안랩 CTO "편의성이 보안을 이긴다"

이호웅 인터뷰..."우리 데이터와 기술 공유하겠다"

컴퓨팅입력 :2018/11/13 17:22    수정: 2018/11/13 21:30

"편의성이 보안을 이긴다. 보안은 당연히 기본으로 깔려 있는, 투명하게 나를 보호해 줄거라는 인식이 사람들한테 깔려 있다. 서비스나 프로그램 속에 내재돼 보안 자체가 편의성을 중시해야 하는 기술로 변화해야 한다."

보안 산업계 당면과제는 개인화와 편의성, 두 가지다. 개인화는 단지 개인 사용자만의 개인화가 아니고, 편의성은 단지 보안을 상쇄하는 편의성이 아니다. 까다롭지만 결국 받아들여야 할 시장 요구다. 안랩의 연구개발(R&D) 총괄 임원, 이호웅 최고기술책임자(CTO)의 생각이다.

이 CTO는 20년가까이 안랩에 재직했다. 2011~2014년 안랩 시큐리티대응센터(ASEC)장, 2015~2017년 엔드포인트플랫폼(EP) 사업부문 연구소장을 거쳐 올해 1월 안랩 CTO가 됐다. 연매출 1천500억원 보안회사의 전사 R&D 총괄임원이 된 그를 최근 만나 인터뷰했다.

이호웅 안랩 CTO [사진=안랩]

인터뷰에서 이 CTO는 기존 연구소장과 다른 시각으로 산업 흐름과 시장 요구를 읽고, 내년 안랩 R&D 방향을 어떻게 리드할지 고민 중이라 밝혔다. 관련해 내부 문화, 개발 프로세스, 경험을 통한 R&D 혁신을 강조했다. 다음은 그와의 1문 1답이다.

■ "안랩 R&D 로드맵 설정하고 있다"

- 연구소장과 CTO 역할, 어떻게 다른가

"대내외적으로, 체감상 큰 차이 없다. 연구소장일 때도 내게 R&D 대표성이 있었다. 이제 CTO로서 신사업이나 신기술 분야가 주 업무 영역이지만, 전체 R&D 프로세스 컨트롤은 내가 한다. 전보다 각 사업부 개발실과 의사소통하는 게 적긴 하지만, 전체 R&D는 실장과 소통한다.

개인적으로는 연구소장일 때 내가 '쥐고 있던' 부분, 프로세스를 제외한 실무적인 부분을 놓는 게 처음에 잘 안 됐다. 사람이라 누구나 마찬가지일 거 같다. 솔직히 초반에 각 사업부 개발실에 깊이 관여한 부분도 있었다. 그걸 걷어내는 '나 자신과의 싸움'을 한 3개월 한 것 같다.

연구원들이 좀 달리 보는 것도 같다. 연구소장은 관리직이고 CTO는 리더라든지. 전자는 현재의 수익, 타부서와의 조율, 내부 관리에 방점을 둔다면 후자는 전략적 리더십, 비전과 방향을 제시하는 성격으로 나누는 것 같다. 개인적으로는 양쪽 역량 다 갖춰야 한다고 생각한다."

- CTO 맡고 10개월간 무슨 일 했는지

"벌써 10개월 됐나. 몰랐다. 연초에 각 부문장이 직원대상 발표로 올해 각오같은 걸 말하는 자리가 있었는데, 그자리에서 '열심히 뻘짓(건강한 시행착오)하겠다'고 얘기했다. 정형화된 사고와 프로세스에 얽매이지 않고 일하겠다는 뜻이었다. 10개월간 진짜 그렇게 했다.

연구소장일 때 내 분야, 1년 앞 정도로 봤던 시야가 좀 넓어졌다. 전과 상황이 달라졌다. 사업부 안에 있으면 할 일이 들어오고, 그걸 조율하면서 해나가면 된다. 뻘짓은, 내가 '뻘'을 찾아다녀야 할 수 있다. 정신줄을 놓고 있으면 할 일이 없어질 수 있다.

일단 뻘짓도 남이 해본 것을 똑같이 하면 안 되고, 뭘 알아야 할 수 있었다. 그래서 분야를 가리지 않고 엄청 찾아 다니면서 보고 배웠다. 인사이트가 있는 분들 만나 그들 경험과 지식을 배웠다. 그러고나니 또 '뭘 해야 하나' 고민이었다.

예를 들어 남들 다 하는 '인공지능(AI)'이니 '블록체인'이니, 이런 쪽을 어떻게 해 보고 싶다면 어떻게 할까. 핵심기술이 없는데 외부 협력을 해야한다면 누구랑 할지, 내부 역량을 기르려면 어떤 일정으로 뭘 길러야 할지, 그게 안 보였다.

6개월 지나서야 좀 보였다. 이제 스케줄 잡고 로드맵 세팅 중이다. 초반보다 방향을 많이 구체화했다. 내부적으로 얘기 못했던 세부사항을 좀더 깊이 논의할 수 있는 분위기가 됐다."

■ "시장이 원하는 개인화, 편리성, 보안산업 최대 도전과제"

이호웅 안랩 CTO

- 보안산업 트렌드, 어떻다고 보나

"트렌드보다는 내 시야가 많이 바뀌었다는 걸 느낀다. 연구소장일 땐 오로지 위협을 막는 관점의 인사이트를 추구했다. CTO 되고 여러 분야 사람 만나고 보니 기술이란 것에 의문을 품게 됐다.

기술은 결국 인간 사회와 어떻게 합의하느냐로 발전한다, 하늘아래 새로운 기술은 없다, 이런 생각이 들었다. 기술이 융합되면 신기술이 나오고, 그게 사회와 융합하는 건 기술을 내재화하는 과정에 있고.

사회가 기술을 받아들일 때 중요하게 생각하는 건 두 가지였다. 하나는 개인화. 모든 애플리케이션이 나만 이해하고 내게 특화된 정보를 주고. 기업에서조차 개인화를 원한다. 커스터마이징 수준이 아니라 어떤 기업에 맞게 특화 서비스를 제공해야 하는 상황이다.

또 하나는 편의성. 전통적인 보안산업 관점에서는 사용 편의성보다 보안을 중시한다고 할 거고 그러려면 서비스, 제품을 개발할 때 설계 단계부터 보안을 접목해야 한다고 얘기한다. 하지만 요즘사람들 느끼기에 결국 이기는 건 편의성이다. 보안은 그 뒤에 따라오는 거다.

사람들은 뭘 쓰든 당연히 보안이 기본으로 깔려서 나를 투명하게 보호해 주는 거라고 기대하는 추세다. 보안 자체가 서비스나 프로그램 속에 드러나지 않게 내재되는, 편의성을 중시한 기술로 변화해야 하는 과제가 주어졌지 않나 생각한다.

개인화와 편리성, 두 가지가 보안 산업에 가장 큰 도전(챌린지)이다. 둘을 추구할수록 비용은 올라갈 거다. 업체들이 어떻게 여기서 스스로 길을 찾아내고 발전하느냐가 보안산업의 발전에 미래가 되지 않을까. 보안컨퍼런스 '김치콘'에서 그런 생각을 얘기 했다."

■ "보안분야, 10번 잘해도 1번 잘못하면 질타…'신념' 있어야"

- 보안인들의 컨퍼런스인 '김치콘'에 토론패널로 참석했던데, 무슨 얘기 했는지

"지금 얘기한대로 편의성 중시되는 세상에서 보안이 장애가 되지 않아야 한다, 그런 얘기 했다. 현장의 보안산업 종사자들이 모두 공금하는 얘기였다기보단 거기 분위기가 '업계인들의 수다'같은 느낌이었다.

좀 다른 얘기인데, 젊은 참석자들에게 꼭 해주려던 얘기가 따로 있었다. 안랩 신규 입사자들에게 처음 교육할 때도 꼭 해 주는 얘기다. 보안을 처음 접하는 사람들은 잘 모를 수도 있는 부분이라서.

각자 어떤 내가 종사하고싶은 업을 택할 때 기준은 대체로 성취감, 돈, 사람, 이 세 가지가 있을 거라 생각한다. 일을 계속하거나 그만둘지, 조직에 남아있을지 떠날지 결정하는 기준. 보안 쪽은 이 세 가지에 '신념'이라는 한 가지가 더 있다.

이 분야는 열 번 잘해도 한 번 잘못하면 그 한 번때문에 엄청난 질타를 받는다. 다른 일 열 번 못해도 한 번 잘하면 칭찬을 받을 수 있고 동기부여가 될 수 있지만, 보안은 열 번 잘해도 그게 당연하다. 이 일은 내가 하는 일의 가치를 증명하기가 굉장히 힘들다.

그런 상황 버틸 수 있는 건 결국 업에 대한 신념이다. 젊은 참석자들에게 '신념을 가지라'고 꼭 얘기하고 싶었다. 이게 김치콘에서 한 말 중에 가장 신경써서 한 얘기다. 제가 보안업계 2세대쯤 된다면 거기 모인 3,4세대 정도 되는 분들에게 선배 입장에서 해주고 싶은 말이었다."

- 보안 산업 관련 얘기 중 기억에 남는 건

"산업 측면에서는, 보안 분야는 왜 급격한 변화가 어려울까 이런 얘길 했다. 보안 자체가 안정적으로 가야 하는 기술 중 하나고, 고객도 트렌드에 맞춰 확확 바뀌려하진 않는다고 봤다. 보안이 응용분야고 그 기반인 시스템, 소프트웨어, IT 발전에 맞춰 가야 한다는 점과도 연관되고.

나머지 산업환경은 안 그런데 보안만 확 변화할리 없다. 그래서 변화 동향을 계속 보고 예측해야 한다. CTO가 되고 나서 더 힘든 부분이다. 연구소장일 땐 고객이 '내년에 이렇게 바뀔거야' 하는데, 이제 '이렇게 바뀔거니까 우리가 이렇게 바꿀까' 그런 걸 찾아다니는 게 쉽지 않다.

앞으로를 예측하려면 보안뿐아니라 입체적인 IT환경 변화를 읽고 보안이 그 안에서 어떻게 변할지 얘길 해야하는 입장이 됐다. 그런데 안랩 CTO 만나러 왔다고 하는 분들이 처음에는 보안 얘기만 한다. 요즘 그래서 사람들 처음 만나면 '보안 얘기 하지 말라'고 처음부터 얘기한다."

■ "내부 데이터 활용도 높이는 프로젝트 진행 중"

이호웅 안랩 CTO

- 여러 스타트업과도 만났다고 들었는데, 안랩과 시너지 낼만한 곳이 있었나

"그러려고 했다. 그런데 보안 관련 스타트업 많지 않아 쉽지 않았다. AI와도 약간 연관성이 있어 그 쪽도 많이 찾아 봤다. N사 AI랩도 만나보고, 도움받고, 자문도 구하고. 하다가 나중에 든 생각은 우리도 AI를 하려고 사람을 뽑는데, 적절한 인재를 뽑기 쉽지 않았다.

AI 스터디를 하다가 이런 의문도 생겼다. AI에 가장 중요한 데이터가 있어야 하고, 산업 도메인 놀리지도 있어야 한다. 전공자는 AI 알고리즘을 연구한 사람인데 이들을 뽑아서 우리 데이터와 도메인놀리지를 가르치는 게 빠를까. 우리 쪽 사람에게 AI를 가르치는 게 빠를까.

6개월동안 스터디하다 어떤 결론이 나왔냐면, 보안은 스타트업이 할 수 없다는 거였다. 특히 AI 방식으로 접근하기에 쉽지 않다. 데이터가 없으니까. 데이터를 쉽게 얻을 수 있는 업종은 발전하고 쉽게 못 얻는 분야에선 자생해야 한다. 그럼 그 분야는 더디게 진행된다.

비(非) 보안 스타트업 중 우리 데이터를 활용해 시너지를 낼 데가 없을까 생각하고 있다. 우리는 도메인 놀리지와 데이터를, 그쪽은 AI 기술을 갖고 있으니 둘을 접목하면 어떨까 하고 몇 가지 프로젝트를 진행 중이다. 여전히 시행착오 단계지만."

- 어떤 프로젝트를 하고 있는지

"내부 데이터 활용도를 좀 높이려 한다. 안랩이 국내서 보안 관련 데이터를 가장 많이 가졌다. 하지만 냉정히 보면 그중 얼마나 활용하고 있을까. 실제 추산은 안 해봤지만 매우 낮을 거라고 본다. 활용하려면 데이터를 분류하고 정규화해야 하는데, 인력으로 불가능한 규모다.

우리 도메인 놀리지와 데이터에 외부 기술을 접목시켜서, 보안 관련 데이터의 활용도를 극대화하기 위해 정제할 수 있는 작업을 시작했다. 예를 들어 당장 샘플이 들어왔을 때 AI가 그걸 분석가가 봐라, 자동분석해라, 어떻게 처리해라, 하기보다는, 데이터 정제가 더 맞는 것 같다."

- 블록체인에도 관심 있을 텐데

"향후 블록체인이 무궁무진하게 발전할 수 있는 플랫폼이라 생각하기 때문에, 기술 투자나 내부 리서치는 당연하다고 본다. 나도 블록체인에 관심이 많긴 한데, 그 분야 스타트업과는 많이 못 만나 봤다. 스타트업보다는 오피니언 리더나 투자 관련 분야 분들을 많이 만났다.

블록체인 스타트업 쪽은 아직 너무 코인에만 집중한다는 인상이다. 플랫폼화하고 더 발전하려면 좀 더 인간 사회와 합의할 시간이 걸리지 않을까. 합의가 된다면 그에 상응하는 컴플라이언스가 생길 거다.

블록체인의 사상이 탈중앙화인데, 컴플라이언스 생긴 이후에도 탈중앙화가 가능할까, 컴플라이언스에 따라 블록체인과 코인의 미래가 결정되지 않을까, 이런저런 생각을 많이 한다. 버릴 수 없어 내부 경험 차원에서 테스트를 하고 있지만, 아직까진 지켜봐야 하는 대상이다."

■ "새로운 인재 확보만큼, 기존 인재 유지도 중요"

- 올해 사내 버그바운티 'iQx' 운영은 직접 기획했는지, R&D 프로세스 혁신 차원인지

"직접 기획했다. 원래 안랩 사내 버그바운티가 없었던 건 아니다. 일년에 한 번 하는 거였다. 뜸하게 한시적으로 진행하면 특정 부서, 담당자가 유리하다는 얘기도 나온다. 이번에 그걸 상시화했다. 올초, 봄부터 안을 짜라고 해서 각 팀장, 실장들과 논의해 진행하게 됐다.

기본적으로 개발할 때 내부에서 소스코드 취약점 점검을 한다. 그럼에도 열 번 잘해도 한 번 못하면 그걸로 질타를 받는 입장이다보니, 더 안정성있는 제품을 내보내려는 니즈가 있다. 또 하나는 기존 사내 버그바운티 운영간 문제로 인식됐던 부분들에 자정작용을 기대했다.

사내 버그바운티는, 프로세스 혁신보단 '문화' 쪽이다. 내부 해커톤은 우리 문화의 일부로 들어가 있고, 우리는 이걸 계속 개선하고 있다. 작년에 시작한 펌프(PUMP, 안랩 사내 아이디어 공모전)도 마찬가지다. 내년에 세번째인데, 계속 할 거다. 역시 시행착오를 통해서.

여러가지 프로세스 개선작업도 많이 하고 있다. 우리가 패키지 제품을 만들고 서비스를 제공하는, 보안이라는 분야 자체에 '올드하다'는 이미지가 있다. (이를 벗어나고자) 프로세스 측면에서 약간 자율성을 부여하고, 내부 개발 인프라에 적용하는 작업을 해 나가고 있다."

- 향후 안랩 R&D 어떻게 끌어갈 계획인지

"내년에 뭔가 부딛쳐야하지 않을까를 제일 중요하게 생각한다. 구체적인 방향, 비전까진 아니지만, 올 한해 학습한 결과를 바탕으로 뭔가 구체화해야하지 않을까. 또 하나는 '인재'다. 좋은 인재를 확보하는 것뿐아니라 지금 함께 하는 인재를 잘 키우고 유지하는 것도 중요하다.

관련기사

그리고 안랩과 협력하고 싶어 하는 스타트업들, 언제든 만나고 싶다. 좋은 인재를 찾아다니고 있다. 내년엔 가방 메고 학교 돌아다녀야하지 않을까 생각한다. 많은 CEO와 CTO들이 학교 찾아다니며 여러 활동 한다. 나는 올해 못했지만, 내년엔 시간과 여력 된다면 그러고 싶다.

시너지만 난다면, 우리 데이터와 기술을 (스타트업과) 공유할 뜻이 있다. 그러려면 서로 잘 알아야 한다. 단기 프로젝트든 뭐든 그런 과정 없이 무턱대고 하다보면, 안 된다. 서로의 강점을 이해하는 시간과 과정이 필요하다. 그걸 융합할 기회를 찾는 게 효과적인 방법이라 본다."