원우

과학기술정보통신부 정보보호 정책수행 성과평가 1위 달성 참여진
1. 박기현 기술원, 2. 신미주 기술원, 3. 임수민 기술원, 4. 강효수 선임기술원, 5. 이용주 선임기술원, 6.송태길 책임연구원, 7.임창현 사이버보안팀장

Q. 2024년 1월 KAERI 우수성과로 선정된 소감은?

   임창현 사이버보안팀장   21년 연구원에서 발생했던 해킹 사고의 재발 방지 및 전반적인 정보보안 수준 향상을 위한 그동안의 노력을 정부와 연구원으로부터 인정받게 되어 기쁩니다.

Q. 이번 연구성과에 관해 간략히 소개하자면?

  임창현 사이버보안팀장   정보보호 정책수행 성과평가는 과기부 주관으로 산하 공공기관의 정보보안 및 개인정보보호 전반에 대한 성과를 상대 평가하는 제도입니다. 우리 연구원은 전체 65개 기관 중 상당한 차이(평균 대비 158 %)로 종합 1위를 달성하였습니다.

Q. 앞으로의 계획 및 하고픈 말이 있다면?

  임창현 사이버보안팀장   사이버 위협은 눈에 보이지는 않지만 실제로 존재합니다. 특히, 원자력 핵심 국가 공공기관인 우리 연구원에 대한 사이버공격 수준은 나날이 증가하고 있습니다. 우리 사이버보안팀은 2021년 이후 24시간 365일 상시 비상근무 체계를 유지해야 할 정도로 열심히 일하고 있습니다.
  연구원의 중요 연구성과를 해킹으로 허무하게 탈취당하거나, 개개인의 헌신과 노력이 정보보안 위반으로 인해 폄하되는 일이 발생하지 않도록 앞으로도 정보보안 업무에 관심과 적극적인 협조를 부탁드립니다.

Q. 어떤 일을 하시는지 간략하게 알려주세요.

  임창현 팀장   우리 사이버보안팀은 정보보안 전 분야의 위험 관리 업무를 수행합니다. 연구원을 타깃으로 한 해킹 공격에 대응하고 내부의 중요 자료를 보호하는등의 일들을 하고 있습니다.

Q.어떤 계기로 KAERI에 들어오게 되셨는지 궁금합니다.

  임창현 팀장   첫 직장 생활은 2000년대 중반 타 기업에서 SW 개발자로 대규모 정부 시스템을 개발하는 프로젝트에 참여한 것이었는데요. 중요성이나 투입되는 자원에 비해 해킹에 취약한 허점이 많다는 사실을 알게 됐어요. 당시만 해도 보안이라는 개념이 낯설었고, 보안 조치는 소모적인 비용이라는 인식이 강했거든요. 하지만 인터넷 관련 기술이 발전할수록 사이버 보안의 중요성도 커질 것으로 생각했죠. 그래서 정보보호전문가(CISSP), 정보시스템감사사(CISA) 자격을 획득하고, 여러 해킹방어대회에서 입상해 정보보안 전문가로 진로를 변경하게 됐어요. 이후 21년도에 KAERI의 정보보안 전문가 채용 공고를 보고, 도전 의식과 함께 기여에 대한 확신이 있어 합류하게 됐습니다.
  박기현 기술원   대학교 신입생 시절 호기심으로 보안동아리에 들어가게 됐고, 해킹을 처음 접하며 사이버 보안에 관심을 가지게 됐어요. 시작한 건 끝을 보자는 마음으로 보안 연구실과 국가 지원 프로그램에 참여하며 지금까지 달려왔습니다. KAERI를 알게 된 건 21년 보안사고 기사였는데요. 사고가 발생할 만큼 국가적으로 중요한 연구원이라는 생각도 들었지만, 반대로 사이버 보안 담당자로서 업무에 성취감을 얻을 수 있겠다고 생각해 입사를 지원하게 됐습니다.

1월 우수성과와 관련해 가장 기억에 남는 에피소드가 있나요?

  임창현 팀장   정보보안은 기관의 규모가 클수록, 다루는 정보가 중요할수록 어려워져요. KAERI는 국내 유일 원자력 종합 연구기관으로 정보보안을 어렵게 하는 두 가지 요건을 가지고 있어요. KAERI는 물리적인 보안이나 안전 분야는 상당한 수준이지만, 정보보안 분야는 여러 취약한 부분이 노출된 상태였습니다. 그래서 저희 팀은 이런 부분들을 최대한 보수적인 관점으로 개선하는 것에 중점을 두고 업무를 처리했어요. 한번은 다양한 기관들이 모인 정보보안 협의체에서 우리가 시도했던 보안 개선 사례들을 발표한 적이 있었는데요. 다른 기관의 보안 업무 관계자들이 긍정적인 반응을 보이며 크게 놀라워했던 기억이 납니다.

사이버위기대응상황실(통합보안관제시스템-SIEM(Security Information and Event Management)) 운영

우수성과 달성을 통해 얻으신 교훈은 무엇인가요?

  박기현 기술원   보이지 않는 노력도 인정과 성취로 이어진다는 것을 배웠습니다. 사이버 보안 업무는 치열하지만 가시적인 성과를 보이기 어려워요. 해킹 위협을 발견하고 막아내는 과정은 눈에 띄지 않을뿐더러, 수많은 예방활동은 사고가 나지 않는 이상 불편함만 초래한다고 오해받기 십상이거든요. 그럼에도 불구하고 사이버 보안이라는 사명감을 가진 팀원 모두의 노력이 인정받을 수 있는 값진 시간이었다고 생각합니다.

우리 팀의 가장 큰 매력은 무엇이라 생각하나요?

  임창현 팀장   정보보안의 최전선에서 도전적인 업무를 수행하면서 정보보안 전문가로서 자부심을 느낄 수 있다는 것입니다. 또한 최신 기술을 활용한 공격에 대응하는 과정에서 다양한 문제 해결 능력과 창의적으로 생각하는 방법을 배울 수 있다는 점도 큰 매력이에요.
  박기현 기술원   문제를 대하는 태도와 협력이라고 생각해요. 사이버 보안 업무는 매일 새로운 문제와 마주합니다. 국가적 해킹 위협이 발발하거나, 갑작스런 침해사고가 발생하기도 하죠. 이때 팀의 매력이 나타나요. 팀원 중 한 명이 이슈를 공유하면, 나머지 팀원 모두 그 문제에 대해 같이 고민합니다. 각자 생각하는 해결 방법을 제시하고, 서로 피드백하며 최적의 방안을 모색합니다. 특히 팀장님께서 폭넓은 경험과 지식, 노하우로 팀이 올바르게 나아갈 수 있게 큰 도움을 주고 계십니다.

한국원자력연구원 사이버보안 심층방호(Defense in Depth) 체계영

Q. 날이 점점 따뜻해지고 있습니다. 올봄은 어떻게 보낼 계획이신가요?

  임창현 팀장   정보보안 실무를 하고 있다는 핑계로 열심히 못 하고 있지만, 학술적인 논문에 대한 의지는 항상 있습니다. 새로운 해킹기법 관련 논문을 올봄에는 꼭 마무리하려고 합니다. 좋은 결과가 나오면 우리 연구원 및 관련 중요한 기관들의 보안 수준 향상에도 도움이 될 수 있을 것이라 생각합니다.
  박기현 기술원   작년 봄은 입사 초여서 긴장된 상태로 보냈던 기억이 나요. 한해가 지난 만큼 안정되고 넓어진 시야로 사이버 보안 팀원으로서 기여할 방법을 고민해 보려고 합니다. 개인적으론 매일 꾸준하게 보내고 싶어요. 운동하고 공부하면서 말이죠. 남들이 보기엔 지루해 보이지만, 지나고 보면 이것만 지켜도 ‘잘 살았구나’라는 생각이 들게 해주더라고요.

Q. 끝으로, 연구자로서 가지고 계신 좌우명을 알려주세요.

  임창현 팀장   ‘보안은 완성된 결과물이 아니라, 과정이다(Security is not a product, but a process)’ 미국의 저명한 암호학자인 브루스 슈나이어가 한 말인데요. 여러 의미에서 정보보안을 가장 잘 표현한 말이라고 생각합니다. 우리가 매일 접하는 정보화 환경은 정적이지 않아요. 그 속에 있는 우리의 지식이나 관점도 변하고요. 이런 변화 속에서 정보보안은 세심하고 지속적인 주의와 관리, 개선을 위한 노력이 필요합니다. 이점을 항상 기억하려고 합니다.
  박기현 기술원   ‘세상이 필요로 하는 사람이 되자’ 입니다. 사이버 보안이란 IT 기술의 가속화 속에서 적응하고 새로운 답을 찾아가는 영역이라 생각합니다. 급변하는 세상 속에서 한 걸음씩 걷다 보면 어느 순간 사이버 보안인으로서 세상이 필요로 하는 사람이 되지 않을까 생각합니다.