오... 여기도?
배민이 만드는 인공지능 이야기
2022.04.13
작년 연말 우아한형제들 인프라보안팀이 <HDCON 해킹방어대회>에서 우승했다는 소식을 들었습니다. ‘ㅋㅋ팀’으로 대회에 출전해 우승까지 거머 줬다는 기쁜 소식을 배민다움today에도 담고 싶었는데요. 인프라보안팀 구성원들은 대회의 우승소식보다는 정보보호실이 어떻게 일하는지를 더 소개하고 싶다는 솔직한 마음을 전해주셨어요. 하긴… 도대체 어떻게 일을 하길래 같은 팀 동료들끼리 대회까지 준비하게 됐을까요? 인프라보안팀의 세 분을 만나 이 팀의 정체를 밝혀드립니다.
Q. 아이엠그라운드~ 자기소개하기!
🍅 현준: 안녕하세요. 저는 인프라보안팀에서 취약점 진단, 모의해킹 쪽을 담당하고 있는 권현준이라고 합니다.
🍌 주호: 저는 인프라보안팀에서 서트(Computer emergency response team의 약어. CERT)업무를 맡고 있는 이주호라고 합니다. 서트는 침해사고에 대한 전반적인 일이고요. 방패의 역할이라고 보시면 됩니다.
🥭 수호: 저도 주호님이랑 같이 인프라보안팀에서 서트업무를 맡고 있는 송수호라고 합니다.
Q. 이제 인사만 했을 뿐인데! 벌써 통역이 필요한 말들이 등장하기 시작했어요 ㅋㅋ 인프라보안팀이라고 하면 뭘 하는 곳이지? 아직 잘 모르는 분들도 많을 것 같은데요. 초등학교 3학년 조카에게 나의 일을 소개한다면?
🥭 수호: 삼촌들은 인터넷에서 나쁜 일들을 하는 사람들 찾거나, 막는 일을 하고 있어!
🍌 주호: 컴퓨터 세상의 경찰관이랄까?
🍅 현준: 안녕! 나는 너가 하는 게임머니가 날아가지 않게, 아이디를 잃지 않게, 해킹당하지 않게 막아주는 사람이란다.
Q. 오오오! 이해가 쏙쏙! 어떻게 보안의 일을 시작하게 되셨나요?
🥭 수호:저는 아주 어릴 때부터 컴퓨터에 관심이 있었어요. 중학교 때쯤 돼서 컴퓨터에 대한 윤리적인 문제라든지 사고적인 문제가 조금조금씩 뉴스에 나오기 시작했어요. 관심이 있으니까 그런 게 자꾸 들리더라고요. 그래서 그때 문득 나중에는 사이버 경찰이라는 게 생길 수도 있겠다! 생각했어요 ㅋ
Q. 당시에는 사이버 경찰이 없던 시절인 거죠?
🥭 수호: 네네 맞아요. 그때는 선생님한테 얘기하면 세상에 그런 직업이 어디 있냐고 약간 혼났던 시대였거든요 (웃음) 그래서 막연하게만 생각하다가 시간이 흘러 진짜 생기게 됐죠. 원래 관심이 많았으니까 해보자! 해서 무턱대고 시작했는데 지금 여기 앉아 있는 것 같습니다.
🍌 주호: 저는 원래 꿈이 그냥 일반 경찰이었는데요. 몇 년 동안 앉아서 공부를 열심히 해야… 될까 말까 더라고요. 그렇게는 도저히 못할 것 같았어요. 그러던 와중에 예전에 컴퓨터 프로그램 같은 거 이것저것 바꿔본 기억들이 나서 컴퓨터 분야에 관심을 갖다가 ‘사이버 수사대’라는 직업을 알게 됐고 사이버 수사대가 되는 걸 목표로 컴퓨터 공부를 시작했어요. 비록 경찰의 꿈은 접었지만, 덕분에 이렇게 멋진 직업을 갖고 인터뷰까지 할 수 있게 됐네요.
Q. 와… 뭔가 어릴 때부터 구체적인 꿈을 갖고 계셨던 것 같아서 열정이 느껴집니다. 세 분 모두 마침내 보안담당자가 되어 인프라보안팀에서 일하고 계시는데요. 여기서 ‘인프라’는 뭐가 있을까요?
🥭 수호: 예전에는 인프라라고 하면 좀 거창한 걸 생각했을 텐데요. 요즘에는 업무를 하기 위한 인터넷 관련된 모든 것이라고 보면 될 것 같아요. 클라우드, 노트북… 결국에는 다 인터넷으로 일을 하다 보니 회사와 관련된 전반적인 걸 보안을 인프라보안팀이 맡고 있죠.
Q. 보안을 담당을 한다는 게 위기의 상황 속에서 무언가를 지키는 일을 하는 거잖아요. 아무래도 위험하고 다이나믹한 경험들도 많으셨을 것 같은데, 가장 위기의 순간이 있다면?
🥭 수호: 위기는 결국 대부분 사고랑 연결되니까 보안관계상 공개하기가 어려울 것 같고요. 공개 가능한 수준으로 말씀드리자면 해킹 사고라든지 아니면 언론에 나왔던 여러 가지 사고들을 직접 대응하거나 분석했던 경험들이 있기도 한데 그럴 때는 매번 위기였던 것 같아요. 원인을 못 찾으면 어떡하나… 또 이런 사고가 발생하면 어떡하나.. 그런 걱정들이 사실 대표적인 케이스를 뽑을 수도 없고, 저희에게는 매 순간이 위기죠.
Q. 정보보호의 미션은 사실 아무 일이 일어나지 않는 것이잖아요. 그럼 성과측정은 어떻게 하나요?
🥭 수호: 평소에 아무 일이 없으면 ‘아무 일이 없는데 너네 왜 있냐?’ 반대로 무슨 일이 터지면 ‘터지는 동안 너네 뭐 했냐?’ 이런 농담이 있어요 (ㅋㅋㅋ) IT업계에서는 보통 프로젝트 단위로 계획을 짜거든요. 이번 프로젝트에서는 이런 부분을 좀 보완해보자! 해서 그게 어떤 효과를 이뤘는지 성과로 측정하기도 하고, 또 사고가 조기에 발견돼서 어떻게 빠르게 대처를 했는지, 어떤 사고가 일어날 수 있었는데 조기에 막았다든지… 이런 것들이 사고를 대응하는 입장에서는 성과로 볼 수 있을 것 같아요.
Q. 근데 그 성과랑 성취감이 일치하지 않을 때도 있잖아요. 개인적으로 가장 성취감을 느낄 때는 언제인가요?
🍅 현준: 성취감이요, 음… 이건 진짜 근데 사람 성격에 따라 조금씩 다 다르지 않을까 개인적으로 생각이 드는데요. 저는 성취감을 얻으려면 누군가가 저희가 일을 하고 있다는 걸 알아줘야 됩니다 (웃음) 저희는 어찌 보면 눈에 보이지 않게 움직이는 집단이거든요. 뭔가를 막 크게 프로젝트를 한다거나 이런 느낌이 아니라 조용히 아무 일도 없게 만드는 게 목적인 집단이기 때문에 잘 눈에 띄지 않아요. 띄지 않는데 그럼에도 누군가가 알아주면? 좋죠… 그때 뿌듯함을 느껴요.
Q. 엇, 현준님 얘기를 들으니 갑자기 궁금한 게 생겼는데요. 말씀해 주신 것처럼 보안 업무라는 게 아무 일도 없어야지 잘 굴러가고 있는 거잖아요. 그럼 만약에 현준님이 지금 하고 있는 업무를 안 한다면? 만약에 우리 회사에서 인프라보안팀이 없다면? 배달의민족 앱은 어떻게 되나요?
🍅 현준: 이건 바로 말씀드릴 수 있을 것 같은데요. 만약에 저를 포함해서 정보보호실 자체가 아예 없다? 앱은 잘 굴러갑니다. 서비스는 굴러가는데요.
Q. 아 그런가요? 그럼.. 왜…
🍅 현준: 그런데 뉴스에 자주 나올 겁니다.
Q. (ㅋㅋㅋ) 네? (ㅋㅋㅋ)
🍅 현준: 개인 정보 유출 이슈가 있을 수도 있고, 공격을 당해 서비스 장애가 나서 복구가 어려워서 뉴스에 토픽으로 많이 나올 것 같습니다.
Q. 상상만으로도 끔찍한데요. 그러면 사람들이 배민 앱을 쓸 때 좀 믿음을 만들어주는 거라고 볼 수도 있겠네요.
🍅 현준: 그렇죠. 보안은 일종의 고객 서비스니까요. 고객과의 신뢰죠. 고객들이 ‘이 서비스는 안전하구나’하는 믿음을 주시고, 저희는 그 믿음에 보답을 해야 하니까요. 믿음을 만들어가는 팀이라고 볼 수도 있겠네요.
Q. 믿음 메이커! 너무 든든합니다. 또 다른 분들은 일할 때 어떤 부분에서 성취감을 느끼시나요?
🥭 수호: 대응하는 입장에서는 가설을 아주 많이 세우거든요. 다른 외부의 사고 사례라든지 이런 동향들을 보기도 하고 또 저희가 운영하다 보면 이런 사고도 발생할 수 있지 않을까? 이런 식으로 공격이 들어올 수도 있지 않을까? 하고 미리 몇 개씩 막아놓는 절차들이 있어요. 근데 저희가 세워놨던 가설에 정확하게 딱 맞아떨어지는 공격이 들어왔고 그걸 완벽하게 막아냈을 때! 서비스 담당자분들이나 실제 사용자들이 그걸 전혀 눈치채지 못하고 저희가 다 대응했을 때! ‘아 뿌듯하다’ 이런 느낌이 들고 저희끼리 자축을 하죠.
Q. 수면 위로는 고요한데 물밑으로 치열한 싸움이 벌어졌던 거군요. 말만 들어도 희열이 가득 차요. 약간 베트맨 같은?
🥭 수호: 저는 그럴 때 약간 ‘손맛 있다’고 표현합니다.
Q. 손맛 있다! 하하하. 손맛이 이런 순간에 등장할 수 있군요. 그럼 주호님에게 손맛 있는 순간은 언제일까요?
🍌 주호: 저는 우아한형제들 정보보호실에서 그리는 어떤 큰 그림이 있다고 보거든요. 그래서 제가 맡은 서트(CERT) 업무도 그 일부분이겠고, 그 안에서 또 큰 그림이 있고 단계별로 미션을 해결해 나가고 있는 거죠. 그 작은 부분 부분이 한 단계씩 발전해 나갈 때 큰 그림을 이뤄나가는 거라고 생각해요. 뒤돌아보면 내가 이것도 했고, 이것도 했고, 이것도 했구나… 그리고 1년 전, 2년 전, 3년 전과 비교했을 때 이런 게 좋아졌고 이런 게 나아져서 우리가 이런 해킹 사고 이슈들을 먼저 예방하고 방어할 수 있었구나… 이런 부분들이 느껴질 때 큰 성취가 오는 것 같습니다.
Q. 크… 숲을 그리며 나무를 심고 계신 거군요. 그럼 주호님이 말씀해주신 큰 그림. 인프라보안팀의 큰 목표가 뭔지도 말씀해 주실 수 있나요?
🍌 주호: 음.. (웃음) 저희끼리 우스갯소리이긴 하지만. 정보보호실 실장님이 자주 하시는 말씀인데 저희 우아한형제들에서 보안팀이 사라지는 게 목표라고 합니다.
Q. (당황) 네…..? 인프라보안팀, 정보보호실이 사라진다고요?
🍌 주호: 많은 의미가 있는 말이죠. 그만큼 기술적으로 보안 수준을 많이 구축해놔서 우리가 신경 쓰지 않아도 다 자동으로 보호가 되고, 구성원분들의 정보 보안 수준도 높아져서 우리가 경각심을 심어드리지 않아도 다 알아서 챙기는… 그게 정보보호실의 큰 그림입니다.
Q. 그 그림을 현실로 만들기 위해서는 저도 정보 보안 수준을 높이는데 힘써야겠어요 ㅋㅋ 인프라보안팀! 하면 해킹방어대회 이야기를 안 하고 넘어갈 수는 없을 것 같은데요. 무려 우승을 하셨거든요! 이게 어떤 의미일까요?
🍅 현준: 일단은 이게 참 민망한 게 ‘해킹 대회’라고는 되어 있는데 실제로 해킹을 하거나 하는 건 아니고, 누가 조금 더 구체적이면서 좋은 아키텍처 설계를 그려냈냐 이런 거를 경쟁하는 그런 대회였어요. 그래서 조금 민망한 점도 있지만 우승을 통해서 단순하게는 ‘지금까지 해왔던 게 틀리지 않았다’라는 것에 대한 믿음이 생기는 계기였어요. ‘아, 이대로 가도 되겠구나..’ 하면서 다른 사람들로부터 인정을 받았고, 이걸 통해서 우리 회사 이미지도 조금은 좋아지지 않았을까요?!
Q. 그럼요. 기분 좋은 소식을 주셔서 너무너무 감사했어요. 그래서 인프라보안팀에 더 관심을 갖고 이 팀은 어떤 일을 할까? 궁금해졌고 찾다 보니 정말 이야기가 많은 팀이더라고요. 게더타운에서 같이 모여서 일을 한다거나, 이수고(이번 주도 수고하셨어요) 타임, 로테이션 타임 등 팀 자체적으로 운영하는 프로그램들이 참 많던데요. 이게 보안이랑 무슨 상관이지? 싶기도 해요. 솔직히 일에 도움이 되나요?
🥭 수호: 아, 이게 생각보다 굉장히 도움이 많이 되고 있어요. 저는 이런 프로그램들이 생기기 전과 후를 모두 경험해봤거든요. 많은 차이가 있어요.
Q. 구체적으로 어떤 차이를 느끼셨을까요? 수호님이 게더타운 건물주라고 들었는데 (웃음) 이건 어떻게 하게 된 거예요?
🥭 수호: 제가 작년 1월에 입사했는데 아직도 실제로 못 만난 분들이 있어요. 어떤 분일지 궁금하기도 하고 좀 알아가고 싶은데, DM으로 물어보기도 좀 애매하고…ㅋ 그래서 하루에 30분, 1시간씩이라도 좀 수다 떨 수 있는 자리가 있었으면 좋겠다고 팀에 아이디어를 냈더니 그게 채택이 돼서, 그럼 어떻게 할까 🤔 고민하다가 게더타운을 이용하면 뭔가 부담스럽지도 않고 다들 편하게 생각해서 게더타운에서 모이게 됐어요.
Q. 그러면 업무 하실 때 항상 게더타운에 들어가 있는 건가요?
🥭 수호: 아니요. 일주일에 한 번 정해놓은 시간이 있어요. 팀끼리 한번, 실 전체가 한번. 이런 식으로 하고 있는데요. 새로 입사하신 분들이 한결 쉽게 적응하시는 것 같고, 대화할 때 확실히 좀 더 편해진 것 같아요. 라디오처럼 계속 들으면서 자기 할 일을 하는 분들도 계시고, 그냥 수다 떨다가 나가시는 분도 계시고요.
Q. 송파구에서 일 잘하는 11가지 방법 중 “잡담이 경쟁력이다”를 제대로 실천하고 있는 정보보호실이네요 ㅋ 로테이션 타임(rotation time)도 정보보호실 안에서 랜덤으로 조를 짜서 수다를 떠는 시간이라고 들었어요.
🍌 주호: 네 맞아요. 사다리를 타서 조를 짭니다 (ㅋㅋ) 강제성은 없는데 다들 로테이션 타임을 좋아하더라고요.
🥭 수호: 일하다가 쌓인 답답함이나 감정을 로테이션 타임에서 풀어놓기도 해요. 음… 제가 이걸 하고 있는데 너무 안 된다.. 너무 힘들다…라고 얘기하면 그거에 대해서 알고 계신 분들이 다 같이 붙어서 얘기도 해주고 좀 허심탄회하게 얘기할 수 있는 자리가 만들어지다 보니까 서로 간의 업무든 생활이든 벽이 조금씩 없어졌던 것 같아요.
Q. 그거 정말 중요한 부분인 것 같아요. 가까운 동료들끼리 솔직한 이야기를 털어놓을 수 있는 관계가 되면 일도 금방 몰입이 되더라고요. 어쩐지 인프라보안팀이랑 같이 일할 때 보면 맥락에 대한 설명을 정말 쉽고 친절하게 해 주셔서 인상적이었거든요. 들을수록 정말 매력적인 팀이다.. 싶은데요. 그냥 아예 대놓고 팀 자랑을 해주신다면?
🍅 현준: 이건 아마 우아한형제들 공통일 것 같은데요. 인프라보안팀은 채용이 까다로운 걸로 굉장히 유명한 팀이거든요. 그 과정을 다 겪고 들어오신 분들이기 때문에 모두 자랑할 만한 역량을 가지고 계시지 않을까? 당당하게 말씀을 드릴 수 있을 것 같고요. 이번에 해킹방어대회 나가면서 다른 분들의 기술이나 생각을 들어보면서 참 놀라웠어요. 일하면서도 놀라울 때가 많고, 그때마다 많이 배우기 때문에.. 이런 사람들과 같이 일하고 싶지 않으신가요? 하하.
Q. 여기저기서 들어가고 싶다고 하는 소리가 들리는 것 같은데요. 어떻게 하면 같이 일할 수 있죠? 인프라보안팀에서 중요하게 보는 부분이 뭔지 좀 알려주세요.
🍅 현준: 저희는 커뮤니케이션이 진짜 중요한 능력이에요. 보안이라는 분야는 어디서 사랑받을 수 있는 분야는 절대 아니거든요. 저희는 늘.. 조금 심하게 얘기하면 약간 배척받을 수밖에 없어요. 더 좋은 서비스를 빨리 만들어서 제공하는 게 경쟁력인 세상에 보안은 그걸 막는 역할을 어쩔 수 없이 하게 되잖아요. “이렇게 하시면 안 돼요. 저렇게 하시면 안 돼요. 이것도 하시고요. 저것도 하세요.” 이게 보안의 일이거든요. 커뮤니케이션을 제대로 못하면 뭔가 저희가 지시를 내리는 것처럼 강압적으로 느껴질 수도 있고 개발자나 기획자와의 관계가 틀어질 수 밖에 없어요. 저희 실 분들은 뭔가를 요구해야 되는 일을 기분 상하지 않게 상대를 잘 배려하면서 커뮤니케이션해왔던 것 같아요. 이번에 HDCON 해킹방어대회 우승 소식에 많은 개발자, 기획자 분들이 내 일처럼 기뻐하시고 축하해주셨는데, 아마도 이런 반응은 정보보호실 동료들의 커뮤니케이션 능력 덕분이 아닐까… 자랑하고 싶어요.
Q. 그럼 인프라보안의 일을 하는데, 우아한형제들이라서 특별한 점이 있을까요?
🍌 주호: 보안팀에서 하는 업무 자체가 아직까지는 좀 불편한 존재라고 여기는 회사가 많거든요. 그런데 우리 회사는 보안 업무가 잘 되도록 도와주시는 분들이 좀 많은 것 같아요. 그러다 보니 상호작용이 굉장히 잘 되는 편입니다.
Q. 세 분과 이야기하다 보니, 하고 있는 일을 정말 좋아한다는 게 느껴져요. 보안이라는 일이 어디서 사랑받을 수 있는 분야는 아니라고 하셨는데 여기 담당자들이 충분히 사랑하고 있어서 빛나는 일이랄까요. 보안 담당자로서 지금도 계속해서 하고 계신 노력이 있으실까요?
🍅 현준: 노력이요? 노력… 공부인 것 같아요. 지금 고3 때보다 공부를 더 많이 하는 것 같거든요. 학생 때 하는 공부보다 지금 훨씬 많이 하고 있어요.
Q. 일을 하면서 공부도 하시는 게 정말 쉽지 않을 텐데요. 시간 관리는 어떻게 하시는 거예요?
🍅 현준: 저는 보통 일요일에 스터디를 몰아요. 몰아서 오전 9시부터 12시까지 온라인 스터디를 하고 3시부터 7시까지 오프라인 스터디를 하고 이렇게 하거든요. 그리고 해킹방어대회처럼 대회를 나간다든가 이것도 엄청 공부가 됩니다.
Q. (정적…) 세상에… 주말에 너무 힘든 거 아니에요?
🍅 현준: 토요일엔 놉니다 ^^
Q. 보안 담당자로서 이루고 싶은 목표가 있으신가요? 여기까지 한번 해보고 싶다?
🍅 현준: 저는 목표가 되게 단순한데요. 누가 제 이름을 딱 들었을 때 보안하는 사람임을 알았으면 좋겠고요
제 이름을 딱 들었을 때 한 100명 중에 한 명 정도만 알아도 저는 성공했다고 생각을 하거든요. 제가 약간 관종이라 그런 것 같기도 하고요. 회사에서 누군가가 저를 찾을 때 “그래, 현준님한테 물어보면 되겠다!” 이렇게 나와야지 “음… 현준님? 글쎄…” 이런 반응이 안 나왔으면 좋겠는 게 제 바람이죠.
🍌 주호: 우아한형제들의 보안 수준을 세계! 세계 너무 컸나요…. 국내 찍고 세계로 가야 할까요 ^^ 세계 최고 수준으로 높이는 게 목표입니다.
🍅 현준: 녹화되고 있죠? (모두 웃음ㅋㅋㅋㅋㅋ)
Q. 와, 세계 최고라! 그런 원대한 목표를 우아한형제들에서 세운 이유가 있을까요?
🍌 주호: 일단 우리 회사는 보안 업무를 하기 굉장히 좋은 회사인 것 같아요. 다양한 이유가 있겠지만 저는 그중에 큰 이유 중에 하나가 각 도메인 팀 개발자나 기획자가 본인의 서비스를 너무 사랑하세요. 그래서 저희가 보안적으로 요구 사항이라고 했지만, 서비스를 좀 더 안전하고 조금 더 높은 신뢰도와 완성도의 서비스를 만드는 데 도와주는 역할로 받아들여 주시거든요. 그럼 보안의 일을 진심으로 고마워해 주시고요. 이미 이런 문화가 형성되어 있어서 가능성이 매우 높죠.
Q. 마지막으로 우아한형제들 인프라보안팀에 지원하고 싶은 분들에게 해주고 싶은 말이 있다면?
🥭 수호: 저희는 모든 질문에 명확하게 답을 드리는 그런 조직은 아니에요. 그런데 답을 찾기 위해서 함께 고민하는 분들이 많이 계신 곳이니까 일단 오셔서 같이 고민했으면 좋겠어요.
🍅 현준: 저는 보안 일을 시작하려고 하시는 분들한테 말씀을 드리자면, 요즘 개발자 채용이 엄청 많이 이루어지고 있잖아요. 광고도 엄청 많이 하고 경쟁이 치열한데 보안 쪽은 그렇게 엄청나게 사람을 많이 뽑는다거나 이런 분야는 아니에요. 소수정예로 이루어진 편이죠. 전체 개발자 수에 비하면 저희도 굉장히 소수이고요. 공부할 것도 많고 진입 장벽은 높지만 그만큼 약간 유니크하다! (ㅋㅋ) 누구나 다 경험해 볼 수 있는 업무는 아니지만, 이 분야에서 스페셜리스트가 되고자 한다면 도전해 보셨으면 좋겠어요. 단, 끊임없이! 인내심을 갖고! 하셔야 한다는 걸 꼭 말씀드리고 싶어요.
🍌 주호: 저희 정말 행복하게 일하고 있고요. 하고 싶은 것들 많이 하면서 또 자기의 목표와 어떤 꿈을 이룰 수 있는 환경이 잘 갖춰져 있으니까요. 도전해 주시고, 또 같이 재미있는 거 많이 할 수 있으면 좋겠습니다.
글 주소가 복사되었습니다.