서비스

[네이버 어벤저스] 브라우저 로그인 때마다 보안 걱정…웨일은 다르다

이나연
국민 포털로 출발한 네이버가 다양한 플랫폼과 서비스들로 영역을 대폭 확장하고 있다. 이용자 경험을 위한 체질 개선뿐만 아니라, 중소상공인(SME) 및 창작자들과 이용자들을 연결해 디지털 비즈니스 시너지를 도모하는 데 골몰하는 모습이다. 이용자가 보는 앞단의 변화가 이 정도라면, 개발 뒷단에선 보다 과감하고 치열한 고민이 필요하다. 이에 디지털데일리는 네이버를 움직이는 기술 리더들을 마블 캐릭터에 빗대 ‘네이버 어벤저스’라는 이름을 붙였다. 이들의 연속 인터뷰를 통해 국내 최대 인터넷 기업의 속 깊은 고민과 핵심 경쟁력의 원천을 짚어보고자 한다. <편집자 주>
[디지털데일리 이나연 기자] 우리는 매일 노트북이나 핸드폰으로 웹브라우저에 접속한다. 덕분에 하루에도 셀 수 없이 수많은 개인정보가 웹브라우저를 통해 오가고 또 흔적을 남긴다. 특정 사회관계망서비스(SNS)가 해킹돼 사용자 개인정보가 수천수만 건 유출됐다는 기사를 접하면, 문득 내가 사용하는 웹브라우저는 이상이 없는지 의구심도 생긴다. 그렇다면 웹 브라우저 개발자들은 어떤 방식으로 사용자 보안 위협으로부터 대응하고 있을까.

<디지털데일리>는 지난달 28일 네이버 개발자 컨퍼런스 데뷰(DEVIEW)2023에서 이형욱 웨일 브라우저 개발 리더를 만났다. 이형욱 리더<사진>는 현재 웨일브라우저와 OS(운영체제)를 개발하는 웨일 엔진 팀을 이끌고 있다. 외국 기업에서 주로 웹 엔진 관련 일을 해오던 그가 네이버에서 개발자로 일한 지도 벌써 10년 차에 접어들었다.

이날 이형욱 리더는 “브라우저는 다른 앱에 비해 해커 공격을 가장 많이 받는다”며 “국내 보안 기능은 웨일이 가장 노력하는 분야”라고 전했다. 워드 프로세스나 포토샵은 네트워크에 연결하지 않아도 사용 가능하지만, 브라우저는 국내외 사이트에 접속하는 과정에서 항상 네트워크와 연결되다 보니 그만큼 쉽게 공격할 수 있는 여지가 많아서다.

◆‘피싱과 전쟁’ 선포한 웨일…탐지 기술도 매년 업그레이드=웨일 팀은 기존 ‘세이프 브라우징 데이터베이스’(Safe Browsing DB)에서 나아가 2021년 ‘텍스트 기반 피싱 탐지’, 2022년 ‘이미지 기반 실시간 피싱 탐지’에 이르기까지 다양한 기술 개발을 진행 중이다.

일반적인 세이프 브라우징 데이터베이스 경우, 해킹 등 악성 사이트에 감염된 후 그 사실을 포착해 데이터베이스(DB) 형태로 업데이트하는 방식이다. 해당 사용자가 해킹 공격을 당했다는 사실을 하루 이틀 내 알게 되면, 브라우저 벤더사들끼리 DB를 공유해 사이트가 위험하다는 경고를 띄우게 된다. 통상 DB 자체는 글로벌 브라우저 위주로 구성될 수밖에 없는데, 네이버는 확보된 국내 DB들까지 활용하고 있다.

텍스트 기반 피싱 탐지 기술은 DB가 아닌 실시간 탐지로 이뤄진다. 인터넷주소(URL)나 텍스트를 보고 해당 주소가 실제 네이버 로그인 페이지인지 피싱 사이트인지 판단하는 것이다. 다만 텍스트 기반 기술인 만큼, 정확도는 상대적으로 떨어진다. 그래서 이 리더는 지난해 이미지 머신러닝(ML) 기법으로 더욱 고도화된 피싱 탐지 기술을 개발 및 탑재했다.

그런데 이러한 기술들 경우, 웨일 브라우저 외에는 적극적으로 관심을 두거나 개발에 동참하는 곳이 드물다고 한다. 크롬·엣지·사파리 등 해외 브라우저는 당연히 구글이나 페이스북 같은 글로벌 검색 엔진이나 SNS 로그인 보안에 주력하기 때문이다. 즉, 네이버·카카오 같은 국내 서비스는 우선순위에서 밀려 해킹이 있어도 대응에 소극적이라는 게 그의 설명이다.

이 리더는 “확인된 피싱 사이트에 들어가서 자체적으로 테스트해본 결과, 네이버웨일은 빨간 경고 화면이 뜨지만 크롬은 그대로 로그인 화면이 나타난다”고 말했다.

◆“피싱 탐지, 보안 팀과의 협력 덕분”…팀 네이버 기술력 빛났다=이 리더는 피싱 탐지 기술을 개발하는 데 있어 정확도를 높이는 작업이 가장 까다로웠다고 회고했다. 머신러닝 정확도를 올리려면 트레이닝 데이터가 많아야 하는데, 충분한 피싱 사이트 데이터양을 확보하는 것이 쉽지 않았다는 이유에서다.

이 과정에서 네이버 회원 팀과 보안 팀은 협력해 트레이닝 데이터 확보에 주력했다. 웨일 팀이 네이버 로그인 피싱 데이터에 주목하는 이유는 네이버가 국민 대다수가 이용하는 국내 대표 포털인 데다, 로그인에 연동된 서비스도 많아 해커들의 1순위 표적이 되기 쉬워서다.

이 리더는 “지금도 누군가는 네이버 계정을 해킹하고 있을 것이다. 네이버 보안팀에서 이런 공격을 탐지 및 방어하며 DB를 확보한 덕분에 피싱 탐지 기술도 실현될 수 있었다”며 “이건 웨일 팀 단독 성과가 아닌, 모두가 힘을 합쳐 일궈낸 팀 네이버의 기술력”이라고 강조했다.

◆“개발 프로세스는 곧 개발자가 하는 모든 일”=향후 이 리더 목표는 내부적으로 실험 중인 여러 개발 문화 가운데 팀에 효율적인 개발 프로세스를 발굴하는 것이다. 이 리더에 따르면 개발 프로세스는 개발자가 하는 모든 일과 다름없다. 코드 개발과 함수 짜기, 네이밍 등 개발 전 설계에서 테스트, 배포에 이르는 모든 과정이 개발 프로세스다.

이 리더는 “결국 각자 팀에 맞는 프로세스를 찾는 것이 필요하다”며 “단순히 새로운 기술을 만드는 것만 중요한 게 아니라 그 아웃풋을 잘 만들기 위한 팀의 유기적인 문화도 핵심 요소”라고 설명했다. 웨일 팀은 사용 중인 오픈 소스 기술과 그에 따른 개발 문화를 따라갈 수밖에 없는 만큼, 팀 자체 개발 문화 역시 글로벌 표준에 맞춰가도록 노력 중이다.

오픈 소스를 활용해 제품을 개발한다는 것은 단순히 소스 코드만 사용하는 것이 아니라, 개발 프로세스 전반에 걸쳐서 사용하는 오픈 소스 영향을 받는 구조이기 때문이다. 최근 대부분 회사는 오픈 소스를 활용하는 개발 방식을 선택하고 있다. 브라우저가 웹 플랫폼으로서 발전 속도가 매우 빠르다는 특성상 기능과 성능, 보안을 한 회사에서 커버하기 힘든 수준에 도달했다는 배경이 자리한다.

끝으로 이 리더는 개발자 지망생에게 유명한 오픈 소스 코드를 잘 활용하라고 조언했다. 현실적으로 지망생 입장에서는 현직자로부터 기술이나 경험을 전수 받기가 어려운 만큼, 유명한 개발자가 올린 오픈 소스를 교과서 내지는 지침서로 삼으라는 것이다.

이 리더는 “실제로 많은 오픈 소스는 미국 실리콘밸리 개발자들이 이끌고 있다”며 “이들 오픈 소스를 자주 들여다보고 코드 리뷰도 받으면 자연스럽게 글로벌 수준 개발 문화와 기술을 익힐 수 있다”고 말했다.
이나연
lny@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널