인터뷰
오병일 : 원래 직업은 의사이셨던 것으로 알고 있습니다. 컴퓨터 바이러스 백신 프로그램을 만들게 된 계기는 무엇이었는지요?
안철수 : 88년 초에 브레인 바이러스가 우리나라에 상륙했고, 제 컴퓨터도 그 바이러스에 감염되는 경험을 하게 되었습니다. 마침 기계어를 공부하고 있던 터라 그것을 분석하고 치료 방법까지 터득할 수 있었습니다. 의학 용어를 따서 ‘백신(VACCINE)’이라 이름 붙이고 일반인들이 사용할 수 있도록 공개했죠.
오병일 : 95년도에 ‘안철수컴퓨터바이러스연구소’를 설립하면서 의대교수라는 직업을 버리고 사업을 시작하셨는데 쉽지 않은 결정이었을 것 같습니다. 많은 고민이 있으셨을 텐데 사업을 하기로 결정하신 이유는 무엇인가요?
안철수 : 둘 중 하나를 선택해야 할 시점이 되었을 때, 오랜 고민 끝에 과거의 성과보다 앞으로 보람있게 할 수 있고 사회에 기여할 수 있는 일을 하는 것이 좋겠다는 결론을 내려 백신 개발 쪽을 선택하게 되었습니다. 또한, 의사는 많았지만 백신 개발을 이어서 할 사람은 나밖에 없었기 때문에 사명감이나 책임감도 작용했던 것 같습니다.
오병일 : 지난 2003년 1.25 대란과 같이 정보화가 진척될수록 인터넷 보안사고 역시 확산되고 있습니다. 국내 보안사고의 피해 실태는 어떠한가요?
안철수 : 국내적으로도 바이러스, 해킹 때문에 막대한 손해를 입고있을 뿐만 아니라, 국제 사회에서도 다른 나라에 폐를 끼치는 문제 국가로 전락하고 말았습니다. 인터넷 속도를 향상시키는 데만 집중적으로 투자하고, 정보보호에는 소홀한 결과죠. 2002년 11월에 전 세계 정보보호 전문가들이 모인 가운데 서울에서 개최된 ‘바이러스에 대항하는 아시아 연구자 연합(AVAR, Association of anti-Virus Asia Researchers)’ 국제 회의는 바이러스를 비롯한 악성 프로그램으로 인한 문제가 단지 개인이나 기업, 한 나라의 문제에만 그치지 않고, 국제 사회에서 국가의 신인도에 큰 영향을 미칠 수 있다는 점을 인식하게 해주는 계기가 되었습니다. 외국의 발표자들이 발표한 자료에서 공통적으로 눈에 띄는 부분은 우리나라가 와일드 리스트(wild list, 현재 활동 중인 바이러스 목록) 숫자에서 아시아 1위, 그리고 일단 바이러스에 감염된 다음에 다시 다른 나라를 공격하는 나라로는 세계 4위에 랭크되었다는 사실입니다. 같은 때 프랑스에서 열린 인터넷 관련 워크샵(Internet Measurement Workshop 2002)에서 발표된 한 연구 결과에 따르면 2001년 전 세계를 떠들썩하게 했던 코드레드 웜의 피해 국가 2위가 바로 우리나라였습니다. 반면 복구 속도는 피해 상위 10개국 중에서 8번째로 밀려 있었습니다.
오병일 : 국내 업체들의 보안에 대한 인식이나 투자수준은 어느 정도인가요?
안철수 : 과거 컴퓨터 보안 사고는 컴퓨터 바이러스나 해킹에 침입을 당한 사람만 피해를 보았습니다. 그러나 최근에는 이러한 상황이 완전히 바뀌어, 한 컴퓨터가 감염이 되면 이 컴퓨터는 다시 다른 컴퓨터들을 공격하는 전진기지가 돼버립니다. 이제는 피해자와 가해자가 따로 있는 것이 아니라 피해자가 동시에 가해자가 되어버리는, ‘피해자=가해자’의 등식이 성립되는 세상이 돼버린 것입니다. 이러한 패러다임의 변화에도 불구하고 우리나라의 보안의식은 여전히 아주 미미한 수준에 머물고 있습니다. 심지어는 ‘발전을 위해서는 어느 정도의 위험은 감수한다’는 생각이 미덕처럼 여겨지고 있는 것이 사실입니다.
오병일 : 인터넷이 보안적으로 취약할 수밖에 없는 것은 그 개방성 때문이기도 할텐데요.
안철수 : 열 명의 경찰이 한 명의 도둑을 잡기 힘들다는 말이 있습니다. 이 말은 인터넷에서도 그대로 통용됩니다. 오히려 갈수록 공격은 더 쉬어지고 막기는 더 어려워지는 추세입니다. 거기에는 몇 가지 이유가 있는데, 가장 큰 이유는 인터넷의 개방성 때문입니다. 인터넷이 급속하게 보급된 이유는 내 컴퓨터로 인터넷에 연결된 어떤 컴퓨터에도 접속할 수 있으며, 반대로 어떤 컴퓨터도 내 컴퓨터에 접속할 수 있기 때문입니다. 인터넷의 최대 장점인 이러한 개방성은, 정보보호 관점에서는 최대의 단점이 될 수밖에 없습니다. 모든 곳이 열려있는 상황에서 그대로 두자니 어디로 도둑이 들어올지 알 수 없고, 그렇다고 모두 막아버리면 인터넷을 사용하는 이유가 없어져 버리는 셈이죠. 인터넷의 개방성을 최대한 살리면서 동시에 정보보호를 하는 것은 두 마리의 토끼를 동시에 잡는 것보다 어려운 일입니다.
둘째, 인터넷에 접속된 하드웨어 장비들과 응용 소프트웨어들이 복잡해지고 있기 때문입니다. 예전에는 이메일과 웹 정도만 사용하던 수준에서 이제 거의 모든 업무들을 인터넷을 통해 처리하다보니 시스템의 구성이 매우 복잡해지기 시작했습니다. 시스템이 단순했을 때는 허점도 금방 찾을 수 있고 그 수도 많지 않았지만, 이제는 인간의 능력으로는 도저히 모든 허점을 찾을 수 없을 정도로 복잡성도 증가하고 그 수도 엄청나게 많아지게 되었습니다.
셋째 이유는 해킹 기술의 발달입니다. 예전에는 컴퓨터 바이러스나 해킹 기술도 비교적 간단한 수준이었습니다. 그러나 이제는 암호화나 스텔스(stealth) 기법과 같은 고도로 발달한 기술들이 여기에 접목되고, 심지어 전혀 다른 영역이었던 컴퓨터 바이러스 기술과 해킹 기술까지 합쳐지면서 엄청난 파괴력이 있는 새로운 기술들이 계속 탄생하고 있습니다.
넷째는 이러한 해킹 기술들이 인터넷을 통해 서로 공유되면서 상승작용이 일어나고 있는데 있습니다. 예전에는 보통 해커들이 혼자서 독립적으로 연구했는데, 이제 인터넷을 통해 해커들끼리 그룹을 형성하고 쉽게 공동작업을 하게 되었습니다. 나아가 초보자도 바이러스 제작이나 해킹을 쉽게 할 수 있도록 도와주는 툴(tool)까지 인터넷상으로 배포가 되고 있습니다.
다섯째는 관리의 어려움에서 기인합니다. 조직 내에서 사용하는 컴퓨터의 수가 많아지고 응용범위가 넓어짐에 따라 몇 사람의 관리자가 모든 전산 자원을 완벽하게 관리하는 것이 사실상 불가능해지고 있습니다. 이제는 컴퓨터를 쓰는 모든 사람의 참여가 없이는 정보보호는 물론이고 관리 자체가 불가능해지는 상황이 된 것입니다. 따라서 사용자들은 교육을 통해 필요한 지식을 습득하고 최소한 자신이 사용하고 있는 컴퓨터에 대해서는 책임을 지고 관리를 하는 자세가 필요합니다. 시스템 관리자의 역할도 전체적인 전산 자원에 대한 계획과 관리를 담당하고, 사용자들이 자신의 컴퓨터를 관리할 수 있도록 도와주는 역할로 바뀌는 것이 바람직하다고 봅니다.
오병일 : 정보화가 급진전하면서 ‘개인정보 보호’ 문제가 사회적인 화두로 떠오르고 있습니다. 개인정보를 보호해야 한다는 것에 대해서는 이견이 없겠지요. 그런데, 개인정보 보호 문제를 단지 기술적인 문제(즉, 보안 기술의 문제)로 보는 편향도 존재한다고 봅니다. 예를 들어, 보안 기술을 적용했으니 개인정보 보호는 문제가 없다는 식이지요. 또한, 기업 역시 갈수록 많은 개인 정보를 수집, 보유하고 있는 반면, 아직 국내기업들은 개인정보 보호를 위한 대응을 투자가 아닌 비용으로만 인식하고 있는 것 같습니다. 개인정보 보호 문제에 대해 기업들이 어떠한 자세를 가져야 한다고 보시는지요?
안철수 : 고객의 정보를 기업의 이윤 추구를 위한 도구로 보는 마인드에 근본적인 문제가 있습니다. 단기적으로는 비용이 들어 손해인 것처럼 보여도 안전한 환경을 제공하는 기업으로서 고객의 신뢰를 얻는다면 장기적으로 더 큰 이익이 될 수 있다는 것을 알아야 합니다. 아직 성숙하지 못한 기업 윤리를 가진 업체들이 많은 풍토이지만, 개인정보 보호를 위한 제도적인 장치들이 마련되고 있습니다. 일정 규모 이상의 전자상거래 업체가 정부에서 지정한 정보보호컨설팅 전문업체로부터 의무적으로 정보보호 안전진단 서비스를 받게 한 것이 대표적이겠죠. 아직은 실천이 미진하지만 이런 제도가 잘 정착될 수 있도록 업체들이 좀더 장기적인 시각을 가져야 할 때입니다.
오병일 : 최근 주민등록번호 유출로 인한 피해와 함께, 주민등록번호의 이용을 제한해야 한다는 목소리가 커지고 있습니다. 그러나, 국내에서는 관행적으로 주민등록번호가 수집되고 있기도 하고, 또 인증을 위해 필요하다는 주장도 있습니다. 안철수연구소도 회원 가입시 주민등록번호를 받고 있더군요. 주민등록번호의 수집이 꼭 필요하다고 생각하시는지, 만일 대안적인 인증 방식이 있다면 무엇이라고 생각하시는지요?
안철수 : 개인 정보가 철저히 보호되어야 한다는 점에 동의합니다. 안철수연구소도 주민번호 대신 가장 적합한 대안이 무엇인지 고민 중입니다.
오병일 : 전반적인 국내 경제구조에 대해서도 비판적인 말씀을 많이 하신 것으로 알고 있습니다. 타 언론과의 인터뷰에서 ‘벤처가 국내 산업 구조의 문제를 해결할 수 있는 희망이다‘라고 말씀하셨는데요. 현재 국내 산업 구조의 문제점을 무엇이라고 보는지, 그리고 중소 벤처가 대안이 될 수 있다고 보는 이유는 무엇인지요?
안철수 : 1999년 말부터 시작된 벤처 산업에 대한 관심은 투자와 수익의 관점에서 출발하기는 했지만, 국가 경제의 포트폴리오 차원에서 매우 바람직한 대안이 될 수 있다는 점에서 긍정적으로 평가할 수 있습니다. 대기업만으로 이루어지는 경제 구조는 대기업 스스로를 위해서도 바람직하지 않고, IMF 환란과 같은 외부의 충격에 대해서도 취약할 수 있습니다. 전문 분야에 특화된 중소기업들은 대기업이 메워주지 못하는 작은 시장에서 소비자들의 욕구를 충족시켜줄 수 있을 뿐만 아니라, 협력관계를 통해 대기업의 경쟁력을 더욱 강화시켜 줄 수 있습니다.
따라서 튼튼한 대기업과 함께 건전한 중소기업들이 두터운 층을 형성하여 상호 보완적으로 발전해나가는 것이 우리가 지향해야할 방향이라고 생각합니다. 특히 혁신형 중소기업이라고 할 수 있는 벤처기업들은 새로운 기술과 시장에 대한 소규모의 실험을 하기에 매우 적절한 형태이며, 집중력과 빠른 실행능력을 통해 신속하게 시장에 진입할 수 있다는 점에서 큰 의미가 있습니다.
오병일 : 벤처에 대한 환상이 일정하게 존재하는 것은 사실인 것 같습니다. 그러나 벤처 노동자나 기업의 현실은 그렇게 밝지만은 않은데요. IT 산업의 경우 다단계 하도급구조같은 불합리한 구조가 근본적인 문제로 지적되기도 하는데, 이에 대한 견해는 어떠신지요?
안철수 : 현재 벤처기업이 처한 어려움이 적지 않습니다. 대부분 벤처 스스로 돌파구를 찾을 수 있지만, 시장이 구조적인 문제점을 가지고 있는 경우는 어떻게 할 도리가 없습니다. 예를 들어 대기업과 중소기업 간의 납품 관행이나 소프트웨어 시장의 구조적인 문제점 등은 하나의 벤처기업이 극복할 수 있는 문제가 아닙니다. 이 부분만은 정부에서 관심을 가지고 투명하고 공정한 시장을 만들기 위해 정책적으로 노력할 필요가 있습니다. 정부 정책에 대해 얘기하면 정부 관계자나 네티즌 중에서 오해를 하는 사람들이 간혹 있는데, 우리는 도와달라는 것이 아닙니다. 단지 ‘투명하고 공정한 시장을 만들어 달라’는 것입니다. 건전하고 정상적인 시장만 육성된다면 국내업체뿐 아니라 외국업체들과도 당당하게 실력으로 경쟁할 수 있습니다. 이것은 국민들의 인권을 보장해달라는 것과 마찬가지의 당연한 요구일 수 있을 것입니다. 제도적인 인프라를 만들고 시행하는 일은 수많은 이견 조정과 시간이 필요하고 효과도 늦게 나타나기 때문에, 드는 노력에 비해서 표시가 잘 나지 않는 일입니다. 하지만 그대로 두면 미래에는 큰 나무로 자랄 수 있는 싹을 불모지에 병든 채로 방치해두는 것과 다르지 않습니다.
오병일 : 안철수연구소를 운영하시면서 현재 갖고 있는 목표나 꿈이 있다면 무엇입니까?
안철수 : 안철수연구소는 앞으로 급변하는 전산 환경과 그에 따른 사용자의 요구를 적극 수용해 제품과 서비스를 통해 구현함으로써 2010년까지 세계 10대 보안 전문 기업이 된다는 비전을 갖고 있습니다. 더 장기적인 꿈은 훗날 CEO가 떠나고 또 사업 분야가 달라져도 그 회사의 가족들이 이 가치를 진심으로 믿고 지속적으로 유지할 수 있는, ‘영혼이 있는 기업’을 만들고 또 그 결과 영속하는 기업이 되고자 합니다.
2005-03-06
