• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

확산되는 움직임 : 보안도 보증이 필요하다 2018.03.06

제품과 솔루션에 대한 보증 바라는 기업들 많아
투명하게 공개한다고 보안에 도움될까?...의문 제기되기도

[보안뉴스 문가용 기자] 제품 보증은 아직 보안 산업에서 낯선 개념이다. 하지만 그 인기가 빠르게 확산되고 있다. 특히 보안 제품을 사야 하는 소비자들은 보안 제품에 대한 보증을 크게 반가워하고 있다. 그래서 지금은 10개도 넘는 보안 업체들이 제품 및 서비스에 대한 품질 보증을 제공하고 있다.

[이미지 = iclickart]


이러한 업체들 중 비교적 잘 알려진 곳은 프루프포인트(Proofpoint), 시만텍(Symatec), 센티넬원(SentinelOne), 트러스트웨이브(Trustwave) 등이다. 이들은 자신들의 제품이나 서비스와 관련된 사이버 보안 사고가 발생했을 때 다양한 방법으로 손해를 보상해준다. 예를 들어 시만텍은 자사의 라이프록(LifeLock) 아이덴티티 도난 방지 서비스를 사용하는 고객사에서 사고가 발생하면 최소 2만 5천 달러에서 최대 1백만 달러까지 보상해준다. 센티넬원의 경우는 감염된 엔드포인트당 1000달러를 보상한다. 그러나 아직 보상 제도가 보안 산업의 주류라고 보기에는 힘들다.

한편 보안이 강화된 메신저 및 협업 솔루션을 제공하는 업체인 위커(Wickr)는 새로운 보안 투명성 프로그램을 시작했다. 서드파티로부터 정기적인 소프트웨어 보안 테스트를 받고, 그 결과를 투명하게 대중들과 공유한다고 발표한 것이다. 접근이 조금 다르지만 결국은 품질 보증과 흡사하다. 다만 보증과 정확하게 똑같은 건 아니다. 위커의 CEO인 조엘 월렌스트롬(Joel Wallenstrom)은 “아직 품질 보증까지 도달한 것은 아니”라고 설명하며 “보다 나은 품질 보증을 위한 준비 단계”라고 표현했다.

시장 조사 업체인 밴슨 본(Vanson Bourne)이 최근 실시한 연구 결과에 의하면 미국 기업들의 95%가 보안 솔루션 파트너가 품질 보증을 제공해주길 원한다고 한다. 심지어 88%는 보증을 제공해주는 업체로 파트너사를 바꿀 의향도 있다고 답했다.

이런 상황에서 위커가 새롭게 시작한 프로그램은, 보증 프로그램이 아니라고 할지라도, 큰 의미를 갖는다. 내부 엔지니어링 및 소프트웨어 시험 과정을 대중에게 공개한다는 건, 코드와 서드파티 소프트웨어 보안 테스트 관련 노하우까지 다 노출시킨다는 뜻이 되며, 더 많은 사람들이 품질 보증이라는 개념을 익히게 되기 때문이다. 위커는 “각종 실험에 위커의 코드가 어떤 평가를 받을지 자신 있고, 약한 점을 모두가 보는 앞에서 보완해 신뢰감을 높일 준비가 되어 있다”고 말한다.

서드파티 소프트웨어 보안 테스팅 전문 업체인 NCC 그룹(NCC Group)은 위커의 새로운 ‘투명성 프로그램’에 함께하기로 했다. NCC 그룹은 “보안 테스트 결과를 대중에게 공개하기로 한 업체는 위커가 처음인 것으로 알고 있다”며 “새로운 보증 방식이 될 수 있을 것”이라고 말했다. CTO인 올리 화이트하우스(Ollie Whitehouse)는 “GDPR이 도입되기 시작하면 보다 많은 업체들이 규정 준수와 보안에 대한 압박감을 느끼고, 그에 따라 보증 제도가 더 확산될 것”이라고 예상하고 있다.

보안 업체 센티넬원(SentinelOne)의 보안 전략가인 예레미야 그로스만(Jeremiah Grossman)은 이러한 ‘보증’ 캠페인의 시초라고 볼 수 있는 사람이다. 그로스만은 위커의 새로운 투명성 프로그램에 대해 “게임체인저(game changer)”가 될 수 있다고 말했다. “자신이 있으니 할 수 있는 것이겠고, 광고와 홍보로 자신감을 표출해왔던 수많은 기업들 역시 해봄직한 보증 방법입니다. 스스로를 증명할 기회가 되기도 하겠죠.”

최근에는 사이버 보험 상품들이 늘어나 기업들이 리스크에 대한 보장을 어느 정도 받을 수 있게 됐다. 그러나 그것만으로 충분하지 않다는 게 그로스만의 주장이다. “제품을 만드는 곳에서도 고객들에 대한 보호 장치를 마련해줘야죠. 보안은 보증을 할 필요가 없다는 기존 생각들을 버릴 필요가 있습니다. 좀 더 고객의 불안감을 이해해줄 필요가 있어요.”

한편 암호화 기술 전문가인 폴 코크너(Paul Kochner)는 위커와 같은 프로그램을 모두가 실시할 수 있는 건 아니라는 입장이다. “제가 봤을 땐 많은 기업들이 위커처럼 할 수 없어요. 보안 제품의 품질 보증은 수수께끼와 같거든요. 일단 보안 솔루션이나 서비스가 보안 사고에 대해 어느 선까지 책임을 져야 하는지 명확히 논의된 바도 없고, 보안 솔루션을 투명하게 공개하는 게 과연 보안에 정말 도움이 되는지도 알 수 없거든요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>