[디지털사회 보안지기] <19> 김휘강 고려대 교수, 디지털사회 보안지기

　 ‘해커 출신 교수 1호’로 불리는 김휘강(34) 고려대 정보경영공학전문대학원 교수는 적지 않은 시간 동안 정보보호 현장을 뛴 인물이다. 그는 카이스트(KAIST) 94학번으로 학부시절부터 해킹동아리 쿠스(KUS)에 몸담고 보안 공부를 시작해 보안 분야로 석·박사 학위를 모두 받았다. 이후 2004년부터 올해 2월까지 5년여 동안 온라인게임기업 엔씨소프트에서 보안 업무를 담당했다. 해커와 기업 보안담당자 그리고 정보보호학과 교수로 변신하며 정보 보호 산업 발전에 기여하고 있다.

　 교수로서 정신없는 첫 학기를 보내는 중인 김 교수는 “학교에 와보니 현업에서 쌓은 사이버보안의 지식과 노하우를 학문적으로 체계화하면 좋겠다고 느꼈다”면서 “산업과 학문을 잇는 교량 역할을 하고 싶다”고 말했다. 특히 그는 온라인게임이 다른 산업군보다 더욱 폭넓은 보안 지식과 노하우가 필요한 분야여서 학문화할 것들이 많다고 강조했다.

　 김 교수는 “온라인게임 내 게임머니 및 아이템은 게임을 열심히 해서 얻는 것이 원칙이지만 현금을 주고 사고팔려는 수요가 많다”면서 “해커가 게임서버를 해킹하는 것은 은행을 터는 것과 마찬가지여서 공격이 매우 집요하고 적극적”이라고 설명했다. 실제 게임회사는 해킹공격을 많이 받고, 악성코드 수치 통계에서 게임서버를 노린 악성코드는 매년 상위권을 차지하는 실정이다. 온라인게임 기업들은 이 같은 공격을 막기 위해 보안을 매우 강조하고 덕분에 창의적인 보안기법을 내놓는 분위기라는 것이 그의 설명이다.

　 엔씨소프트 보안실장으로 있던 2005년 무렵 그는 해커들의 게임 사이트 계정 도용이 급증해 이를 막는 묘안을 찾는데 심혈을 기울였다. 그는 “PC방화벽과 키보드보안 솔루션 등 웬만한 보안솔루션은 다 설치하고 비밀번호를 바꾸면 경품을 주는 이벤트를 펼쳐도 효과가 없었다”면서 “시행착오 끝에 지금은 금융권에서 일반화된 일회용비밀번호(OTP)와 전화인증 방식을 세계 최초로 도입해 계정도용을 줄였다”고 회고했다.

　 대량 개인정보 유출사건이 연이어 터져도 많은 기업이 보안에 투자하는 것을 비용으로 생각해 주머니를 과감하게 열지 않곤 한다. 이에 대해 김 교수는 “미리 투자를 하면 보안사고도 막아 회사 경쟁력을 높이고 경제적인 논리로 보더라도 사고 발생시 들어가는 막대한 비용을 줄인다”고 단언했다. 보안을 철저히 한 기업이란 이미지가 생기면 고객이 기업을 신뢰하고 그만큼 그 기업의 성장으로 이어지기 때문이다.

　 경영자들이 생각을 바꿔 보안에 적극 투자할 필요도 있지만 보안담당자들도 개선할 부분이 있는 것이 김 교수의 생각이다. 그는 “보안담당자는 회사 네트워크 접근 및 트래픽 차단 등 막강한 권한을 가지는 데 그 권한을 고압적으로 쓸 가능성이 크다”면서 “이 같은 상황을 항상 경계하고 직원들이 공감할 수 있도록 배려하고 보안정책에 유머를 가미할 필요가 있다”고 강조했다.

　 앞으로 김 교수는 온라인게임 보안 경험을 바탕으로 온라인 게임 이용자 중 비정상적인 행동을 하거나 해킹 시도를 하는 유저들의 데이터를 분석해 해킹을 사전에 막는 프로젝트를 준비 중이다. 또한 기업 규모가 영세해 보안에 투자하지 못하는 기업을 위한 논문 저술이나 기술 자문을 통해 국내 기업들이 보안수준을 높일 수 있도록 도울 계획이다.

이경원기자 won@etnews.co.kr