료백신의 수요가 매우 높을 것이라고 생각했다. 특히 PC를 잘 다루는 사람들만 아는 형태의 백신이 아니라, 컴퓨터를 잘 다루지 못하는 이용자들도 쉽게 이용할 수 있는 백신을 만든다면 반응이 괜찮을 것이라고 생각했다.

이 때, 사실은 네이버가 우리와 동일한 형태의 (실시간감시+자동DB업데이트가 포함된) 무료백신을 준비중이었다가 여러가지 사정으로 인해 알약이 2007년 11월에 시장에 먼저 출시되었다.

철산초속 : 그렇게 하면 … 이전에 유료로 판매하던 보안동종업계에서 싫어하지 않나?

[김윤근]

그랬었다. 원래 우리사회가 그렇지 않나? 기존에 무언가를 벗어난 거에 대해 견제도 많고 실패할거라고 하는 사람들이 많았었다. 그런데 막상 알약을 출시하니까, 우리도 예상 못할 정도로 폭발적으로 사용자가 증가하는 거다. 그렇게 알약이 사용자수 천만명 정도를 돌파하니까 시장에 많은 무료백신들이 연이어 출시되기도 했다. 사실, 무료백신은 국내에서는 우리가 초기였지만, 해외에서는 이미 몇몇 백신들이 무료버전과 유료버전을 나누어서 사용자들에게 제공하고 좋은 반응을 얻고 있었다.

2. 글로벌 보안인증과 비트디펜더 엔진 관련

철산초속 :

알았다. 자랑은 이제 그만…지금부턴 약간 백신에 대한 지식이 있는 사람으로서 알약에 대해서 그동안 궁금했던 거 질문 좀 하겠다. 먼저, 인증땄다고 자랑하는 건 뭐냐? 마케팅업계에선 대부분 무슨 리워드 같은거 돈 내면 주는 경우가 많은데 그런 거 아니냐?

[김윤근]

(단호) 아니다! 뭐… 정확하게 말하자면, 인증을 받기 위해 테스트를 진행하는 경우 인증비용을 내기도 한다. 인증비용 엄청 비싸다;;; 하지만 돈을 내기만 하면 다 받는 인증은 절대 아니다. 그런 인증이었다면 가짜백신들도 다 인증을 받아서 여기저기 자랑하고 있지 않을까?

철산초속 : 그것과 연관해서 두번째로.... 알약은 비트디펜더 엔진빨이란 이야기가 많다.

[김윤근]

일단 알약에서 비트디펜더 엔진이 차지하는 비중이 적지 않다는 부분은 맞다. 국내에서 유포되는 악성코드의 경우 알약의 자체엔진인 테라엔진이 먼저 탐지하는 경우가 많지만, 해외에서 발견되는 악성코드에 대한 대응은 비트디펜더 엔진이 더 빠른 경우가 많다. 인터뷰중이라서, 지금 정확하게 기억은 안나는데, 대략 우리엔진 6 : 비트디펜더엔진 4 정도의 비율로 악성코드를 탐지한다.

알약의 비트디펜더 엔진 사용은 알약의 탐지력 강화 측면과 동시에, 직접 악성코드 샘플 수집과 대응을 하는 해외대응센터 지사가 별도로 없는 현재 상황에서, 상대적으로 부족한 해외이슈 대응력을 보완하는 측면에서도 의미가 있다.

참고로, 알약에 탑재된 또 하나의 엔진인 소포스엔진은 기본으로 설치되어 있는 엔진이 아니라 추가설치하는 형태의 엔진이기 때문에 보통 인증결과에서는 소포스엔진은 반영되지 않는다.

철산초속 : 그럼 인증테스트에서의 비트디펜더 백신의 탐지율이 왜 자체엔진과 비트디펜더엔진을 함께사용하는 알약보다 높은가?

[김윤근]

아, 그냥 넘어가는 법이 없네… (발끈) 비트디펜더 백신의 탐지율이 알약보다 높게 나오는 지에 대해서는 간단하게 설명해주겠다. 알약이 사용하는 비트디펜더 엔진, 정확히 말해서 비트디펜더 엔진SDK는 비트디펜더 제품이 가지고 있는 일부 기능만 제공하기 때문이다. 백신에서는 스캐너를 통해 악성코드를 탐지하는 방법 외에도 다양한 방법을 이용하여 악성코드를 탐지한다. 이 중에서 스캐너를 비트디펜더 엔진SDK에서 제공하는 것이다. 그럼 나머지는? 우리가 직접 구현해야 한다. 비트디펜더 엔진SDK을 적용한 많은 업체들의 악성코드 탐지율이 조금씩 다른 것도 이러한 이유 때문이다...아까부터 자꾸 변명만 하게 되는 거 같은데…

철산초속 : 일단 변명해 봐라. 내가 듣다가 끊겠다.

[김윤근]

알약이 비트디펜더 제품과 비교했을 때, 탐지율은 거의 차이가 나지 않는다. 실제로 2013년 10월과 12월에 해외인증을 받은 탐지율에서 비트제품과 우리제품의 탐지율이 1%미만으로 차이가 났다. 알약 쓸만하다.

철산초속 : 또 변명을 가장한 자랑인가? 자랑은 이 인터뷰를 볼 사람들이 제일 싫어하는 거다. 다른 이야기로 넘어가자.

[김윤근]

자랑할 의도는 아니었는데, 자랑처럼 들렸나? 이런 나의 숨길 수 없는 애사심을 본부장님과 사장님이 좀 알아줬으면 좋겠다. 그런거좀 자연스럽게 인터뷰에 녹여서 좀 그렇게 보여줬으면...

철산초속 : 싫다. 말한 그대로 적겠다.

[김윤근] : …..

3. 윈도우XP 지원 종료... '알약'은?

철산초속 : (무시하며) 지금 알약은 어떤가? 둘러보니 내가 회사 그만둘 때보다 본부 내에 여자사원이 많이 늘었던데? 일부러 여자 신입사원만 골라 뽑은 건 아닌가?

[김윤근]

업무에 적합한 인력을 뽑으려 했는데, 뽑고 나서 보니 여성분들이 조금 있었을 뿐이다. 오해다.

철산초속 : 그래서 알약은 계속 알약만 만드는 것이 앞으로의 계획인 것이냐? AL로 시작하니 중동쪽에는 좀 잘먹힐것 같은데...

[김윤근]

그런 이야기 내부에서도 가끔한다. 근데 북미와 남미의 경우 이미 로보스캔이라고 공식명칭을 가진 별도 제품이 있다. 아시아권에서는 알약이고.. 그리고, 알약이라는 통합백신이 여전히 대표제품이긴 하겠지만, 모바일백신인 알약 안드로이드도 있고 이후에도 몇가지 형태의 엔드포인트 보안 솔루션을 준비 중에 있다.

철산초속 : 엔드포인트 보안솔루션? 그게뭐냐? 백신말고 다른건가?

[김윤근]

일단, 올해 4월 8일에 마이크로소프트에서 윈도XP 지원을 정식으로 종료하는 이슈가 있다는 것은 알고 있나? (편집자 주 : 이 인터뷰는 2014년 4월 8일 이전에 작성)

철산초속 : 당연히 모른다. 난 자랑스러운 윈도8유저다.

[김윤근]

음.. 그럼 이걸 어디부터 말해야... 일단 윈도XP는 2001년에 출시되서 2014년까지 무려 14년동안 많은 사용자들의 사랑을 받으며 서비스를 지속해온 초대박 킹왕짱 OS이다. 그렇지만 2001년에 제작된 오래된 OS이고, 윈도XP 개발 당시 마이크로소프트 자체적으로도 개발단계부터 보안을 고려하여 설계 및 구현을 진행하는 '시큐어코딩(Secure Coding)'을 도입하지 않은 상태였다. 그러한 환경에서 개발된 OS이기 때문에 현재시점에서는 구조적으로 보안취약점이 많을 수 밖에 없다. 취약점을 노리는 공격이 지금 현재도 매우 많다는 얘기는 아까전에 잠깐 했었지?

물론 14년동안 최소 한달에 1번 이상 업데이트패치를 제공하며 보안취약점을 막으려고 했던 MS의 노력도 대단하긴 하지만 XP를 상위OS(Vista, 7, 8)로 업데이트하는 것이 가장 근본적인 해결방법이다.

철산초속 : 아직 XP 많이 쓰나? 내 주변은 애플빠가 워낙 많기도 하고 XP쓰는 사람은 우리 아버지 말고는 못 본 거 같은데?

[김윤근]

아직까지도 국내에서는 전체PC대수의 약 1/4정도, 중국에서는 전체 대비 약 1/2 정도의 PC에 윈도XP가 운영체제로 설치되어 있는 상황이다. 길거리에서 돈 뽑을 수 있는 ATM기기나 음식점에서 밥 먹고 카드 긁을 때 사용하는 POS장비 같은 경우도 윈도XP가 운영체제로 많이 설치되어 있다.

철산초속 : 그럼, 뭐 큰일나는건가? 울 아버지한테도 별거 아니니까 그냥 맘대로 쓰라고 했는데... 내가 보기엔 그냥 마이크로소프트가 돈 왕창 땡기려고 상황을 과장하는 거 같은데? 윈도 정품이 한두푼 하는 것도 아니고..

[김윤근]

사실 뭐.. XP를 쓰더라도 지금까지 제공된 업데이트패치를 모두 업데이트하고 백신 사용하면 엄청나게 큰 문제가 되는 게 아닌 것은 맞다. 다만 향후 발생하는 XP 제로데이 취약점은 보안패치가 제공되지 않기 때문에 공격자 입장에서는 지속적으로 활용이 가능하다. 시간이 지나면 지날수록 더욱 문제가 될 가능성이 높다.

철산초속 : 그럼 원론적으로 또 묻겠다. 그럼 '알약'은 뭔가? '알약'같은 백신이 있으면 되는거 아닌가?

[김윤근]

취약점을 노리는 신종 악성코드에 대한 대응은 백신만으로는 한계가 있다. 그래서 우리가 준비중인 솔루션이 있다. 대외비라서 오픈할 수는 없지만..

철산초속 : 빨리 말해라... 뭔 꿍꿍이냐. 그리고 도대체 그 '취약점'이란게 당췌 뭐냐? 맨날 취약점취약점... 모든 프로그램은 보안에 취약점이 있다는거냐?

[김윤근]

여기서 말하는 '취약점'이란 쉽게 말해서 프로그램상에 존재하는 헛점이라고 생각하면 된다. 프로그램도 사람이 만들기 때문에 완벽할 수 없는 것이고, 프로그램 자체는 원래 목적이나 의도대로 동작하지만 그 동작 과정중에 발생하는 틈새(취약점)을 비집고 들어가서 악성행위를 하는 것이 '취약점 공격'이다. 그래서 프로그램 제작사들은 제품 업데이트를 통해 주기적으로 기능을 추가하고 버그를 수정하는 동시에 발견된 취약점에 대한 패치작업을 진행하는 것이다. 이러한 이유때문에 최신버전의 보안패치를 업데이트하는 것이 중요하다고 계속 여기저기서 강조되는 거다. MS의 XP 지원종료 이슈가 문제가 된다고 하는 부분도 이러한 보안취약점 패치가 XP사용자 대상으로는 더이상 진행되지 않기 때문인거고.

그래서 아까 말한 것처럼, XP를 포함한 윈도OS 취약점과 SW취약점을 이용한 공격을 차단해주는 방어솔루션을 제공할 예정이다. ATM이나 POS 같은 산업용 장비 전용 솔루션도 함께 나올 꺼다. (편집자 주 : 인터뷰한 날은 4/8 이전이었고, 알약에서는 4/8 알약 익스플로잇쉴드(PC용)과 알약 레거시프로텍터(산업장비용)를 출시했다. 관련 기사 참조(링크))

주변에 XP쓰고 있는 지인이 있는데 계속 XP 쓰겠다고 하면, 알약 익스플로잇 쉴드(편집자 주 : 이름은 런칭 후 알게됨;;) 소개시켜

줘라. 물론 XP 말고, 다른 윈도OS에서도 사용 가능하다. 나중에 나오면 당신도 써봐라. 개인에게는 무료로 제공할 예정이다.

마지막으로

철산초속 : 진짜로 농담이 아니라... 내 와이프 사촌중에 한명이 보안업계쪽으로 오려고 종로에 뭔 학원을 다니고 있다. 근데 뭐라고 이야기 해줘야 할지 모르겠다.

[김윤근]

사실 ‘보안’이라는 영역이 너무 넓어서 정확하게 어느 쪽에서 일하고 싶은 지 모르면 조언이 어렵다. 나도 쪼랩인데 무슨 조언… 일단 학원도 좋지만, 왜 보안업계쪽에서 일하고 싶은 것인지 그리고 어떤 일을 하고 싶은 것인지에 대해 고민을 먼저 했으면 좋겠다. 모든 분야가 다 그렇겠지만 특히 더 열정과 관심이 중요한 분야이다.

철산초속 : 알았다. 그럼 마지막으로 한마디 해달라.

[김윤근] : 알약 많이 사랑해주세요 (편집자 주 : 원래 뭐라뭐라 길게 말했는데 그냥 종합하면 저 이야기임)

※ 인터뷰이와 인터뷰어가 원래 안면이 있는 사이라 경어체는 생략했고, 편집자 특성상 맞춤법은 틀릴 수 있음을 알려드립니다.

※ 본 포스팅은 블로거 ‘철산초속’님이 직접 인터뷰를 진행한 뒤 정리 및 편집을 진행했음을 알려 드립니다. ‘알약 블로그’의 공식적인 입장과 다를 수 있음을 밝혀 드립니다.