인터뷰 구자만 다음 기업정보보호팀 팀장
상태바
인터뷰 구자만 다음 기업정보보호팀 팀장
  • 한경리크루트
  • 승인 2010.01.11 18:09
  • 댓글 0
이 기사를 공유합니다

COVER STORY: ‘인터넷.휴대전화.게임’없이는 못 살아? | 휴대전화세상


Interview _ 구자만 다음 기업정보보호팀 팀장


윤리의식 바탕으로 전문성 갖춰야

기업정보보호팀에서 하는 일은?
다음의 정보보안 과제는 크게 3가지로 나눌 수 있습니다. 첫째가 고객정보 보호이고, 둘째가 고객이 여러 형태의 UCC(User Created Contents)를 생성 하고 사이트에 업로드 하면서 나타날 수 있는 악성코드, 피싱유도 페이지 등을 통해 발생될 수 있는 위협 요소에 대한 대책 마련입니다. 마지막은 서 버 등 수많은 자산에 대한 체계적인 관리 프로세스의 구축입니다. 국내 인 터넷 환경의 발전과 더불어 고객의 PC와 네트워크 환경이 발전하면서 급격 한 인프라의 증가가 나타났고, 이러한 인프라를 효과적으로 관리하지 못하 면 보안 사고가 야기될 수 있기 때문입니다. 이와 같은 이유로 다음 기업정 보보호팀은 다음 사용자들의 개인정보보호를 위해 신규 서비스 배포 전후 보안시스템 강화, 사전 강도테스트 실시 및 보안기술 도입, 강력한 데이터 저장 및 복구 시스템 구축을 통해 보다 안정적인 서비스를 제공할 수 있도 록 노력하고 있습니다. 또한 개발자 및 운영자들의 보안 의식을 제고하기 위해 정기 및 비정기 보안 교육을 확대, 보안담당자들을 대상으로 한 정책 을 시행하는 한편, 신규 서비스들에도 보안 기능이 접목된 새로운 플랫폼들 을 적용해 서비스 전반에 걸친 네티즌들의 개인정보 유출에 효율적으로 대 비하고 있습니다.

대학에서의 전공은 무엇이고, 전공이 정보보안 일을 하는데 중요한 역 할을 하고 있는지요?
학부 때는 컴퓨터공학을 전공했고, 대학원에 서는 정보통신공학을 전공했습니다. 대학원 논문으로 포털 사이트의 정보보 호에 대해서 연구한 것이 입사 이후에 많은 도움이 됐습니다. 그러나 자사 정보호호 인력들의 전공을 보면, 정보보호나 전산 전공자가 아닌 분들도 상 당합니다. 대부분의 정보보호 인력들은 학창시절부터 해킹이나 암호학 등 에 많은 지식과 관심을 가진 분들이기 때문에 전공을 불문하고 실력이 있으 면 채용되고 업무를 수행할 수 있습니다.

언제부터 인터넷 산업에 관심을 가졌습니까?
중•고등학교 때부터 컴퓨터 및 프로그래밍에 관심을 가지고 있었습니다. 8 비트 애플 컴퓨터부터 만졌으니까요. 대학교 때 해킹에 많은 관심을 가져 서 동호회 활동도 하기 시작했습니다. 졸업 이후에는 외국계 회사에서 정보 보안 솔루션 엔지니어로 직장 생활을 시작했습니다. 그 후 정보보호 컨설 팅 업무 등을 수행하면서 쌓은 다양한 경험들이 다음과 같이 고객정보가 중 요시되는 포털 업체에서 정보보호팀장 역할을 할 수 있게 해준 밑바탕이 됐 다고 생각합니다.

디도스란 무엇이고 현재 상황은?
DDoS(Distributed Denial of Service, 디도스) 공격이란 불순한 의도를 가 진 이들에 의해 사이트에 갑자기 비정상적으로 다량의 트래픽을 몰리면서 해당 사이트의 접속이 차단되는 현상을 말합니다. 지난 7월 7일 오후부터 시작된 디도스 공격에 국내 주요 사이트들은 보안 기능에 허점을 보이며 서 비스 장애를 보이기도 했지만 다음의 경우 여러 침해사고에 대한 준비를 철 저하게 해둔 터라 다행히 이번 공격에 피해를 입지 않을 수 있었습니다. 이 번 디도스 공격을 통해 정부 및 기업의 유기적인 협조와 공동 대응의 필요 성이 대두됐고 국민적인 보안 의식이 높아져 사이버 테러에 대한 보안 수준 이 전체적으로 높아질 것으로 기대됩니다.

디도스 공격 등의 사이 버 테러가 발생했을 시, 기업정보보호팀의 역할은 무엇입니까?
다 음 기업정보보호팀은 디도스 공격 등과 같은 침해사고 발생을 대비해 전사 적인 장애 대응 체계를 구축, 운영하는 업무를 담당하고 있으며, 사전에 이 와 같은 사이버 테러를 감지할 수 있도록 모니터링 시스템과 보안장비를 구 축하는 등 여러 노력을 진행하고 있습니다. 이번 디도스 공격 대응에서도 안철수연구소와 공동으로 네트워크 트래픽 모니터링을 강화했고, 보안장비 (Anti-디도스솔루션, 방화벽, IDS)를 통한 유해 트래픽의 분석, 차단 등의 노력을 진행했습니다. 또한, 디도스 공격에 대해 ‘탐지-분석-대응’의 단 계로 공격을 대비, 방어했으며, 추가적인 디도스 공격이 예정됐던 당시 보 안 관제 전담 인력을 증원, 관제를 더욱 강화한 바 있습니다.

독자들에게 디도스 공격에 대처하는 방법을 알려주신다면?
개 인 PC가 좀비 PC로 변하거나 악성 바이러스에 감염되는 것은 아주 사소한 실수에 의해 일어납니다. 예전에는 주로 파일 다운로드 등을 통해 바이러스 가 옮겨졌지만 지금은 인터넷의 발달로 단순히 유해 사이트에 접속하거나 호기심을 유발하는 이메일 등을 열어보는 것만으로도 무분별하게 바이러스 가 퍼지고 있습니다. 악성코드로 인한 공격을 예방하기 위해서는 개인들이 백신 프로그램을 설치하고 주기적으로 바이러스 검사를 실시해야 하며, 기 본적인 보안프로그램도 함께 설치해 해킹을 차단해야 합니다. 특히, 인터 넷 뱅킹을 통해 금전 거래를 할 때는 보안 프로그램을 꼭 설치해야 합니 다. 7.7 디도스 같은 사회적으로 큰 이슈가 있을 때는 한국인터넷진흥원, 안철수연구소 등에서 무료로 악성코드 치료 프로그램을 배포합니다. 다음에 서도 물론 이러한 치료 프로그램을 다운로드 할 수 있도록 페이지를 제공하 고 있으니 이들을 적절히 이용하면 도움이 됩니다. 그리고 무엇보다 먼저 개인의 정보보안 의식이 고취되어야 합니다.

젊은이들이 정보보안 분야의 일을 하기 위해서 필요한 자격증이나 역량, 자질 등은 무엇인가요?
정보보안 분야에는 국제 공인 자격증(CISSP)이 있는데 외국에서도 이 자격증의 위상이 매우 높습니다. 우리나라에서도 현재 3,000명 정도가 이 자격증을 보유하고 있으며 매년 응시자 수가 늘고 있는 추세입니다. 국 내 유일한 국가공인자격증인 SIS(Specialist for information security)는 합격률이 30% 정도로 난이도가 높지만 일단 합격하면 국제공인자격증 못지 않게 인정받고 있습니다. 유능한 정보보안 전문가가 되기 위해서는 자격증 도 중요하지만, 정보를 다루는 업무를 담당하기 때문에 높은 윤리 의식이 더욱 필요합니다.

정보보안 분야의 일의 장단점과 전망과 비전은?
책임이 큰 만큼 스트레스 강도가 다소 높은 편입니다. 또한 사이 버 테러는 언제 발생할지 모르기 때문에 항상 긴장을 늦출 수가 없고 일단 테러가 발생하면 개인 생활은 뒷전으로 밀리는 경우도 있습니다. 하지만 사 명감을 가지고 해야 하는 일이고 매우 전문화된 분야라 업무 만족도는 높 은 편입니다. 이번 디도스 사태로 정보보안 분야에 관심이 많이 몰리고 있 습니다. 얼마 전 한 리서치 에서도 정보 보안전문가가 직업 순위에서 높은 위치를 차지했습니다. 정보보안의 중요성이 강조되면서 보안 전문가의 수요 는 늘어날 것입니다. 하지만 정보보안 분야의 전문가가 되기 위해서는 시간 과 노력이 필요하므로 개인의 적성을 고려해 선택하는 것이 중요합니 다.

[월간 리크루트 2009-09]



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사
이슈포토