번번이 털리는 당신, 이제 달라질 때 – 『IT 보안의 정석』 박지훈 저자 인터뷰

『IT 보안의 정석』 박지훈 저자 인터뷰
100개의 기업이 있으면 100개의 성질이 서로 다른 ‘현장’이 있는 거니까요. 그래도 공통적으로 말할 수 있는, 즉 진리에 가까운 말이 있긴 합니다. 정보보안은 문화입니다. 기술이나 장비가 아닙니다.
글 | 채널예스사진 | 출판사 제공

최근 대한민국은 여기저기서 빵빵 터지는 보안사고들로 이슈가 끊이지 않았다. 금융사 및 포털의 개인정보 대량 유출사고, 대통령도 언급했던 ActiveX, 정치 음모론으로 번졌던 메신저 감청 사건, 해커의 한국전력 협박 사건 등 종류도 규모도 참 다양한 보안사고들이 줄지어 발생했다.
‘IT 강국’이라는 타이틀은 인터넷 속도만 빠르다고 얻어지는 것이 아니다. 기술의 발전만큼 그 기술을 온전히 누릴 수 있는 시민의 문화와, 제도의 뒷받침이 따라야 한다. 하지만 대한민국은 지금 당장이라도 스마트폰만 해킹하면 모든 개인정보를 빼낼 수 있는 상황인데 IT 보안에는 너나 할 것 없이 ‘모르쇠’다. 사물이 모두 인터넷으로 연결되는 세상을 바라보는 지금, 보안은 선택이 아니라 필수다.『IT 보안의 정석』은 현직 경영자와 임원을 꿈꾸는 직장인, 그밖에도 기업정보보안에 관심을 갖는 독자들에게 ‘보안 입문서’로 만들어진 책이다. 수준 높은 보안성을 확보하는 것은 개인과 기업의 미래 경쟁력이다. 무작정 어렵다며 손사레만 칠 것이 아니라 기본부터 차근차근 배워보자. 모르는 게 있다면 주변에 있는 IT기기들을 활용하라. 꼭꼭 씹어가며 천천히 따라 읽다 보면, 적어도 세간에 떠도는 기사의 내용을 분별할 수 있을 만큼의 상식은 갖게 될 것이다.

『IT 보안의 정석』의 저자 박지훈은 한국예술종합학교 영상원을 졸업하고 TV, 영화, 광고, 애니메이션, 게임, 출판 등 대중문화 콘텐츠 기획자로 일했다. 현재 보안전문기업 펜타시큐리티의 정보보안연구소 ‘TOSLab’ 편집장으로서, 복잡하고 난해한 IT 기술을 비기술자들도 쉽게 이해할 수 있게끔 돕는 ‘Simple & Easy’ 출판 프로젝트를 맡고 있다.

CEO가 알아야 할 기업정보보안의 기본

Q : 『IT 보안의 정석』를 어떻게 집필하게 되셨나요?
이 책 ‘IT 보안의 정석’ 또한 해당 프로젝트의 소소한 산물입니다. 이력을 보시면 아시겠지만, 저는 기술자가 아닙니다. 소위 ‘일반인’입니다. 따라서 일반인의 눈높이에 맞춰 썼습니다. 그런 책이 꼭 필요하다고 생각했기 때문입니다. 놀랍게도 시중에 단 한 권도 없더라고요.

Q : 책에도 언급돼 있듯, 우리나라는 연중 내내 IT 보안사고가 끊이지 않는 것 같습니다.
역시 책에도 썼듯, 외국의 사정도 우리나라와 크게 다르지는 않습니다. 각자 자기가 사는 곳에서 벌어지는 일이니까 더 크고 무겁게 와 닿는 거겠죠. 터지는 사건과 사고 양상 그리고 공격과 방어 기술적 수준도 얼추 비슷하게 저급합니다. 말하자면, 연중 내내 지구에 IT 보안 사고가 끊이지 않는 것입니다. 말장난이나 과장이 아니라 정말 그러합니다. 정보보안 계몽 부실은 세계적으로 심각한 문제입니다.

Q : 사실, ‘정보보안’이란 게 어디서부터 어디까지인지 모르는 분들도 많을 거라고 생각합니다. ‘정보보안’이란 무엇인가요?
즉, ‘데이터 보안’입니다. 데이터의 생성에서부터 소멸에 이르기까지, 데이터의 생애주기 전체에 걸친 보안을 뜻합니다. 그 말의 함의는, ‘정보보안’이라는 말이 그간 지나치게 파편화되어 있었다는 뜻입니다. 분류의 편의를 위해 네트워크 보안, 시스템 보안, 데이터베이스 보안 등 각각의 부분만을 사수하는 조각 개념으로 분리해 생각했던 거죠. 실제로 꼭 필요한 정보보안은 총체적으로 이루어져야 합니다. 책에서 누차 강조하는 ‘ICT 시스템 전 계층과 전 영역에 걸친 플랫폼的 보안’이 바로 그런 뜻입니다.

Q : 기업이 정보보안 수준을 높이기 위해서 점검해야 할 것, 염두에 두어야 할 것은 무엇인가요?
간단히 답할 수 없는 질문입니다. 100개의 기업이 있으면 100개의 성질이 서로 다른 ‘현장’이 있는 거니까요. 그래도 공통적으로 말할 수 있는, 즉 진리에 가까운 말이 있긴 합니다. 정보보안은 문화입니다. 기술이나 장비가 아닙니다. 쓰고 보니 너무 두루뭉술한 말 같은데, 달리 표현할 마땅한 말이 없네요. 그래도 아주 중요하니 한 번 더 강조하는 바, “정보보안은 문화입니다.”

Q : ‘데이터 암호화’와 ‘웹 보안’을 강조하셨는데 이 두 가지에 대해 간단히 설명해 주세요.
먼저, 데이터 암호화와 웹 보안을 강조한 까닭부터 말씀 드리겠습니다. 이 책은 개인정보보안과 차별화되는 ‘기업정보보안’을 이야기하는 책입니다. 그러니 오늘날 기업 현장에 있어 가장 중요한 두 분야를 제시한 것입니다.

오늘날 ICT 보안의 중심은 네트워크와 서버 등 IT 인프라를 보호하는 보안으로부터 데이터와 어플리케이션을 보호하는 보안으로 이동하고 있습니다. 이는 지켜야 할 진짜 가치가 무엇인지 깨닫는 과정입니다. 정말 지켜야 할 가치는 데이터입니다. 그리고 데이터를 가장 안전하게 지키는 방법은 단언컨대 ‘암호화’입니다.

데이터는 어플리케이션을 통해 이동합니다. 그리고 현재 어플리케이션의 주요 환경은 웹입니다. 통신기술뿐 아니라 시스템 환경에서부터 사용자 인터페이스에 이르기까지, 모든 IT 기술이 웹으로 통합되고 있습니다. 앞으로는 모든 어플리케이션이 웹 환경에서 개발되고 운용될 것입니다. 웹으로 통합되는 환경의 변화는 더 널리 연결하고 더 많이 공유하는 열린 사회로의 변화를 뜻합니다. 따라서 ‘웹 보안’은 과거의 웹 보안과는 아예 차원이 다른, 부분이 아닌 전체 문제가 되어버린 것입니다.

Q : 최근 청년들 사이에서 ICT 분야에 진출하려는 학생이 늘고 있다고 하는데요. 그들에게 정보보안 전문가로서 조언을 해 주신다면?
혹시 이런 질문 또는 공격 받을까 염려해 머리말에서부터 누차 강조했던 건데, 저는 이 분야에서 일하고 있지만 ‘정보보안 전문가’나 뭐 그런 사람이 아닙니다. 그래서 조언자로서 적절하지 않습니다. 다만, 정보보안 분야에서 일하기 전부터 생존과 안전에 대한 관심이 많았습니다. 신문에 ‘서바이벌 대작전’이라는 칼럼도 연재했던 적이 있을 정도로 말이죠. 그런 ‘성향’이 결국 저를 이쪽 분야에서 일하게 만든 동기 아닌가, 그런 생각이 듭니다. 정보보안은 이미 가장 치열한 생존과 안전의 문제니까요. 다시 말해, 기술적 전문가로서는 드릴 말씀이 전혀 없습니다만 스스로 어떤 사람인지 정체성에 따라 크고 작은 문제들에 대해 결정을 하다 하면 적절한 답을 얻을 수 있지 않을까..라는, 어째 좀 한심한 어른 같은 말을 조언이랍시고 드리겠습니다. 죄송합니다.

Q : 『IT 보안의 정석』을 찾는 독자들에게 한 말씀 부탁 드립니다.
뜻밖에도 책이 꽤 팔리고 있습니다. 정말 안 팔릴 책이라고 생각했는데. ‘독자 편지’라는 것도 받았습니다. 부끄럽습니다. 다음 책은 진짜로 열심히 쓰겠습니다. “쉽게 쓴다고 쓴 거 같긴 한데, 그래도 어렵다”는 반응 정히 접수했고, 진짜로 ‘일반교양서’라 할 만한 책을 생각하고 있습니다.