과거 정보기술(IT) 관련 기업들이 전문 해커를 ‘모시기’ 위해 치열한 경쟁을 벌이던 때가 있었다. 컴퓨터 보안을 뚫을 정도면 철옹성 같은 보안 프로그램도 만들 수 있는 ‘능력자’였기 때문에 해킹 전과 기록이 훈장처럼 여겨질 정도였다.
지난 2002년 국내 금융기관 검사 및 감독 업무를 총괄하는 금융감독원도 해커를 영입했다. 1990년대 후반까지 IT업계에서 ‘화이트 해커(연구를 목적으로 해킹하는 사람)’로 이름을 날렸던 최철훈 IT감독국 IT총괄팀 선임조사역. 물론 경력 공개 채용 절차를 거쳐 자발적으로 금감원에 입사했다.
최 선임조사역은 "해킹 기술을 좀 더 이로운 곳에 써야겠다는 생각에 지원하게 됐다"면서 "본격적으로 금융IT보안 업무를 하면서 ‘내가 만든 보안프로그램이 국내 표준이 될 수 있다’는 자부심과 책임감이 생겼다"고 말했다.
실제로 국내 금융권에서 매뉴얼이 된 ‘스마트폰 금융거래 10계명’, ‘스마트폰 전자금융안전대책’, ‘금융권 스마트워크 정보보호 가이드라인’ 등은 그가 주도해 만들었다. 최근에는 MS카드(뒷면에 검은색 자기띠가 있는 카드) 복제로 인한 자동화기기(ATM) 불법 인출 사고를 막기 위해 IC카드(앞면에 금속칩이 있는 카드)로만 현금 인출을 할 수 있도록 하는 사업을 진행 중이다.
최 선임조사역은 "MS카드는 복제가 너무 쉬워 보안에 취약하다"면서 "유럽과 일본 등 선진국에는 이미 IC카드가 보편화돼 있고 우리나라는 내년 9월부터 ATM에서 IC카드만 인식할 수 있도록 할 예정"이라고 말했다.
금융IT보안 부문에서 국내 최고 수준을 자랑하는 그가 컴퓨터를 만져본 건 대학교 때부터다. 고등학교 때까지는 컴퓨터보다 유도에 더 관심이 많아 공인 3단 단증까지 따놨다.
최 선임조사역은 "공대 중에서 취업이 가장 잘 되는 학과가 어딘지를 보고 전자계산학과에 입학했다"면서 "막노동 일을 하면서 모은 돈으로 컴퓨터로 샀고 프로그램을 하나, 둘 만들기 시작하면서 자연스럽게 해킹 기술을 익히게 됐다"고 말했다.
수많은 시행착오를 겪으면서 독학한 컴퓨터 관련 기술은 당시 학원조차 없어 배울 수 없었던 국제공인 정보시스템감사사(CISA), 국제공인 정보시스템보안전문가(CISSP), 마이크로소프트 공인시스템엔지니어(MCSE), 오라클공인전문가(OCP) 등의 자격증을 따는데 큰 도움이 됐다. 그가 ‘금감원의 안철수’로 통하는 이유도 여기에 있다.
실제로 금융IT보안 능력을 인정받아 지난 2003년에는 안철수연구소 명예연구원으로 위촉돼 활동하기도 했다. 그는 수년째 IT보안 동호회를 운영하면서 민간 전문가들과 정보 공유 및 보안 프로그램 연구개발에 매진하고 있다.
최 선임조사역은 "금융IT보안은 보안 제품이나 기술로만 되는 게 아니라 금융프로세스를 잘 이해하고 접근해야 한다"면서 "최근 금융회사의 IT보안 부문이 대폭 강화되면서 고객 정보 유출 사고를 방지하기 위한 최소한의 여건을 마련했다는 데 보람을 느낀다"고 밝혔다.
<최진성 기자/@gowithchoi>
/ ipen@heraldcorp.com
