[아이티투데이 성상훈 기자] 올해 28세인 김지성씨는 업계에서 말하는 '보안전문가'에 속한다. 김지성씨는 미래창조과학부가 국보급 화이트해커를 양성하겠다는 취지로 만든 '차세대 보안리더 양성프로그램(BoB)' 2기 수료생이다. 그것도 최종 베스트 10에 선정됐다.
그는 국내 보안기업 라온시큐어 전 연구팀이 주축이 된 보안 스타트업 '스틸리안'의 창업 멤버이기도 하다. 취약점 분석, 보안컨설팅, 핀테크 개발 등 다양한 개발 업무를 책임지고 있다.
"고향인 부산에서는 보안 관련 컨퍼런스도 많이 없어서 공부를 하고 싶어도 길이 잘 보이지 않았다. 독학으로 그동안 보안 공부를 해왔는데 BoB 합류 이후 기술적으로도 좋은 공부가 되는 기회였던 것 같다"
대학시절 보안동아리 회장 출신이기도 한 그는 BoB 프로그램 참가 계기에 대해 이같이 회상했다. 프로그램 수료 후 기술적으로 자신감도 붙고 보안관련 종사자들과 많은 인맥을 형성하게 된 것에 대해 만족감을 표시했다. 보안업계가 상당히 좁다보니 인맥으로부터 얻는 도움이 상당히 크다고 한다.
"안랩의 노영환 멘토로부터 많은 것들을 배웠다. 지금은 회사를 키우는게 첫 번째 목표다. 개인적으로는 BoB에 합류했던 것이 잘한 선택이라고 생각한다. 보안 분야에서 BoB 만큼 많은 것을 배울 수 있는 환경은 국내에 거의 없기 때문이다."
최종 베스트10에 선정되고 나서 장학금 2,000만원을 받았고 업무 여건은 물론, 심리적으로도 안정을 얻었다. 무엇보다 정부가 공인하는 보안전문가 타이틀을 손에 거머쥐고 현업에서 활발히 활동하고 있다는 점에서 스스로도 고무되어 있었다.
올해 24세인 3기 수료생 김윤호씨도 베스트10에 선정된 또 다른 보안전문가다. 앞서 언급된 김지성씨와 마찬가지로 그 역시 스타트업에 속해 있다. 동갑내기 친구가 CEO로 있는 사물인터넷(IoT) 스타트업 '럭스로보'에서 임베디드, 서버, 애플리케이션 개발을 총괄하고 있다.
그가 BoB 프로젝트를 진행할 당시에는 국가 기반 제어시설에 대한 취약점을 연구했다. '스카다' 라고 불리는 제어시스템에 사용되는 제품의 취약점을 연구했고 실제 소프트웨어측면에서 보안성이 형편없다는 점을 찾아냈다.
공교롭게도 그가 프로젝트를 진행하고 난 뒤 바로 얼마 뒤 한수원 해킹사태가 발생하면서 제어시스템에 대한 보안 취약점이 현실적으로 매우 심각하다는 점이 여실히 증명되기도 했다.
"3기부터는 1~2기와 달리 포렌직, 컨설팅, 제품보안, 모이해킹 등 4가지 트랙으로 나뉘는데 이중 제품보안에 관심이 많아 선택하게 됐다. 아마 가장 많은 인원이 몰렸던 것으로 기억한다"
3기 전체 인원 130명이 2개월간 교육을 받고 4개월간 각자 프로젝트를 진행한다. 프로젝트가 끝나고 나면 2개월간의 고도화 기간을 거쳐 최종 10명을 선발하게 된다. 이를 '베스트10'으로 부른다. 그는 최종선발되서가 아닌, 태생부터 보안쪽으로 각오가 남달랐던 것 같다고 회고했다.
"한수원 해킹 사태가 터지고 감회도 남달랐다. 보안 분야에서 진지하게 발전해야 겠다는 계기도 됐다. 지금은 개발을 위한 경험이 필요하기 때문에 열심히 개발에만 집중하려고 한다. 경험이 밑바탕이 되어야 제대로 된 보안 업무를 할 수 있다"
아직 나이도 어리기 때문에 많은 경험을 쌓아서 좀 더 내공이 쌓이면 국가적으로 공헌할 수 있는 자리로 옮기는 것이 그의 목표다. 나아가 우리나라도 보안성이 뛰어난 IoT 제품을 만들 수 있다는 것을 보여주겠다는 그의 각오는 흔히 볼 수 있는 대학생의 그것이 아니었다.
■화이트해커 양성, 확대되야 하지만 현실은...
BoB 프로그램은 보안업계에서도 남다른 관심을 보이고 있다. 안랩 연구소의 노영환 연구원 부터 심준보 블랙펄시큐리티 팀장, 현재 고려대학교 정보보호대학원에서 박사과정을 밟고 있는 김소선 멘토 등 현업 보안종사자들도 활발히 멘토링에 참여하고 있다.
'보안'이라는 특성상 미취업 대상의 교육과는 확연히 다르다. 1000명의 기술자보다 1명의 뛰어난 해커가 더 위력을 발휘한다는 말이 있듯이 크리에이티브한 마인드를 가진 사람이 필요하기 때문이다.
1기 BoB 베스트6 에 선정된 인원중 2명이 고등학생이라는 점이 이를 증명한다. 고등학생 신분으로 내노라 하는 경쟁자들을 제치고 최고 전문가 자리에 올랐듯이 해킹 기술이나 잠재성은 학력이나 나이와 무관하다고 전문가들은 입을 모은다.
강승현 한국정보기술연구원 전략기획팀장은 "영국 BBC, UK SKY 등 해외에서도 BoB를 취재하면서 많이들 놀라고 간다. 외국에서도 이같은 사례가 드물기 때문"이라며 "기술적으로 스펙을 쌓아서 하는 교육과는 다르다는 점을 알아주셨으면 한다"고 설명했다.
앞서 언급된 두 명의 수료생들도 어느새 최고 보안전문가가 되어 스타트업에서 큰 청사진을 그리며 현업에서 고군분투하고 있고 대부분의 수료생들이 이미 보안업계 최전선에서 활약중이다.
다만 3년째 이어져 오면서 전문가를 육성한다는 남다른 의미는 있지만 인력 양성 프로그램을 확대하고 싶어도 예산 확보를 하지 못해 난항을 겪고 있다.
지난 3월 12일 BoB 인증식이 열리던 삼정호텔에서는 3기 베스트10 화이트해커들이 보안 선서를 했다. 오는 7월부터는 4기 BoB 교육이 시작되며 9월부터 12월까지 프로젝트 기간을 거쳐 내년 또 다른 보안전문가들이 육성될 예정이다.
지난해 3기 예산은 총 72억원에서 올해는 56억7,000만원으로 줄었다. 올해부터는 K-쉴드 재직자 교육 프로그램이 고용보험기금으로 통합됐기에 그만큼 예산이 빠졌다. 미래부는 전체적인 인력 양성 프로그램을 키우려는 계획이지만 기획재정부로부터 전체적인 예산이 12% 절감 편성됐다.
보안 특성화 대학도 3개가 확정됐고 이는 학교 1개당 5억원씩 예산이 투입된다. 올해 20여개의 대학이 접수됐고 이중 5개를 확대하겠다는 계획을 잡고 있지만 예산 편성 계획은 아직 불투명하다.
최기갑 미래부 정보보호지원과 사무관은 "인력양성 부분은 특히 정보보호 분야를 확대할 예정이지만 다른 하나가 줄어들어야 신규사업을 진행할 수 있는 상황이라 고민이 깊다"고 전했다.