• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 솔루션에도 품질 보증이 있어야 하는 이유 2018.02.12

솔루션 개발사들과 소비자들 모두 보안에 진지해질 수 있어
모호한 구두 약속이 아니라 정량화된 서면 계약이 중요

[보안뉴스 문가용 기자] 보안 솔루션 제공 업체들이 자신의 제품에 대한 ‘품질 보증’을 도입하고 있는 추세다. 보안 시장도 경쟁이 심화되고, 일반 소비자들의 보안 인식이 조금씩 향상되면서 나타나는 현상이라고 분석된다.

[이미지 = iclickart]


보안 업체인 센티넬원(SentinelOne)의 보안 전략가인 예레미야 그로스만(Jeremiah Grossman)은 “보안 시장은 거짓과 속임수 전략이 가득하다는 걸 현장에서 많이 느낀다”고 설명한다. “소비자들은 여러 업체들의 그럴듯한 메시지들 속에서 스스로 좋은 걸 선택해야 합니다. 하지만 소비자들은 보안 비전문가들이죠. 그러니 과장되거나 허황된 메시지라도 받아들일 수밖에 없는 것이고요. 경쟁사 입장에서도 상대 회사가 거짓말 하는 거 뻔히 보이는데 조치를 취할 방법이 마땅히 없었어요.”

그래서 예레미야 그로스만은 ‘사이버 품질 보증(cyber warranty)’라는 개념을 창안해 자사 보안 솔루션의 기능성을 소비자들에게 보장해주기 시작했다. 고객들에게 홍보하기 위해 했던 말들에 거짓이 없음을 증명하기 위해서였다. “처음에는 논란도 많았고 비판도 많았습니다. 보안 솔루션 회사 중 ‘책임’이란 걸 스스로 지고 싶어 하는 사람은 아무도 없었거든요.”

그런데 최근 들어 트렌드가 바뀌고 있음을 그는 느끼기 시작했다. 센티넬원처럼 보안 제품에 대한 품질 보증을 해주는 업체들이 하나 둘 늘어나고 있기 때문이다. 그렇다면 사이버 품질 보증이란 무엇일까? 보안 사고가 일어나면 보안 제품이 기능을 발휘 못한 것이니, 돈을 물어주는 것일까? 그렇다면 사이버 보험과 사이버 품질 보증의 차이는 무엇인가?

그로스만은 다음과 같이 설명한다. “사이버 보험이 보장해주는 건 방어에 들어가는 비용, 뚫렸을 때의 분쟁 및 합의 비용, 사건 대응 비용에 관한 것입니다. 데이터 유출 사고가 일어났을 때 취해야 할 행동과 그 결과물에 대한 비용을 커버해주는 것이 보험이죠. 즉 사전 계약에 명시됐던 사고가 일어나야만 혜택을 볼 수 있게 되는 겁니다.”

그에 반해 사이버 품질 보증은 솔루션을 개발한 업체가 고객들에게 제공하는 것으로, 해당 솔루션으로 인해 외부로의 데이터 유출이 일어났을 경우 시스템 업데이트와 관련된 비용과 서비스를 재시작하는 비용을 보장해준다.

최근 보험 관리 업체인 슈이네레(Schinnerer) 역시 보안 소프트웨어 업체인 가이드와이어(Guidewire)와 손을 잡고 새로운 사이버 품질 보증을 시작했다. 이 두 업체의 파트너십에서는 사이언스(Cyance)라는 위험 분석 툴이 적극 사용된다. 고객이 가지고 있는 리스크를 제대로 파악해 전략을 맞춘 후 보증 정책을 적용하기 위해서다. 이 품질 보증 상품은 연간 수익이 4천만 달러 이하인 중소기업을 위한 것이다.

“솔루션 제공 업자들이 고객들과 정량화된 근거를 바탕으로 약속을 할 수 있도록 해주기 위한 장치를 마련한 것이라고 볼 수 있습니다. ‘우리 솔루션 사용하고도 사고 나면 책임져 줍니다’라는 문구는 매우 모호하거든요. 실제로 이 모호함 때문에 분쟁이 발생하고요.” 슈이네레 측의 설명이다.

센티넬원과 슈이네레는 사이버 품질 보증을 안정적으로 정착시키려면 “보안 솔루션을 만든 회사부터 자신의 제품이 어떤 상황에서 어떤 기능을 발휘하는지 이해하고 있어야 한다”고 강조한다. “내부 실험을 통해 지금 출시되고 있는 우리 제품이 어떤 상황에서 오류를 일으키거나, 어떠한 고객 불만 사항을 이끌어낼 수 있는지 객관적으로 파악하는 게 중요합니다.”

센티넬원의 그로스만은 이 과정이 쉽지 않을 것이라고 말한다. “왜냐하면 ‘우리 제품은 100% 안전해’라고 믿고 말해야 하는 습관이 뿌리내리고 있기 때문이죠.” 그래서 센티넬원은 “랜섬웨어 방지 제품을 만들고 랜섬웨어 감염 성공률이 1% 아래로 떨어질 때까지 실험을 계속해서 한 후 보증과 함께 출시했다”고 말한다.

그로스만은 “품질 보증을 하게 된다면 제품에 대해 더 철저하게 확인하고 점검할 수밖에 없게 되고, 이것은 곧 고객 신뢰로 연결된다”고 강조한다. “약속을 지킬 수 있는 보안 회사가 되는 겁니다. 그러한 인식이 쌓이면 이 치열한 보안 시장에서 남다른 장점을 갖게 되는 것이죠.”

그러므로 그로스만은 일반 소비자들도 “보안 솔루션을 살 때 품질 보증 제도가 있는지, 그러한 계약을 맺을 의향이 있는지 물어봐야 한다”고 권고한다. “구두로 말고 계약서 상으로 할 수 있는지를 진지하게 물어야 합니다. 정말 자신이 있고, 고객의 안전에 책임을 질 수 있는 보안 회사라면 응할 겁니다.”

물론 아직 사이버 품질 보증에 대한 ‘표준’이 정립된 것은 아니다. 그러므로 ‘보증 해줍니까?’라고 물었을 때 ‘그렇다’고 해놓고 요리 조리 도망가는 데 능한 모습을 보일 회사도 있을 것이다. 하지만 그로스만은 “그게 싫다면 품질 보증만 믿고 환경설정 오류를 사용자가 일으키는 실수를 줄이면 된다”고 말한다. “품질 보증은 장기적으로 개발사와 소비자 모두 보안을 보다 진지하게 받아들이게 하는 작용을 합니다. 그러므로 품질 보증은 반드시 정착되어야 할 제도입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>