강은성의 보안 아키텍트ㅣ(고급) ‘보안 개발자’를 확보하기 위하여

얼마 전 한 전자 대기업 중견 개발자들을 대상으로 위협 모델링 교육을 진행했다. 다른 과목에서 이론 교육을 하고, 필자가 이론의 요약과 함께 조별 실습을 하는 과목인데, 오전 시간에는 어려워하지만, 오후가 되면 잘 수행하고, 결과물도 나쁘지 않다. 그 기업에서 출시하는 가전, 에너지, 자동차부품 등에서 보안취약점을 최소화하고, 출시된 이후에 발견된 취약점에 대해 신속하고 정확하게 대응하기 위해 시행하고 있는 ‘SW 보안 전문가 인증제’의 한 과정이다.

참석자들이 어렵지 않게 교육에 적응하는 이유는 그분들이 선임 또는 책임급의 중견 개발자였기 때문일 것이다. SW 제품의 개발단계를 다 경험한 분들이어서 각 개발단계에서 이뤄지는 보안 활동의 방법론과 제품 보안(Product security)에 관한 지식, 실무를 학습하고 실습해 봄으로써 SW 보안 역량을 끌어올릴 수 있다. 실무-학습-실무의 반복은 고급 개발자가 기업 현장에서 양성되는 방식이기도 하다.

보안 기업에서 SW 개발자를 확보하기 어려운 것은 어제오늘의 얘기가 아니다. 필자도 이미 2년 전에 이에 관한 칼럼을 쓴 적이 있다(정보보안 인력과 개발 중시 문화(2020.2.13)). 그때보다 플랫폼 기업에서 SW 개발자를 빨아들이는 힘이 더욱 강해졌다. 국내 최대의 보안기업에서조차 개발자가 다른 업계(의 유사 직무)로 이동하고, 신규 개발자는 뽑기 어렵다고 하니, 중소규모가 다수인 보안기업의 개발자 확보 문제가 얼마나 심각한지 미루어 짐작할 수 있다.
 

<그림 1>의 ‘정보보안 관련 서비스’ 매출 중에서도 ‘보안 시스템 유지관리/보안성 지속 서비스’와 ‘클라우드 서비스’(SaaS)는 SW 개발이 필요하므로, SW 개발은 전체 정보보안산업 매출의 약 75%에 영향을 미치는 핵심 요소다. 

매출의 대부분이 SW 개발에서 나온다고 하면 그 기업은 SW 회사 또는 SW 개발 회사라고 해도 과언이 아니다. 일반적인 SW 회사라면 기업의 인사체계, 업무 프로세스, 기업문화, 투자 우선순위를 SW 개발과 SW 개발이자 확보에 맞춘다. 제조업에서 기술개발과 생산 활동에 초점을 맞추는 것과 마찬가지다. 

그런 의미에서 한 IT 칼럼니스트의 칼럼에 공감이 간다(소프트웨어 개발자 대란(大亂)을 바라보며(정철환, 2021.12.1)). 그는 칼럼에서 개발자를 천시했던 과거를 돌아보고, 플랫폼 기업에 개발자가 몰리는 상황에서 개발자를 확보하기 위해서는 그들이 중요하게 생각하는 ‘미래 가능성’, 역량 개발’, ‘처우 개선’ 중 가능한 부분을 실행해야 한다고 조언한다. 자신이 몸담고 있는 IT서비스 업계에 대한 조언이긴 하지만, 보안업계에서도 참고할 만하다. 

실제로 플랫폼 기업의 채용 규모에 한계가 있기도 하고, 개발자 개인의 선호도 다양하다. 최근에 한 스타트업에서 CEO와 CTO가 여러 채용 사이트를 찾아서 제안하고 신속하게 면접하여 ‘워라밸’을 중시하는 중견 개발자를 채용하는 것을 봤다. ‘가성비’가 별로 나오지 않는 방법이지만, 그만큼 절실하니 그렇게 하는 것 같다. 

뽑은 개발자를 유지하는 것 또한 쉽지 않은 일이다. 필자가 2020년 칼럼에서 지적한 대로 처우가 좋으면 금상첨화지만, “개발자의 기술적 성장, 개발 프로세스와 기반 시스템, 협업 체계 등 개발자의 업무 환경”이 매우 중요하다. 지난 몇 년 동안 조직 관리와 기업 문화의 영향도 매우 커졌다. 

개발자는 직급과 관계없이 자유롭고 서로 존중하면서 업무는 확실히 처리하는 기업문화를 선호한다. 보안기업이 주로 중소기업이어서 그런지 인사 관리가 체계적이지 못하고, 수직적인 기업문화가 있는 곳도 많다. 특히 중간관리자 교육을 중점적으로 해야 한다. 개발자에게 중간관리자는 개인이 아니라 회사다. 경영진이 명확한 목표를 갖고 2~3년 집중해야 할 분야다. 

정부가 다음 몇 가지 사항을 지원한다면 보안기업이 보안 개발자를 확보하는 데 상당한 도움이 될 것이다. 

첫째, 보안 기업의 개발자 교육이다. 예를 들어 OAuth, FIDO, TZ/TEE 등 각종 보안 관련 개발 기술이나 OS커널, 네트워크 등 보안제품의 공통(기반) 기술, 딥러닝, SaaS 개발 등 제품에 활용할 수 있는 신기술, 필자가 했던 위협 모델링과 같은 ‘보안 내재화’ 등 보안 개발자에게 필요한 기술 교육을 시행하는 것이다. 초급 개발자용, 중급(고급) 개발자용으로 구분하여 할 수도 있다.

둘째, 보안 제품(서비스) 기획자를 위한 보안 기술 교육이다. 제품 개발에서 제품 기획자들의 영향이 크므로, 기획자의 눈높이에 맞춘 보안기술 교육을 한다면 보안제품 개발에 상당한 도움이 된다.

셋째, 보안 SW 품질관리 교육이다. 국내외 시장에 SW 제품을 판매하려면 일정 수준 이상의 품질을 갖춰야 한다. 중소규모 보안기업에서 효율적, 효과적으로 잘하지 못하는 부분이다.

재직 개발자 교육에 기획자 교육과 품질관리 교육을 제안한 것은 개발 관련자의 지식과 역량이 개발 전체에서 차지하는 비중이 적지 않기 때문이다. 개발 관련 모든 교육은 이론을 포함하지 않을 수는 없지만, 실제 개발에서 직접 사용할 수 있도록 내용과 강사를 꾸리는 것이 중요하다. 협회를 중심으로 정확한 수요 조사가 된다면 효과가 더 클 것이다. 더불어 중소기업이 임직원을 교육에 보내지 않으려는 문화도 이제 바뀌어야 한다. 인력 확보가 중요하다면 경영진이 마인드를 바꿔야 한다. 
또 개발 기술 교육뿐만 아니라 개발체계, 개발문화 등 개발자의 업무 환경과 개발자 인사관리와  SW 개발 회사의 기업문화 등 기업 환경을 혁신하는 데 필요한 교육 프로그램도 있으면 좋겠다. 교육 대상은 중간관리자나 인사담당자, CEO 및 CTO가 될 수 있다. 임원급에게는 1~2시간짜리 특강으로 대체할 수도 있다. 

쉬운 일이 아니다. 적지 않은 시간이 걸린다. 필자가 제시한 내용을 다 잘해도 정말 급여 문제로 개발인력을 확보하기 어려울지도 모른다. 보안산업이 SW 플랫폼, 자동차, 전자산업처럼 커진다면 자연스럽게 해소될 수도 있다. 하지만 좋은 개발인력과 개발체계, 기업문화 없이 그런 상황은 오지 않는다. 하늘만 바라본다고 기업 매출의 핵심 요소를 누가 해결해 주지도 않는다.

* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여자대학교 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr