BLOTER.NET

“평판이 가미된 보안 기술이 시큐리티2.0 시대에 새로운 유형으로 부상할 것이다.”

글로벌 보안 업체 시만텍에서 기술 전략을 책임지는  마크 F.브레그먼 총괄 부사장 겸 최고기술책임자(CTO)가 웹2.0 시대의 보안 기술에 있어 ‘평판’ 개념을 의미있는 변수로 꼽아 주목된다.

브레그먼 CTO는 11일 서울에서 열린 ‘시만텍 비전2007′ 행사 중간에 가진 인터뷰에서 평판에 기반한  보안 개념을 강조한데 이어 시만텍 내부서도 이와 관련한 실험이 진행중이라고 공개했다.

그는 “웹2.0 시대의 보안은 정보와 온라인 거래에 대한 방어를 포함한다. 파일을 내려받을때 이게 과연 안전한 것인지 아닌 것인지 살펴보는데 있어 평판은 활용할만 하다”면서 웹2.0 서비스들에 녹아든 평판이 보안에도 적용될 수 있는 개념임을 분명히 했다. 국내의 경우 안철수연구소가 빛자루에 포함된 그레이제로에 집단지성 개념을 도입한 바 있다.

관련글: 집단지성 보안프로젝트 ＇그레이제로＇를 보면서…

브레그먼 CTO는 본격적인 인터뷰에 들어가기에 앞서 시만텍이 추진중인 혁신에 대해서도 비교적 상세하게 언급했다. 그는 “시만텍이 말하는 혁신은 시장의 고객들에게 혜택을 가져다줄만한 발명과 아이디어를 의미한다”면서 “이를 위해 시만텍은 오픈 이노베이션이란 모델아래 자체 혁신은 물론 파트너십과 인수합병(M&A)도 적극적으로 시도해 나가고 있다”고 설명했다. 지난해 연매출의 15%에 해당하는 7억5천만달러를 연구개발(R&D)에 쏟아부었다는 말도 빼놓지 않았다.

브레그먼 CTO는 R&D 프로세스 혁신을 통해 얻은 몇가지 의미있는 결과물들도 소개했는데, ID관리 부문과 ‘시만텍 데이터베이스 시큐리티’란 제품 등에 초점을 맞췄다. 특히 ‘시만텍 데이버베이스 시큐리티’의 경우 기업 규모가 커지면 R&D센터에서 얻은 결과물을 비즈니스 조직과 연결하기가 쉽지 않은데, 이를 사내 벤처 형태의 조직을 만들어 상용화시킨 사례여서 눈길을 끌었다. 다음은 브레그먼 CTO와 나눈 얘기들을 정리한 것이다.

-지난해 시큐리티2.0이란 슬로건을 던졌다. 이후 시만텍의 제품 개발에서 달라진것은 무엇인가?

우선 아이덴티디(ID)관리 부문이 중요한 요소로 떠올랐다. 시큐리티2.0을 말할 당시에도 언급했지만 시큐리티1.0이 인프라 보호였다면 2.0은 이를 넘어 정보와 온라인 거래에 대한 보호까지 포함하고 있다. ID관리가 중요한 것은 바로 이때문이 아닐까 싶다. 인터넷 보안을 생각할때 큰 문제중 하나는 ID에 대한 개념이다. 물리적 세계의 그것과는 다르기 때문이다.  인터넷에서는 사용자 ID가 여러개일 수 있다. 그런데 이 사람이 동일 인물인지 확인할 방법이 없다.  ID도용에 따른 프라이버시 문제도 커지고 있다. ID 불법 사용을 통한 여러가지 금전적인 손실이 벌어지는 경우도 있다.  사용자 입장에서는 기본적으로 불편할 수 밖에 없다.  이에 시만텍은 어떻게 하면 인터넷상에서 안심하고 ID관리를 할 수 있겠느냐는 도전 과제로 삼고 있다. 이미 사용자 ID와 비밀번호를 관리해주는 개념은 제품에 적용했다. 한국서도 조만간 발표될 것이다.

평판도 관심있게 보고 있다. 인터넷상에서  파일을 내려받을려고 할때 이게 과연 안전한지 여부를 확인할 필요가 있다. 요즘에는 워낙 많은 파일이 생기고 있어 일일이 대응하기에는 한계가 있다. 이에 평판을 기반으로 보안 수준을 측정하는 것에 대한 필요성을 느끼고 있다. 예를 들어보겠다. 식당이 하나 문을 열었는데, 그 식당에 대해 없다고 치자. 그러나 사람들이 줄서 있는 것을 보면 안심하게 된다. 보안에서의 평판도 그것과 유사하다고 볼 수 있다. 안심에 대한 평판과 사람들의 인식을 활용하자는 것이다. 굳이 이런 얘기를 아는 사람을 통해 들어야 만 하는 것은 아니다. 익명성 기반한 평판도  온라인 데이터에 적용할 수 있다. 시만텍 내부적으로는 아직 실험중이다. 시장에 내놓지는 않았지만 이런게 시큐리티2.0 시대에 새로운 스타일이라고 생각한다.

관련글: ＂웹 2.0 시대, 보안 솔루션도 2.0＂

-웹2.0 서비스들이 확산되면서 보안 위협도 가중되고 있다. 요즘 등장한 웹서비스중 상대적으로 보안에 취약하다고 생각하는 것들은 어떤 유형인가?

특정한 유형을 꼽기는 힘들다.  분명한 것은 가장 인기있고 가치가 높은 웹서비스가 취약하다는 것이다. 그쪽으로 집중할 수 밖에 없다. 유명한 은행강도가 잡혔는데, “왜 그랬는가?”하고 물어보니 “거기에 돈이 있으니까”라고 대답했단다.(웃음) 인터넷 보안도 마찬가지다. 얼마전만 해도 온라인 게임에 집중적인 공격이 있을 거라 생각하지 못했다. 그러나 지금은 훔친 게임 캐릭터를 거래하는 지하경제가 구축돼 있다. 전세계적으로 봐도 그렇고, 한국도 그럴 것이다. 많은 시간을 투자해 키워놓은 강력한 캐릭터를 누가 훔쳐 돈을 주고 팔고 사고 있다는 것은 5년전만 해도 인터넷 보안 업체들이 예상하지 못한 시나리오다.  실제로 보안에 있어 가장 어려운것은 ‘예상하기가 힘들다’는 것이다. 사례가 아닐까 싶다. 보안 업체들에게 민첩성이 요구되는 이유다.

-ID관리 부문을 많이 언급했다. 요즘 국내외적으로 오픈ID를 지원하는 서비스들이 들고 있다. 오픈ID의 보안성에 대한 견해를 말해달라.

오픈ID는 ID를 서로 교환하는데 사용하는 프로토콜이다. 일종의 표준이다. 이에 오픈ID와 관련된 보안 이슈가 따로 있는 것 같지는 않았다. ID관련해서는 두가지 문제가 있음을 인식해야한다. 하나는 오픈ID는 커뮤니케이션을 할때 내가 그 사람이라는 것을 입증하는데 있어  해결책이 될 수 있다는 것이다. 두번째는 좀 다른 문제다. ID를 처음 만들때 어떻게 하면 내가 믿을만한 것을 만들어내느냐 하는 것이다.  오픈ID는 물리적인 공간에서 여권이나 면허증을 받는 것과는 다르다. 이에 ID와 평판이 혼합된 형태가 기준이 되지 않을까 싶다. 비교하자면 신용평가와 비슷한 개념이다. 이런 맥락에서 오픈ID, MS 카드스페이스, 자유연합(리버티 얼라이언스)는 중요한 역할을 담당하겠지만 어느 하나가 모든 해결책이 되지는 않을 것이다.

관련글1: 오픈ID 생태계 둘러보기-2
관련글2: 자유연합-MS, 통합ID인증 둘러싼 갈등에 종지부?

-보안 업체들이 몇년전부터 모바일 보안 위협을 강조했지만, 실제로 대형 사건은 벌어지지 않았다. 내년 모바일 보안 위협에 대해 시만텍은 어떻게 접근하고 있는가?

그러한 내용을 전망한다는 것은 조류독감같은게 크게 확산될 수 있다고 전망하는 것만큼 어렵다. 전망대로 안되는게 오히려 다행이다.(웃음) 그래도 조심은 해야 한다. 모바일과 관련한 웜이나 바이러스가 나오기는 했으나 커다란 영향력이 없었던 것은 사실이다. 두가지 이유가 있다고 본다. 우선은 모바일을 노리는 해커들의 숫자가 PC쪽보다 적다. 해커들이 얻어낼만한 금전적인 가치가 모바일쪽에서 아직은 없는 상황이다. 공격을 할만한 모바일 기기가 충분히 보급돼 있지 않은 탓도 있는 것 같다.