좋은 SW가 필요해? "엔지니어 기 살려라"

오정욱 MS 보안취약점 분석 연구원

일반입력 :2012/04/04 08:56    수정: 2012/04/04 10:06

김희연 기자

“엔지니어가 일하기 좋은 환경이 뒷받침돼야 질 높은 소프트웨어도 개발할 수 있습니다. 국내 보안업계에서 근무하다 처음 마이크로소프트 본사에 갔을 때 엔지니어로서의 대우는 황송하다 싶을 정도였죠. 그만큼 엔지니어가 인정받는 문화였다는 겁니다.”

3일 서울 삼성동 코엑스에서 열린 해킹방어대회 코드게이트2012에 참석차 한국을 찾은 마이크로소프트(MS) 보안 취약점 분석 연구원 오정욱씨가 기자와 만나 자신이 경험한 국내외 보안 엔지니어들에 현실에 대해 털어놨다.

국내 보안업체에서 8년, 미국 MS본사와 웹센스 등에서 8년. 그의 지난 경험들로 인해 국내와 해외 보안 엔지니어 개발 환경에 대해 비교해볼 수 있는 사람 중 한 사람이었다.

국내 보안 개발 환경은 아직도 갈 길이 멀다. 장기적인 투자는 물론 개발 시스템 체계도 아직까지 확립되지 못한 것이 국내 보안산업과 엔지니어들의 현실이기 때문이다.

■보안 경쟁력 갖추려면? “엔지니어 기부터 살리자”

“MS에서 근무를 시작한 후 첫 회의시간 어떤 사안에 대해 심각히 이야기하면서 시급히 개선이 필요하다는 논의를 끝내고 나왔죠. 근무를 시작한지 얼마 안된 저는 더 빨리 열심히 일해야겠구나 하는 생각에 정신없이 일을 했습니다. 5시 퇴근시간이 지나고 주위를 둘러보니 아무도 없는 겁니다. 저만 야근을 하고 있는 거예요. 그런데 이런 분위기는 미국에선 너무나 당연한 거였습니다.”

국내 보안업계에서 근무하는 엔지니어들을 떠올리면 야간근무는 당연하다고 받아들여지고 있다. 대부분 개발자들을 상징하는 몇 가지 키워드를 떠올려 보더라도 그렇다.

오정욱 연구원은 미국 본사에 첫 출근했던 날을 떠올리며 국내에도 엔지니어 중심적인 개발 문화가 필요하다고 강조했다. 미국 IT회사들의 경우는 아무리 작은 회사더라도 기본적으로 엔지니어들의 대한 존중이 바탕이 된다는 것이다.

시스템적으로 개발환경이 잘 조성되어 있는 것은 물론이고 엔지니어가 독창적으로 자신의 의견을 피력할 수 있고 시도할 수 있다는 점도 국내 개발 환경과는 완전히 다른 분위기다.

국내에서는 보안제품 출시 후 문제점이 발생하면 엔지니어에게 모든 책임이 전가되는 것이 허다하다. 그러나 미국에서는 상황이 다르다. 개발 프로젝트는 엔지니어 한 사람이 아니라 시스템 아래 이뤄지는 것이라고 보고 개별 엔지니어 한 사람에게 책임을 지우지 않는 다는 것이다. 이 때문에 미국 IT회사에서 엔지니어들은 자유롭게 자신의 역량을 펼칠 수 있다.

■미국 ‘양보다 질’ vs 한국 ‘질보다 양’

오 연구원이 말하는 미국과 국내 IT개발 환경에서 가장 큰 차이점이 한 가지 있다면 바로 인재에 대한 접근이다. 미국은 우수한 개발 인력 한 사람이 꾸준히 연구하다 보면 질 높은 소프트웨어를 개발해 낼 수도 있다는 믿음을 가지고 있다.

이들이 장기적 관점에서 개발을 진행하는 이유도 여기에 있다. 그러나 국내 업체들은 사정이 다르다. 많은 인력을 투입해 단기간에 결과물을 내놓는 것이 국내 개발 분위기다.

“보안 산업이 크지 못하는 이유도 결국은 사회 시스템 구조의 문제점이라고 생각합니다. 국내 엔지니어들의 브레인 파워가 좋더라도 받쳐줄 수 있는 인프라가 마련되어 있지 않은거죠. 또한 인력 투자만 한다고 소프트웨어 질을 높일 수 있는 건 아닌데 양적인 것으로 시스템을 보완하려 하는 것도 국내 보안 개발환경에 문제점인 것 같습니다.”

관련기사

오 연구원은 보안 개발이 많은 인력이 투입된다고 해서 성공할 수 있는 것도 아닌데 시스템적인 부분들을 전혀 생각하지 않는 것 같다고 지적했다. 국내 업체들은 시스템 개발 문화 자체를 형성하려는 노력은 하지 않는다는 것이다. 시스템없이 문제점을 해결하려는 것이 국내 보안산업 발전을 한계에 봉착하게 했다.

“국내서 풀지 못했던 보안에 대한 고민들을 MS에 입사하면서 풀 수 있었던 것들이 많습니다. 함께 일하는 사람들과 협력하고 의견을 나눌 수 있는 분위기가 조성되어 있기 때문이죠. 그래서 옛날부터 가져왔던 기술적 한계들에 대한 의문이 많이 해소됐습니다. 국내서도 엔지니어에 대한 인식 변화와 개발 환경 개선이 이뤄져 보안 소프트웨어 경쟁력을 높여 나갔으면 좋겠습니다.”