‘연구→성과→지원’의 선순환을 바라며

하루에도 수십 번씩 열게 되는 웹브라우저는 오늘날 우리 삶에 가장 유용하고 익숙한 도구이자, 여러 정보가 오가는 통로이기도 하다. 동시에 클릭 한 번, 주소창 하나를 사이에 두고 개인의 정보가 나도 모르는 사이 흘러나갈 수 있는 공간이기도 하다. 정민기 학생(컴퓨터공학과 석사 1년차)은 이 일상적인 도구 뒤에 숨은 ‘보안의 규칙’을 자동으로 점검·분석하는 도구 개발에 집중해 왔다. 그리고 그 성과는 지난해 10월 글로벌 기업들로부터의 포상으로 이어졌으며, 그 보상의 일부가 다시 학과를 위한 기부금으로 돌아왔다.
“이번 성과는 연구 환경과 교수님의 지도, 그리고 학과의 지원이 있었기에 가능했어요. 그래서 포상금을 개인적인 보상으로만 남기기보다, 일부는 다시 연구와 교육을 지원하는 데 쓰고 싶었죠. 후배 연구자들이 연구를 시작하는 데 작은 도움이 된다면, 그 자체로 의미 있을 것 같았습니다.”

브라우저 보안, 점검의 사각지대를 보다

정민기 학생의 연구는 거창한 문제의식에서 시작되지 않았다. 하루에도 수십 번 사용하는 웹브라우저가 과연 사용자의 정보를 얼마나 믿을만하게 지켜주고 있는지, 그 익숙함 뒤에 놓인 보안의 작동 방식을 차분히 들여다보고 싶다는 문제의식이 출발점이었다.
웹 환경에는 동일 출처 정책(SOP)이나 콘텐츠 보안 정책(CSP)처럼 사용자 정보를 보호하기 위한 규칙들이 이미 존재한다. 그러나 이러한 규칙들이 다양한 환경과 조건 속에서도 의도한 대로 일관되게 작동하는지를 체계적으로 점검하는 일은 또 다른 문제다. 정민기 학생은 바로 이 지점에 주목해, 브라우저별·상황별 보안 정책의 작동 여부를 자동으로 점검·분석하는 도구 개발에 착수했다. 기존 점검 방식의 한계를 체감하는 과정에서 브라우저 보안 정책을 보다 정밀하게 검증할 수 있는 자동화 도구의 필요성을 인식하게 된 것이다.
“연구는 자연스럽게 여러 환경으로 확장됐습니다. 크롬이나 파이어폭스, 엣지, 네이버 웨일처럼 주요 브라우저들은 구조와 설정이 모두 달랐고, 그에 따라 테스트 환경도 제각각이었어요. 특히 평소 자주 다뤄보지 않았던 브라우저의 경우, 환경을 이해하고 이를 자동화된 테스팅 도구에 반영하는 과정에서 시행착오도 많이 겪었죠.”
서로 다른 조건과 차이를 하나의 공통된 틀 안으로 묶어내는 작업은 쉽지 않았다. 그러나 그 과정에서 문제를 구조적으로 바라보는 시선과, 복잡한 변수를 차분히 정리해 나가는 연구자의 태도는 한층 단단해졌다고. 정민기 학생은 이번 경험 자체가 자신의 연구 방식을 성숙하게 만든 계기였다고 말했다.

연구 성과에 ‘자신감’은 덤

이렇게 축적된 분석은 실제 성과로 이어졌다. 연구 과정에서 발견된 취약점들은 웹 보안의 핵심으로 여겨지는 여러 정책과 맞닿아 있었고, 일부는 사용자가 단순히 웹사이트를 방문하는 것만으로도 개인정보가 노출될 수 있는 위험을 내포하고 있었다. 정민기 학생은 이러한 문제를 글로벌 기업에 공식적으로 제보했고, 그중 다수는 실제 패치로 이어졌다. 연구 결과가 논문에 머무르지 않고, 수많은 사용자가 일상적으로 이용하는 서비스 환경에 반영되는 순간이었다. 이 경험은 보안 연구가 현실과 맞닿는 지점을 또렷하게 확인한 계기이자, 연구자로서의 자신감을 키우는 중요한 전환점으로 남았다.
물론 연구의 전 과정이 순조롭기만 했던 것은 아니다. 초반에는 기대만큼의 결과가 나오지 않아 방향 설정을 두고 고민하던 시기도 있었다고 한다. 그때마다 “눈앞에 보이는 성과는 없을지언정, 문제 설정이 올바르다면 연구는 그 자체로 의미 있다”는 지도교수의 조언은, 단기적인 결과에 흔들리기보다 문제를 깊이 이해하고 구조적으로 접근하게 하는 지침이 됐다.
“연구가 막히는 순간마다 구현이나 실험을 잠시 멈추고, 처음에 왜 이 질문을 붙들었는지부터 다시 돌아보려고 했어요. 무엇을 풀고자 했는지를 차분히 정리하고, 불필요한 요소를 덜어내면서 핵심 문제만 남기는 과정이 반복됐죠. 연구의 방향부터 다시 또렷하게 잡을 수 있도록 해 주신 지도교수님과의 논의가 정말 큰 도움이었습니다.”

자동 탐지와 개선 다음은 ‘정책’

처음 연구 결과를 보고했을 당시, 글로벌 기업들의 반응도 조심스럽고 신중했다고 한다. 그들은 보고된 내용이 실제 환경에서도 동일하게 재현되는지를 확인하기 위해 여러 차례 검증했고, 그러는 사이 문제의 심각성을 분명히 인식해 갔다. 이후 해당 연구의 실질적 가치를 공식적으로 인정하며, 포상이라는 성과도 따라 온 것이다.
그러나 정민기 학생은 “이 일련의 과정을 겪는 동안 가장 큰 소득은 외부의 인정이 아니라, 내 문제 설정과 접근 방식이 유효하다는 확신이었음”을 고백했다. 취약점을 발견해 기업에 제보하고 실제 개선으로 이어지는 일련의 과정을 지켜보며, 연구자가 문제를 정의하고 검증해 현실에 반영하는 역할을 주도적으로 수행할 수 있다는 자신감을 얻었기 때문이다. 그리고 이 모든 경험으로 연구를 이어가야 할 이유와 방향이 한층 더 견고해지기도 했다. 결국 이번 성과는 그에게 하나의 ‘결과’라기 보다는, 웹 보안 정책이 다양한 환경에서 실제로 어떻게 작동하는지를 더 넓은 관점에서 탐구하는 ‘시작’에 가까운 의미인 것.
“브라우저별 특성과 실행 환경의 차이를 아우르며 자동화된 방식으로 취약점을 탐지하고, 이를 실제 개선으로 연결하는 연구를 이어가고 싶어요. 지금으로서는 브라우저별 특성과 실행 환경의 차이를 읽으며 보안 정책 전반에 대한 이해를 확장하는 것이 목표고요.”

“질문 즐기며, 재미와 의미 찾아갈 것”

어릴 때 어떤 학생이었냐는 물음에 정민기 학생의 대답은 역시 ‘결과보다 과정을 궁금해하는 아이’였다. 무엇인가를 직접 만들어보며 “어떻게 작동하는지”를 고민하느라 골몰하는 시간이 그렇게 즐거웠다고. 이러한 성향은 초·중·고등학교를 거치며 이어졌고, 문제를 해결하거나 새로운 시도를 하며 얻는 배움과 깨달음은 여전히 그를 생동하게 한다. 말하자면 지금의 그를 연구로 이끄는 가장 큰 힘은 남과의 비교가 아니라, 스스로 의미 있다고 느끼는 목표를 세우고 그 과정에 최선을 다했을 때의 만족인 것이다.
“남과 비교해서 얻는 ‘성취’는 얕아서 오래갈 수 없을 것 같아요. 하지만 스스로 재미를 느껴서 하는 연구는 그 과정의 ‘즐거움’이면 충분해요. 물론, 그 가운데 수반되는 무언가 있다면 그 재미와 즐거움은 배가되기도 할 거예요. 그런 점에서 이번 성과는 정말 큰 의미를 남긴 것 같습니다.”
개인의 ‘건강한 만족’은 종종 사회의 ‘유익한 변화’로 이어진다. 정민기 학생이 연구를 대하는 태도와 선택 역시 UNIST라는 학문 공동체를 넘어, 더 넓은 사회로 차분히 확장되고 있음을 믿는다.