[스타트업투데이] 해커가 보안 서비스를 제공하는 사이버 보안 스타트업 ‘스틸리언’. 스틸리언은 최근 박찬암 대표가 중소벤처기업부의 ‘존경받는 기업인’으로 선정되고, tvN 예능 프로그램 <유 퀴즈 온 더 블럭>에 출연하면서 그 어느 때보다도 뜨거운 관심을 한몸에 받고 있다. <스타트업투데이>는 스틸리언의 보안기술연구소에서 연구개발을 책임지고 있는 신동휘 부사장을 만나, 스틸리언이 주목받는 이유가 무엇인지,  ‘외계인의 기술을 훔친다(we STEAL ALIEN technology)’라는 목표는 잘 달성되어가고 있는지 샅샅이 파헤쳐봤다.

▲ 2015년 스틸리언에 합류한 것으로 알려져 있는데, 합류 과정이 궁금합니다.

- 박찬암 대표와는 2011년, 소프트웨어 업체 소프트포럼(SOFTFORUM)에서 처음 만났습니다. 이후, 보안업체인 라온시큐어까지 함께 거치면서 자연스럽게 스틸리언 창업을 논의하게 됐고, 지금까지 오게 됐습니다.

▲ 대학 겸임교수로도 활발한 행보를 보이고 있는데, 수강생들이 보안 분야에서 가장 궁금해하는 건 뭔가요?

- 서강대학교는 대학원 강의이고, 직장인들을 대상으로 강의하고 있기 때문에 현업에 도움이 될 내용에 관심을 보이는 것 같습니다. 아주대학교의 경우, 아무래도 기업에서 온 수강생들이 대부분이다 보니 회사 업무와 취업에 특히 관심을 보이는 것 같습니다.

▲ 그렇다면, 학교라는 틀을 제외하고, 일반 학생들이 보안 분야에서 관심을 보이는 것에는 어떤 게 있을까요?

- ‘무엇을 공부해야 하는가?’, ‘어떻게 공부해야 하는가?’, ‘어떤 순서로 공부해야 하는가?’를 가장 궁금해하는 것 같습니다.

그러나 제 개인적으로 가장 해주고 싶은 말은 어떤 것이든 어떤 순서든 상관없이 현재 손이 가는 영역에서 최선을 다해보라는 것입니다. 위와 같은 질문에 대한 답을 찾을 시간에 그게 무엇이든 하나라도 더 직접 해보는 것이 나은 선택이라고 생각합니다.

▲ 국내에 더 많은 사이버 보안 전문가를 육성하기 위해서는 어떤 정책·지원들이 필요하다고 보시나요?

- 현재 사이버 보안 전문가 육성은 양성이라는 틀 안에서 추진되고 있습니다. 그렇다 보니 누군가가 가르쳐주고 그걸 배우는 방식으로 진행되면서 대학이나 교육기관을 주로 활용하는 것이 너무나 당연한 일이 됐습니다.

그러나 이제는 사이버 보안 전문가를 전문 분야별로 세부적으로 나눠 각각의 특성에 맞게 인력 육성 방법을 달리 적용해야 합니다.

▲ 우선 해결과제가 있다면요?

- 정보보안 시장의 절대적인 규모가 커져야 매력적인 시장으로 비칠 수 있고, 그래야 훌륭한 인재들이 시장에 들어올 것이기 때문에 우선 시장을 키워야 합니다.

▲ 그렇다면, 시장을 확대하기 위해선 어떻게 해야 할까요?

- 많은 것들을 논의할 수 있겠지만 우선 두 가지 변화가 필요합니다. 획일화된 인건비 기준으로부터 탈피해야 합니다. 우리나라에서는 인건비 산출의 기준으로 학력, 경력 그리고 시간을 따집니다.

물론 이는 반드시 필요한 요소로도 볼 수 있지만, 기술력 측면에서는 상당히 미흡합니다. ‘기술료’라는 항목으로 산출할 수 있는 기준은 거의 사용하지 않고 있기 때문입니다.

▲ 업계에선 현재 어떤 방식으로 인건비를 산출하고 있나요?

- 대부분 ‘M/M x 단가’ 방식으로 인건비를 산출하고 사용하고 있는데, 이는 학력과 경력만을 기준으로 삼습니다. 개개인의 기술 능력이라는 것은 거의 반영되지 않는 거죠. 또 단가는 ‘2021년 적용 SW기술자 평균임금’에서 정의한 단가를 넘어서는 경우가 거의 없습니다.

개인의 역량이 뛰어나고, 인정받을 만한 성과가 있다고 하더라도 정해진 기준을 넘어설 수 없는 것입니다. 기술 난이도가 최상이라 하더라도, 많은 시간이 소요되지 않으면 그에 상응하는 비용을 받을 수 없는 구조입니다.

▲ 두 번째 방안은요?

- 예산 집행·감사 절차를 마련해야 합니다. 전 세계 정보보호 시장에서 가장 높은 가치로 평가받는 자산은 제로데이 익스플로잇 공격(Zero-day Exploit)입니다. 현재 예산 집행 및 감사 방식을 따르는 경우, 국내 어느 누구도 제로데이 익스플로잇 공격자산을 구매할 수 없을 것입니다.

▲ 구매할 수 없는 이유는요?

- 높아진 가치만큼 지불해야 하는 금액의 절대 규모가 크지만, 가치 평가 방식과 기술에 대한 평가 등이 모두 절대적인 투입 시간과 인력, 구현 기능 개수 등 정량적인 것에만 기반하고 있기 때문입니다.

가치 평가 방식 전부 시간·인력·기능의 정량적인 수치에 기반한다면 예산 집행 또는 감사 절차에서 지적 대상이 될 수밖에 없습니다. 따라서 어느 누구도 이를 무릅쓰고, 심지어 자신의 생업을 걸면서까지 업무를 추진할 수는 없을 것입니다.

▲ 변화를 위해 필요한 정책이 있다면요?

- 조건 없는 지원과 함께 ‘양성’이라는 틀을 포기한 양성이 필요합니다. 이 같은 지원의 필요성은 화이트 해커라면 더욱 절실하게 느낄 것입니다. 보안 전문가, 특히 화이트 해커는 누군가에 의해 만들어지는 것이 아니기 때문입니다.

정책과 지원이 이뤄지게 되면, 자연스럽게 성과를 기대하고 그 성과를 수치화하기를 원합니다. 예를 들어, 과거에는 1,000,000을 투자해서 1명의 보안 전문가를 양성했다는 성과를 제출했다면, 이제는 2,000,000을 투자해 2명의 보안 전문가 양성에 성공했다는 성과를 원할 것입니다.

▲ ‘양성’을 위한 양성을 반대하는 이유는요?

- 우수한 인재를 키워내는 일련의 과정은 제조업이 아니기 때문입니다. 수치화를 통해 얼마를 투자했고, 몇 명을 양성했다고 하는 것은 ‘인형 눈 붙이기’ 작업의 생산성 계산 방식에 적합하다고 생각합니다.

소프트웨어 분야에서 요구하는 인재는 공장에서 찍어내는 것과 같은 능력을 보유한 사람이 아닙니다. 우리는 현재 공장에서 찍어내는 것과 같은 능력을 보유한 소프트웨어 인력의 한계를 보고 있습니다.

인재도 사람입니다. 사람은 누구나 감정과 생각이 있고, 전성기와 슬럼프가 있습니다. 개개인의 상황에 맞게 기회와 시간을 주면서 성장할 때까지 기다려야 합니다. 단지, ‘4년제 교육을 받았으니까’ 혹은 ‘어떤 교육을 받았으니까’ 전문가가 됐다는 식의 사고방식을 버려야 합니다.

정보보안 분야 중 특히 화이트 해커 영역은 단순히 숫자가 중요한 것이 아닙니다. 1명의 우수한 인재가 낼 수 있는 능력이 100명의 능력을 뛰어넘을 수 있습니다. 다시 말해 개인의 능력 수준이 중요한 것이지, 절대적인 숫자가 중요한 것은 아닙니다.

제조업에 비유하자면, 단순 기능 제품을 대량으로 생산하는 것보다는 기능과 성능이 뛰어난 제품을 만드는 것이 더 높은 부가가치를 만들어 낼 수 있는 것과 같습니다.

▲ 현재 지원책의 가장 큰 문제점은 무엇이라고 보나요?

- ‘양성’이라는 표현은 좋지만 소프트웨어 분야에 적절하지 않은 방향으로 흘러가고 있다고 봅니다. 육성을 위해서는 조건 없는 지원과 기대하지 않는 정책을 펼칠 필요가 있습니다. 그렇다고 국가 차원에서 방관만 할 수는 없으니, 후견인 또는 부모의 마음으로 조건 없는 지원과 기다림의 미학을 가지며 ‘양성’을 포기한 양성을 추진하는 게 어떨까 합니다. 그렇다고 과정 자체를 낭비하자는 것은 결코 아닙니다. 중간에 필요한 장치를 최소화하며 기다림의 미덕을 수행해보자는 것입니다.

- 인터뷰②에 이어집니다.

[스타트업투데이=임효정 기자] hj@startuptoday.kr