소프트웨어 평가 업체 vs. 소프트웨어 제조사
아직 끝나지 않은 싸움...하지만 일단 RSA 강연은 진행될 예정

[보안뉴스 문가용 기자] RSA 컨퍼런스의 강연을 두고 법정 공방까지 벌어졌다는 사실이 밝혀졌다. 싸움을 벌이고 있는 주체는 보안 업체인 크라우드스트라이크(CrowdStrike)와 소프트웨어 보안성 시험 업체인 NSS 랩스. 이번 RSA를 통해 NSS가 발표할 예정인 보안성 시험 결과에 크라우드스트라이크의 제품 평가가 좋지 않았던 것이다. 크라우드스트라이크는 이 사실을 알고 NSS를 고소, 강연을 취소시키려고 했으나 실패했다.


NSS 랩스는 이번 RSA에 발표할 목적으로 13개 사에서 나온 고급 엔드포인트 보호(Advanced Endpoint Protection, AEP) 제품들의 성능 및 보안성을 실시했다. 각 제품에는 다양한 형태의 모의 공격이 시도되었으며, 이 때 발생하는 성능 및 경보 오류 등을 집계한 것을 바탕으로 성적이 산출되었다. 그 성적은 가격과 대조된 후 최종적으로 ‘권장’, ‘조심스럽게 권장’, ‘주의’ 중 한 가지 등급이 부여되었다. 13개 기업 중 2개 업체가 ‘주의’ 등급을 받았고, 그 중 하나가 크라우드스트라이크다.

크라우드스트라이크는 이 사실을 알고 곧바로 연방 법원에 고소장을 제출했다. NSS가 불법적으로 크라우드스트라이크의 지적재산에 접근했다는 것이 그 이유였고, RSA에서 해당 등급이 발표될 경우 사익에 크나큰 손실이 발생할 것이 예상되므로 발표 자체를 하지 못하게 막아야 한다고 주장했다. 불법적으로 접근해 분석했기 때문에 실험 결과가 완전하거나 올바른 것도 아니라고 재판관에게 설명한 것으로 알려졌다.

하지만 법정은 일단 발표를 금지시켜달라는 요청은 기각시켰다. 크라우드스트라이크가 받을 크나큰 손실이 정확히 무엇인지 제대로 된 근거를 제시하지 못했기 때문이다. 하지만 NSS가 소프트웨어 평가를 위해 불법적인 접근을 했는지에 대한 여부는 아직 검토 중에 있다. 재판이 끝나진 않았지만 일단 RSA에서 크라우드스트라이크의 제품들은 ‘주의’ 등급이 붙을 예정인 것이다.

크라우드스트라이크의 CEO인 조지 커츠(George Kurtz)는 “평가를 진행하는 절차나 방법 모두 불완전하며, 그러므로 결과 역시 불공평하게 나왔다”고 주장하며 NSS의 실험 결과를 부정하고 있다. 문제가 되는 제품은 팔콘(Falcon)인 것으로 드러났다.

사건의 발단은 크라우드스트라이크가 작년 NSS에게 팔콘을 평가해달라고 의뢰를 하면서부터였다. 하지만 실험 과정과 방법론이 이상하다고 판단한 크라우드스트라이크는 의뢰를 취소하고, 실험 목록에서 팔콘을 빼달라고 했다. “당시 NSS의 실험 결과 완전히 합법적인 소프트웨어인 스카이프와 어도비 제품이 ‘악성’이라고 나오더라고요. 뭔가 잘못된 거죠. 그래서 실험을 취소했습니다.”

이 때문에 크라우드스트라이크에서는 금전적인 손해가 발생했다. 평가료가 15만 달러였기 때문이다. 하지만 크라우드스트라이크는 그 돈을 잃더라도 실험을 중단하는 게 맞다고 판단했다고 한다. 하지만 NSS는 그러한 일 뒤에도 계속해서 팔콘 실험을 진행했다. 크라우드스트라이크는 NSS가 최초 계약 관계에 있을 때 알려준 접근 방법을 계약이 종료된 시점에서도 사용했다며 이는 불법적이라고 주장한다. “그러니 불완전한 정보만을 가지고 실험을 한 것밖에 되지 않습니다.”

하지만 모양새가 영 좋지 않다. “저희보다 작은 기업인 NSS의 입을 강제로 닫으려는 게 아닙니다. 이러한 기업들의 존재가치를 인정하지 않았다면 처음부터 의뢰를 하지 않았겠죠. 저희가 문제를 삼는 건 실험 결과가 온전하거나 공평하지 않았다는 겁니다. 남의 소프트웨어를 평가하겠다면, 그 절차가 투명하고 공평해야 하지 않을까요? NSS는 그 점을 저희에게 입증해내지 못했습니다. 그래서 이런 과정을 겪고 있는 것이죠.”

이 문제 때문에 아직도 온전히 해결되지 못한 취약점 공개 문제나 타사 제품 실험 문제가 다시 도마 위에 올랐다. “누군가 독립적으로 소프트웨어의 보안성을 실험하고, 이에 대한 결과를 대중들에게 공개하는 건 필요한 일입니다. 하지만 이에 대한 표준 절차가 먼저 마련되어야 한다고 봅니다. 그게 없으면 이게 협박 도구로 악용되지 말라는 법이 없죠.”

하지만 NSS의 CEO인 비크람 파탁(Vikram Phatak)은 크라우드스트라이크의 대응에 대해 “유감이다”라고 답했다. “우리 실험이 공정하지 못했다는 크라우드스트라이크의 입장에 동의할 수 없으며, 실망이 매우 큽니다. 비록 RSA에서의 발표 자체가 막히지는 않았지만, 아직도 법적 싸움이 진행되고 있어 우리가 하고 싶은 말을 다 할 수 없게 되었습니다.”

세계 시장 분석 전문업체인 IDC의 분석가 피트 린드스트롬(Pete Lindstrom)은 “이런 식의 싸움은 빈번하게 발생하는 편”이라고 설명한다. “다만 크라우드스트라이크처럼 강경하게 나오는 기업이 많아질 경우 소프트웨어의 보안 평가라는 산업 자체가 크게 위축되긴 하겠죠. 사실 IT 분야의 잠재 고객들은 보안 평가 자체가 가지는 한계를 어렴풋이나마 이해하고 있고, 그래서 그 결과를 100% 받아들이지 않습니다. 보안 제품의 실험실 성능과 현실 성능이 다르다는 것도 익히 알려져 있고요. 그냥 참고사항일 뿐이죠.”

린드스트롬은 “다양한 평가 업체가 많으면 많을수록 자기 제품에 자신감 있는 기업들이 이득을 볼 것”이라며 “평가 하나하나에 발끈하는 게 아니라 좀 더 길게 볼 필요가 있다”고 정리한다. 물론 평가 과정의 투명성은 반드시 보장되어야 할 것이라는 말도 잊지 않았다. “크라우드스트라이크의 평판을 알고 있으며, 그 제품을 구매하기로 마음먹은 기업들이 NSS의 보고서 하나로 구매 결정을 바꿀까요? 그럴 가능성은 거의 없습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>