좋은 개발자를 뽑으려면 어떻게 해야 하나? 개발 좀 한다는 회사들은 십중팔구 “실력이 뛰어난 동료”를 무기라 답한다. 네이버의 자회사이자, 일본의 국민 메신저 ‘라인’도 마찬가지다. 좋은 개발자를 뽑기 위해서, 회사의 대표 선수들을 뽑아 ‘나는 LINE 개발자입니다’라는 책을 엮었다. “라인에는 이런 스타 개발자들이 있다”는 걸 알리려는 목적이다. 필진 면면이 화려한데, 이 중에는 라인이 지난해 인수한 해커집단 ‘그레이해시’의 수장 이승진 리드도 포함돼 있다.

그레이해시는 지난해 라인에 인수된 이후 ‘그레이랩’으로 이름을 바꾸고 회사 서비스의 취약점을 찾아내 대안을 마련하는 일을 맡아 하고 있다. 이 팀을 이끄는 ‘리드’가 이승진 씨다. 화이트 해커로 꽤 알려진 인물인데, 유명 국제 보안 콘퍼런스인 ‘블랙햇’과 일본 해킹 보안 콘퍼런스 ‘코드블루’ 등에 심사위원으로 선정되는 등 실력을 인정받았다.

이승진 리드를 최근 분당에 위치한 라인플러스 사무실에서 만났다. 팀을 이끄느라 바쁠 텐데 어떻게 책을 썼냐고 물었더니 “거절하면 안 되는 줄 알았다”고 농담했다. 같이 집필한 개발자들끼리는 서로 ‘작가’라고 부른다고 말해 인터뷰 분위기를 유쾌하게 했다. 라인에 합류한 이유를 ‘똑똑한 동료’와 ‘좋은 근무 환경’으로 꼽는 그에게 왜 라인에 회사를 매각했는지와 라인에서 일하는 것은 어떠한지, 또 어떠한 사람들이 새로운 동료가 되길 원하는지 등을 물었다.

이승진 라인 그레이랩 리드

라인에 어떻게 합류하게 되었나

대기업을 대상으로 서비스나 제품에서 취약점을 찾고 어떻게 하면 안전하게 만들지 컨설팅했다. 라인도 고객사 중 하나였다. 서너 차례 컨설팅하면서 라인을 잘 알게 됐다. 라인과 미팅을 하는데 불쑥 “투자를 받아볼 생각이 있느냐”는 이야기가 나왔다. 그간 투자 요청이 많이 들어왔지만 별로 필요성을 느끼지 못해 넘어갔었는데, 라인은 좋은 고객사라 단칼에 거절하기 어려웠다. 투자 관련 미팅에서 라인 측이 “인수도 가능하냐”고 묻더라. 이야기가 빠르게 진행됐다. (그레이해시 구성원들이) 라인이 좋은 회사라는 걸 인지하고 있어서 그랬던 것 같다. 이번에는 대기업 보안업무로 가서 일해보는 것도 새로운 경험이 될 거라 생각해 일사천리로 진행했다. 인수 제안부터 결정까지 일이 주밖에 걸리지 않았다.

투자 유치를 꺼렸는데, 인수 결정은 엄청 빠르게 진행됐다

만약 인수 제안이 전통적인 제조업에서 왔다면 고민을 많이 했을 거다. 굴지의 자동차 회사 등에서 투자 제안이 들어왔을 때도 거절했었다. 저희가 잘 모르는 회사였다면 알아보느라 시간이 걸렸을 거다.

라인을 컨설팅할 때 회사 구성원들이 그레이해시 사무실에 있는 것보다 라인 사무실에 있는 걸 더 좋아했다(웃음). 근무환경이 좋고 유연해서 도전해보자고 했다. 무엇보다 많은 유저가 쓰는 라인에서 일하면서 메신저를 안전하게 보호할 수 있다면 보람을 느낄 것 같았다.

라인도 보안팀이 있는데 왜 그레이해시에 컨설팅을 맡겼을까?

라인 정도 규모의 기업은 자체적으로 서비스에서 취약점만 찾는 팀이 이미 존재한다. 그런데도 제3의 회사에 컨설팅을 맡기는 이유는, 사내 보안팀과 외부에서 바라보는 시선이 다른 경우가 있어서다. 내부적으로도 리소스를 서비스 보안에 투입하지만 동시에 제3의 업체에 검증을 받는 거다.

스타트업 그레이해시가 라인 보안팀 중 하나인 그레이랩이 됐다. 주로 어떤 일을 하고 있나? 기존 라인의 보안팀과는 업무 분장은 어떻게 했나?

라인에는 보안팀이 여러 개가 있다. 보안을 담당하는 팀도 있고 사이버 범죄 이슈를 처리하는 법률팀도 있다. 누가 라인을 공격하는지 보안관제를 하는 팀도 있고, 저희처럼 서비스나 제품에 문제나 취약점이 존재하는지, 있다면 어떻게 선제 방어를 하고 안전하게 디자인할지 연구하는 팀도 있다. 모두 역할이 다르다. 또, 라인이 국가마다 법인이 나누어져 있지만, 업무 특성상 한국의 보안팀이 일본의 개발팀 업무를 하기도 한다.

일본어를 못 해도 일에 지장이 없나?

나는 한국어나 영어밖에 못 하니까 일본어 같은 경우에는 라인 챗봇을 쓴다. 문장을 잘 만들어 내면 정확도가 높다. 미팅해야 할 경우에는 통역 시스템이 잘 되어 있다.


[AD]IT를 잘 몰라도 데이터분석 하는 방안에 대해 알아보세요

라인은 그레이해시의 어떤 점을 높게 평가했을까?

그레이해시가 업계에서는 괜찮은 회사였다(웃음). 국내뿐만 아니라 세계적으로 명성(reputation)이 좋았다. 당시에는 저희 회사가 일 년에 100여 건의 의뢰를 받았었다. 처리할 수 있는 게 한정돼 있어서 의뢰를 못 받아준 기업도 많았다. 그렇기도 하고, 저희 회사 특징 중 하나가 한 번 일을 맡겼던 곳은 계속해 다른 일도 맡긴다는 거였다. 라인도 마찬가지다.

라인에서 일을 하면서 고민하는 부분이 있다면?

라인은 굉장히 많은 사람이 쓰는 서비스다. 편의성과 안전성을 같이 가져가는 게 어려운 문제 중 하나다. 개발자나 임직원이 굉장히 많은데 임직원의 보안을 생각하면서 어떻게 하면 능률이 오를 수 있는 환경을 구축할 수 있을지가 어렵다. 보안이 중요한데 이를 너무 따져서 생산성이 떨어지면 안 된다. 사용자가 너무 불편해서도 안 된다.

라인에서 발견한 취약점이 있나?

불변의 이야기지만 100% 완벽한 보안은 없다. (라인은) 기능이 많다 보니 코드도 많을 수밖에 없다. 봐야 하는 포인트가 많이 늘어나고 있다. 일 순위로 생각하는 것은 개인 정보 보호다. 고객에게 피해를 입히지 않기 위해서 외부에 노출될 수 있는 공격 포인트를 많이 분석하고, 취약점을 보완한다.

‘나는 LINE 개발자입니다’ 한빛미디어, 2019년 9월, 강윤신, 김영환, 김재석, 김정엽, 김택주, 노승헌 박민우, 배권한, 이서연, 이승진, 이홍규, 하태호, 엮은이 라인 디벨로퍼 릴레이션팀

[관련기사: 라인의 개발 고수 12인의 이야기]



책 얘기를 해보자. 이 책의 기획은 어떻게 이뤄졌나?

마케팅팀에서 기획했다. 필진 참여에 거부권이 있는지 몰랐다(웃음).

#필진은 내부 추천과 설문을 통해 선정했다고 한다. 유명한 스타 개발자나, 외부에 알리고픈 개발자, 내부의 존경을 받는 개발자가 대상이었다고 라인 마케팅팀이 설명했다. 라인이 하는 일과, 회사의 유능한 개발자를 알리는 것이 집필 의도다. 회사를 알림으로써 실력 있는 개발자를 구하기 위한 것도 목적이다.

책에서는 라인 개발팀과 미팅하면서 똑똑함에 놀랐다고 했는데, 어떤 이유에서인가?

두 가지다. 본인이 만든 문제를 빨리 수긍하고 고치려는 협조적 자세다. 보통 중요 취약점이 발견되면 담당자들의 반응이 안 좋다. 문제가 있다는 걸 인정해야 하기 때문이다. 이 부분에서 라인의 보안팀은 매우 긍정적이고 유연하게 반응했다. 두 번째는 보안 지식을 빠르게 이해하는 부분이었다. 특정 보안 지식은 보안 인력한테 설명해도 어려운 것이 많은데, 개발자들의 지식수준이 높아서인지 어려운 주제도 빨리 캐치하고 이해했다. 모든 경우가 그렇진 않지만, 그런 경우가 많아서 놀라웠다.

책에서 해킹적 사고라는 말을 강조했는데, 어떤 뜻인가?

널리 쓰이는 표현은 아니다. 굳이 표현하자면, 개발자가 기능을 구현할 때 정해진 것을 벗어나는 행위를 찾는 걸 해킹적 사고라고 한다. 원래는 A를 넣으면 B가 나오도록 기능을 구현하는데, C가 나오게 만드는 거다. 이런 방식으로 프로그램 취약점이 발견되는 경우가 굉장히 많다. 정해진 방식을 벗어나서 다른 걸 할 수 있는지 여부를 고찰해 보는 걸 말한다.

직원들을 교육하는 프로그램도 만들어 운영한다는데?

‘워게임’이라고 부르는데, 저희 팀에서 만든 플랫폼이 있다. 일반적으로 개발자분들이 흔히 만들 수 있는 취약한 코드를 문제로 만들어 놨다. 개발자분들이 단순히 학습하는 게 아니라 문제를 풀어봄으로써 “이런 코드 짜면 안 된다”는 걸 배울 수 있는 프로그램이다.

최근에 집중해서 하는 일이 있다면?

도전적인 일을 좋아한다. 최근에는 기업용 보안 플랫폼을 개발하고 있다. 만들고 나면 라인 전사적으로 쓰일 예정이다. 내년에는 그걸 다른 회사에도 판매하는 걸 목표로 한다. 보안 팀이지만 사업도 하고 싶어서 그런 부분을 많이 준비 중이다.

그레이해시는 라인에 인수되면서 그레이랩이 됐다. 라인의 취약점을 살피고, 선제적 방어를 연구한다.

 

결국 책을 낸 이유도 더 좋은 동료를 뽑기 위해서다. 그렇다면, 사람을 뽑을 때 가장 중점을 두고 보는 부분은 어디인가?

커뮤니케이션 능력이다. 보안팀의 역할은 개발자가 만들어 놓은 코드에서 취약점을 찾고 문제를 제기하는 거다. 그러다 보니 상대편이 방어적이 될 수도 있다고 생각한다. 내가 만든 코드에서 문제를 제기한다면 기분 나쁠 수 있다. 저희의 업무가 다른 사람이 만든 문제를 고치는 일이다 보니, 커뮤니케이션 능력이 중요하다.

개발자와 커뮤니케이션할 때, 더 잘 소통할 방법이 있을까?

일반적인 사회 커뮤니케이션과 크게 다르진 않다. 사람과 사람 간의 이야기니까. 그런데 전제가 되어야 할 것은 각자가 각자의 분야에서 전문지식을 가진 사람이니 백그라운드가 다를 수밖에 없다는 걸 인정해야 한다는 거다. A라는 사람이 B라는 사람과 이야기할 때 자신이 모르는 부분을 잘 수긍해야 한다. 상대방이 내가 가진 전문지식을 빨리 이해하지 못할 때도 잘 설명해 일을 추진하는 능력을 갖춰야 한다. 피수 불가결하게 의사소통할 수밖에 없는데, 이를 부드럽게 진행해 나가는 능력을 먼저 봐야 한다.

기술적으로는 어떤 부분을 많이 보나?

그레이랩 모든 멤버가 프로그래밍을 한다. 개발자에 준하거나 그 이상의 수준이 되어야만 보안 인력으로 채용한다. 해킹 기술은 어느 정도까지 알아야 합격선이라 말하기 굉장히 어렵다. 적어도 저희가 볼 수 있는 레퍼런스가 있어야 한다. 코딩 테스트보다도, 그 사람이 보안 업계에서 어떤 업적을 쌓았는지 보는 편이다.

좋은 개발자를 뽑기 위해 회사는 어떤 노력을 할 수 있을까?

제일 좋은 것은 그 회사에 실력 있는 사람이 많이 포진되어 있느냐다. 그게 제일 핵심이다. 복지 등은 중요하지만 이차적 문제다. 그래서 라인의 보안 인력이 실력이 좋다는 걸 알리려 한다. 개인적으로 연구하는 것 중에서 회사에서 발표해도 될만한 것은 콘퍼런스에서 알린다. 대만과 일본의 보안 인력 커뮤니티를 더 크게 만들기 위해서 시큐리티 밋업도 진행하고 있다.

라인에서 일하면서 좋다고 생각되는 부분이 있나?

해외 콘퍼런스를 지원하는 제도가 있다. 개발자들이 워낙 지적 호기심이 많으니까 다른 나라 콘퍼런스에 가고 싶다면 보내준다. 사내에서도 새로운 걸 배우고 싶다고 하면 팀을 이동해서 업무할 기회가 굉장히 많다. 다른 나라에서 협업하고 싶을 때는 일본, 대만, 태국, 인도네시아 등 나라마다 라인의 오피스가 있어 가질 수 있는 기회가 굉장히 많다. 어려우면서도 재밌다. 대화방에 있으면 온갖 사람이 있다. 다양한 업무 문화를 경험할 수 있고, 원할 경우엔 사내에서 외국어 클래스를 지원해주므로 배울 수 있다.

재미가 있어 해커가 됐다고 했는데, 아직도 일이 재미있나?

업계에서 일을 한 지 20년 차다. 여전히 처음처럼 엄청나게 재미있다면 거짓말일 거다. 그래도 여전히 재미있다고 생각하는 포인트는 기술 자체도 그렇지만, 남들이 하지 못하는 걸 할 때다. 똑같은 제품이 있는데 다른 사람은 (문제를) 잘 발견 못 하지만, 나는 발견할 수 있을 때 여전히 재미있다.

이 일에 도전하려는 이들에게 조언하고 싶은 말이 있다면?

직군을 떠나서 커뮤니케이션 능력이 중요하다. 큰 기업에선 더 그렇다. 두 번째는, 확고한 전문지식이다. IT 쪽은 노트북과 인터넷만 있으면 공부할 수 있어서 진입장벽이 낮기 때문이다. 인터넷은 자기를 자랑하기 쉬운 공간이므로, 기회가 생길 때마다 깃이나 오픈소스 사이트에 자신의 연구 결과물을 올린다거나 페이퍼를 낸다든지, 또는 대회에서 수상해 다른 사람이 본인의 실력을 알 수 있게끔 하는 게 중요하다. 보안업무를 하는 사람들의 경우에는 코드를 많이 읽어야 하므로 개발 지식이 좋아야 한다. 그레이랩 멤버들은 당장 다른 개발팀에 가서 일할 수 있을 정도의 사람만 채용하고 있다.



글. 바이라인네트워크
<남혜현 기자> smilla@byline.network