'사람=재산' 인재 키우는 보안벤처

사람이 곧 재산이다. 어떤 복지 보다 직원들의 경쟁력 향상을 최우선으로 하는 보안 벤처들이 있다. 이들 회사가 강조하는 것은 '사람 키우기'다. 충분한 교육과 연구개발을 통해 제대로 된 보안전문가를 키워보겠다는 것이다. 언뜻 어떤 회사나 할 수 있는 말처럼 보이지만 이 보안벤처들은 회사 문화 안에 사람에 대한 고민이 배어나왔다.

지난 21일 이제 설립 2년 5개월을 맞아 자리를 잡기 시작한 회사와 창업 8개월 걸음마를 떼고 있는 보안벤처회사 대표들을 만났다. 정진석 SSR 대표, 황석훈 타이거팀 대표가 그들이다.

두 사람은 모두 국내 유수 보안컨설팅 전문회사에 근무 경력을 포함해 10여년 이상 '보안밥'을 먹어온 이 분야 전문가들이다.

■전 직원에 멘사 회원 되길 독려

정진석 SSR 대표는 다니던 회사를 퇴사한 뒤 프리랜서로 활동하다가 창업을 했다. 본래 회사명은 SSR팀으로 과거 그와 함께 활동해 온 보안전문가 동료 1명과 함께 창업했다. 정 대표는 회사 설립 동기에 대해 기존과 달리 심도 깊은 보안컨설팅을 제공하고 싶었다고 밝혔다.

보안컨설팅은 고객사의 보안취약점을 점검한 뒤 이에 대한 대비책을 제시하는 서비스 사업이다. 그는 기존 전문회사들이 제공하는 서비스는 단순히 웹사이트의 취약점에 대해서만 점검하는 데 그치는 경우가 많다고 설명했다. 제대로 보안서비스를 제공하려면 실제로 모의해킹 등을 통해 어떤 곳에서 보안이 뚫릴 수 있는지 알아야 하나 현재는 단순히 웹사이트의 취약점 관련 체크리스트만 확인하는 데 그치고 있다는 것이 그의 생각이다.

그가 생각하는 보안컨설팅은 고객사의 요청에 따라 깊이 있는 보안컨설팅까지 가능하도록 하는 것이다. 예를 들어 A회사가 기업정보유출 가능성에 대한 점검을 요청하면 먼저 사무자동화(OA), 웹서비스 등에서 나올 수 있는 기본 정보를 수집한다.

이를 바탕으로 모바일앱을 통해 해당회사의 전사적자원관리(ERP) 시스템에 접근해 임원이 확보하고 있는 기밀자료를 빼내는 일이 가능하다는 것을 알아 내고 대비책을 세워줄 수 있게 한다는 것이다. 이는 실제로 해커 입장에서 모의해킹을 통해서만 확인할 수 있는 정보인 셈이다.

심도 깊은 보안 서비스를 제공하려면 그에 맞는 숙련된 전문가들이 필요하다. 그러나 아직 국내 보안업계에 손가락에 꼽히는 실력자들을 찾기 어렵다는 것이 정 대표의 설명이다. SSR이 전 직원들을 대상으로 '맨투맨 교육제도(1:1 교육제도)를 만든 것도 이 때문이다. 아예 실력있는 전문가를 회사에서 키우겠다는 것이다. 정 대표는 일정 수준의 실력에 도달하지 못할 경우에는 아예 실무에 투입하지 않는다고 말했다. 기존 보안전문회사들이 일단 고객사에 인력을 파견하고 보는 것과는 사뭇 다른 모습이다.

현재 60명 직원 중에 실제 모의해킹이 가능한 인력은 40명이다. 직원 대부분이 해킹에 대한 기본적인 지식을 갖고 있다. 그는 직원들이 창의적인 아이디어를 낼 수 있도록 멘사 회원이 되기를 장려한다. 실제로 이 회사의 황용운 연구소장 등을 포함 직원들 중에는 멘사 회원들이 다수 포함돼 있다.

정 대표는 한 사람을 기본 수준의 해킹에서부터 실제 단서들을 모아 창의적인 방법으로 보안을 뚫을 수 있는 방법까지 알아낼 수 있는 전문가들을 키우려면 상당한 시간이 든다고 밝혔다. 아직 작은 회사임에도 불구하고 기술연구소를 운영하는 것도 이 때문이다. 그는 사업적으로 접근하다보면 일에 치여 제대로 된 연구활동을 하기 힘든 경우가 많이 생긴다며 연구소를 통해 직원들이 자발적으로 아이디어를 낼 수 있도록 하고 있다고 말했다.

그러나 이 회사는 보안전문가를 키워 컨설팅서비스를 제공하는 곳이지 해커를 만드는 곳은 아니다. 모의해킹을 할 때도 기존 해커들과 달리 시스템을 정상 운영하는데 이상이 없도록 조심스럽게 접근한다. 다만 해킹을 알아야 이를 막는 방법도 알아 낼 수 있다는 기본적인 전제가 깔려 있는 것이다.

그는 과거에 다른 보안회사 근무시절에 자신을 포함한 보안컨설팅 담당 직원들이 밤 늦게까지 근무해도 야식 마저 마음대로 못 먹게 했다는 점에 대해서도 불만이 많았다. 보안전문가들이 열심히 일해도 그만큼의 보상을 받지 못하는 경우가 많았다는 지적이다. 때문에 정 대표는 1인당 매년 120만원을 사용할 수 있는 복지카드를 지급하고, 야식비도 제한없이 쓸 수 있도록 했다. 막차가 끊긴 직원들에게는 택시비를 지원하고 있는데 이 비용만 매달 1천만원씩 든다고 정 대표는 설명했다.

■전 직원 9명, 연구과제가 인사고과에 70% 반영

현재 9명 직원으로 운영되고 있는 타이거팀은 아예 전 직원들이 1인당 매년 2개의 보안분야 연구과제를 수행하도록 했다. 이는 인사고과에 약 70% 가량 높은 비중으로 반영된다.

황석훈 타이거팀 대표는 우리나라는 웹사이트에 대한 해킹만 걱정하는 경우가 대부분이지만 실제로 해커가 사이트를 뚫을 때는 다양한 방법을 사용하기 때문에 이에 대한 전방위 대비책이 필요하다고 밝혔다.

'타이거팀(Tiger Team)'은 원래 미국 국방성의 해킹전문가 그룹을 일컫는 말이다. 지금은 일종의 고유명사처럼 돼있어 우리나라에서도 한 때 정보기관에서 타이거팀을 운영하기도 했다. 긴급한 보안사고 등에 대처하기 위한 전문가 그룹을 만들자는 뜻에서 황 사장은 '타이거팀'을 회사명으로 정해 법인등록까지 마무리했다.

이에 맞는 전문가를 키우기 위해 이 회사는 매년 상반기/하반기에 전 직원들이 자신의 연구과제에 대해 발표하는 시간을 갖도록 한다. 각각 과제에 대해 전 직원이 점수를 매겨 평가한 뒤에 높은 점수를 받았고 후속 연구가 더 필요하다고 판단되는 과제에 대해서는 해당 직원에게 안식월을 주고 더 깊이 있는 내용까지 연구할 수 있도록 한다. 이렇게 모인 내용들은 백서 형태로 회사의 자산으로 쌓아두고 있다고 황 대표는 설명했다. 대리, 사원 등의 직급을 없앤 대신 연구과제의 실적에 따라 연봉을 차등지급하는 것도 이 회사만의 독특한 정책이다.

그가 이 같은 방침을 정한 것은 과거 보안회사 근무시절에 직원들을 '맨먼스(man month)'로만 따지는 문화에 질려서다. 기존 보안컨설팅 전문회사들이 고객사에 파견 보내면 한 달에 얼마를 벌 수 있는가만 따지고 정작 중요한 자기계발이나 연구활동에 대해서는 소홀히 한다는 것이다. 황 대표는 모의해킹이 가능한 전문인력들이 회사를 그만두는 이유 중 90% 이상이 고생해도 남는 것이 없기 때문이라고 꼬집었다.