'소프트웨어 강국 코리아' 릴레이 인터뷰 1. 김홍선 안철수연구소 대표
경기도 성남시 분당구 삼평동 673. 안철수연구소가 2011년 10월 4일부터 업무를 시작한 판교 신사옥이 들어선 곳이다. 여의도 CCMM빌딩에 세 들어 있던 모습과는 천양지차였다. 여백의 미를 살린 간결한 인테리어와 여유로운 공간, 독특한 형태의 집기들 덕에 사옥 전체가 애플 전시장이라고 해도 과언이 아닐 정도로 멋스럽다.
“드라마 촬영 의뢰가 많지 않느냐?”는 질문에 홍보 담당자는 “엄청 오죠. 거절하기 바쁩니다”라고 답했다. 이유가 있다. 국내 최고의 정보 보안 연구소답게 온·오프라인 보안 시스템은 그 자체로 기업들에 표준 모델이 되는 안철수연구소이기 때문에 보안 교육이 이뤄지지 않은 불특정 다수가 마음대로 헤집고 다닌다면 그것이 곧 보안에 구멍이 될 수 있기 때문이다. 클라이언트에게는 하지 말라고 하면서 안철수연구소가 할 수는 없는 것이다.
약속 장소인 10층 회의실 내부가 신사옥의 인테리어 콘셉트를 잘 보여주지 못한다고 하자 김홍선 안철수연구소 대표는 “1층이 모양이 좋다”며 취재진을 안내했다. 경사진 대지를 이용해 지은 사옥의 1층은 계단식 좌석으로 꾸며져 대형 회의와 공연 등 다양하게 이용되는 곳이다. 김 대표는 콘텐츠에만 집중하고 형식에 얽매이지 않는 벤처기업인다운 편안한 모습을 인터뷰 내내 보여 줬다. 최근 핫이슈로 떠오른 안철수 서울대 융합과학기술대학원 원장과 주가에 대해서도 쿨하게 답했다.
신사옥으로 옮겨 어떤 점이 좋아졌습니까.
세 들어 있을 때는 테스트 환경이나 인프라 구축이 힘들었지만 지금은 서버 몇 천 대가 들어가는 서버룸, 품질관리(QA) 테스트룸 등이 충분하게 제공되고 또 계단이나 복도 어디에서도 앉아 얘기할 수 있는 커뮤니케이션 환경이 이뤄져 조직 내의 아이디어가 만들어지기 쉽게 되었습니다. 소통 측면에서 좋아졌습니다.
개인적으로 궁금한 것이, 저는 네이버 백신을 사용하고 있는데, 안철수연구소 이름이 써 있더군요.
네이버백신은 우리 회사의 V3 엔진을 쓰고 있습니다. 개인용 V3라이트는 무료이기 때문에 V3를 쓰셔도 되고 네이버백신을 쓰셔도 되고요. 개인용으로 쓰는 것은 V3만으로도 충분합니다. V3라이트가 네이버백신보다 조금 더 많이 쓰이고 있습니다.
그것만으로도 충분합니까.
업데이트만 잘한다면 개인용으로는 충분합니다. 개인용이 기업용보다 오히려 더 잘 걸러 줍니다.
그건 왜 그렇습니까?
백신은 바이러스·악성코드의 행동(behavior) 특성을 보고 막습니다. 기업에서는 업무 편의를 위해 자동화된 파일을 만들기도 하는데, 이것이 악성코드와 행동이 비슷하면 막는 경우가 있어 보수적(선별적)으로 걸러냅니다.
무료로 쓸 수 있는 개인용의 사용 범위는 어디까지입니까.
원칙적으로는 돈을 버는 목적으로 PC를 쓰는 곳은 유료로 써야 합니다. 미용실·카페·약국·병원 같은 곳도 포함됩니다. 개인이라고 하더라도 프리랜서는 유료를 써야 하는데, 프리랜서들은 유료를 많이 씁니다. 서비스를 더 잘 받을 수 있기 때문이죠.
최근 보안 업계의 이슈는 무엇입니까.
APT(Advanced Persistent Threat)입니다. 2011년 굵직한 업체들의 고객 정보가 유출된 것도 다 APT 공격 때문입니다. 기존 악성코드는 단지 서버를 마비시키거나 일회적인 해킹 시도거나 무차별적 공격이었는데, APT는 악성코드를 이용해 서버에 오랫동안 기생하면서 점점 더 핵심으로 파고들어가 관리자 권한을 획득하고 원하는 정보를 빼낸 뒤 자신의 흔적을 지워버립니다. 기업은 정보가 유출됐는지도 모르지요.
해킹이나 바이러스와는 다른 겁니까.
과거에는 해커와 바이러스 제작자가 달랐지만 지금은 구분이 없습니다. 또 회사의 오프라인 정보도 활용합니다. ‘이 회사에는 이 부서가 보안에 취약하겠구나’라는 것을 파악한 후 해당 부서 직원에게 그럴싸한 e메일을 보내는 것이지요. 한 번에 성공하지 못하더라도 꾸준히 오랫동안 시도합니다.
무섭군요. 우리가 아는 사건은 어떤 것이 있습니까.
셀 수도 없이 많습니다. 최근 1~2년 새 터진 대형 사건은 다 APT입니다. 외국에서는 이란 핵시설을 공격한 스턱스넷, RSA(일회성 비밀번호 생성기 OTP 판매사)에 대한 공격, 소니 플레이스테이션 고객 정보 유출이 있고요, 국내에는 옥션·현대캐피탈 등의 고객 정보 유출 사례가 있습니다. 이런 위협적인 공격들이 전 세계적으로 빈번하게 일어나고 있습니다. 보안 업계에서 볼 때 지금은 평화의 시대가 아닙니다.
그런 일이 다시 생기지 않게 하려면 어떻게 해야 합니까.
사실 왕도는 없습니다. 기업에 가 보면 같은 암호를 5년 동안 바꾸지 않고 쓰고 있고 관리자 암호도 일반 직원이나 협력사 직원이 함께 쓰고 있고요. 또 관리자 PC로 인터넷 검색하고 게임하고 동영상 다운받고…. 거의 가관입니다. 심지어 사장님 암호를 비서가 커다랗게 인쇄해 책상 위에 붙여 놓는 곳도 있습니다. 사고는 처음 자그마한 구멍에서 시작하기 때문에 회사 전체가 보안 의식을 가지고 원칙을 철저히 지키는 수밖에 없습니다.
2011년 굵직한 보안 이슈가 많았는데, 실적에 도움이 됐습니까.
그것과는 상관없이 신제품·신사업들이 성장을 이끌었습니다. 그래서 실적도 좋아질 겁니다.
대주주인 안철수 원장이 정치적 핫 이슈가 되면서 회사에는 영향이 없었습니까.
큰 영향은 없었습니다. 다만 회사 안팎의 사람들이 좀 민감해진 편입니다.
주가야 오르기도 하고 내리기도 하는 것 아닙니까. 대신 회사 주식에 대한 관심은 확실히 많아졌습니다.
국내 소프트웨어 산업의 문제는 뭐라고 보십니까.
소프트웨어를 돈 주고 사지 않는다는 것이 문제입니다. 소프트웨어가 제값을 받으면 다 해결됩니다. 우리 회사 제품도 국내보다 해외에서 더 비싸게 팔립니다. 국내는 제값을 못 받는 데다 정품도 안 쓰지요. 그러니 소프트웨어 회사는 연구·개발비를 줄일 수밖에 없고 품질이 떨어지게 됩니다. 완성도가 떨어지면 보안에도 취약점이 생깁니다. 다 연결돼 있습니다.
결국 ‘달걀이 먼저냐, 닭이 먼저냐’라는 문제인데, 이걸 끊기 위해 뭔가 액션을 취해야 하지 않습니까.
기업·정부 기관의 소프트웨어 사용 실태를 한 번 조사해 봤으면 좋겠습니다. 이를테면 5000명 규모의 조직에서 소프트웨어 비용으로 얼마를 쓰고 있는가. 이를 외국, 가까운 일본과 비교해 보면 ‘우리가 소프트웨어에 투자하는 비용이 이것밖에 안 되는구나’라고 알게 되겠죠. 하드웨어는 최신 제품으로 바꾸면서 소프트웨어 바꾸는데 인색합니다. 그것을 바꾸는 것이 필요합니다.
우종국 기자 xyz@hankyung.com┃사진 서범세 기자 joycine@hankyung.com
© 매거진한경, 무단전재 및 재배포 금지