구글, 크롬 통해 HTTPS 밀어붙인 이야기와 구글의 보안 철학
보안은 ‘구조적인 향상’ 통해 꾀해야...장기 프로젝트 진행력이 중요

[보안뉴스 문가용 기자] 세계적인 보안 행사인 블랙햇이 개막했다. 첫 날 기조 연설자로 등장한 건 구글의 엔지니어링 책임자인 파리사 타브리즈(Parisa Tabriz)였다. 무대에 선 그는 최근 구글이 크롬을 통해 HTTPS의 도입을 강력하게 밀어붙인 것에 대한 이야기를 나눴다.


블랙햇의 창립자인 제프 모스(Jeff Moss)는 파리사 타브리즈를 소개하며 “세상에는 전 세계의 보안 상태를 한 차원 높이기 위해 실제적으로 뭔가를 할 수 있는 기업이 20군데 정도 된다”고 말했다. 그러면서 “구글도 그중 하나”라며, “구글이 뭔가를 시도하면, 모두에게 그 영향이 미친다”고 말을 이어갔다.

“가장 최근에는 HTTPS 도입 문제를 통해 구글의 이런 힘을 목격한 바 있습니다. 크롬 68을 통해 HTTPS가 아닌 사이트에는 ‘안전하지 않다’라는 표식을 부착하면서 전 세계 웹 개발자들이 사실상 HTTPS를 사용할 수밖에 없게 만들었거든요.”

하지만 구글이 그 강력한 영향력을 바탕으로 쉽게 밀어붙인 것만은 아니었다. 무대를 이어받은 타브리즈는 그 과정을 쭉 설명해가며, 자신이 믿고 있는 보안의 철칙이나 주요 포인트들을 하나하나 짚어나갔다.

타브리즈가 첫 번째로 언급한 건 “잘못된 현상에 대한 픽스로 만족하는 게 아니라, 문제의 근원을 파악하고, 거기서부터 해결을 시작해야 한다”는 것이다. 그러면서 구글의 보안 분석 팀인 프로젝트 제로(Project Zero)를 언급했다. “프로젝트 제로는 여러 플랫폼, 소프트웨어, OS, 서비스 등에서 제로데이 취약점을 찾는 팀으로 알려져 있습니다. 하지만 이는 표면상의 업적일뿐이죠. 프로젝트 제로의 목적은 공격자의 입장을 보다 더 깊이 이해하는 것이며, 이를 바탕으로 구조적인 방어체계를 구축하는 겁니다. 보안은 구조적인 향상으로 해결해야 합니다.”

두 번째로 타브리즈가 짚은 건 “장기 프로젝트를 운영하는 데 있어서 처음의 의도를 끝까지 관철시켜야 한다”는 것이다. 보안 강화 프로젝트는 때로 굉장히 긴 시간을 요할 수 있는데, 추진력을 끝까지 유지하는 게 생각보다 어렵다는 것이다. 그러면서 배가 산으로 가는 걸 종종 목격해왔다며, “중간 목표들을 정하고, 이를 단계별로 성취해가고, 성취한 후 자축하고 기념하는 것이 중요하다”고 권장했다.

세 번째는 “보안 외부에도 조력자들을 키워야 한다”는 것이었다. 보안은 더 이상 보안 팀 내부에서만 해결할 수 없는 것이며, 타 부서의 협력이 반드시 필요한 것이라는 뜻이다. “이미 보안을 단단히 하는 것이 사업 운영을 성공적으로 하는 것과 같은 맥락에 있다는 걸 사람들은 이해하고 있습니다. 유명하거나 공략이 어려운 표적을 겨냥한 익스플로잇 구축은 이미 예전보다 더 어려워지고 있습니다. 보안이 중요하다는 이해가 일반인들 사이에서 높아지니까 가능한 일입니다.”

HTTPS 밀어붙이기
타브리즈는 이 세 가지 포인트가 그저 이상론이 아님을 설명하기 시작했다. 그가 예시로 든 건 최근이 크롬을 통해 HTTPS를 밀어붙인 것에 대한 뒷이야기다. “저희의 의도는 암호화되지 않은 트래픽이 얼마나 위험한지를 보다 더 선명하고 꾸준하게 알리는 것이었습니다. 팀 내에서 그러한 목표가 명확히 세워져 있었죠. 동시에 이게 수년짜리 장기 프로젝트가 될 것이라는 것도 다 이해하고 있었습니다.”

또한 “웹이란 공간이 특정 인물이나 단체의 소유물이 아니기 때문에, 어떤 메시지를 모든 사람들에게 꾸준하고 일관적으로 전파하는 게 얼마나 어려운 일일지 처음엔 감도 오지 않았다”고 말을 이어갔다. “그래서 웹에 있는 사람들이 어떤 제약 사항을 가지고 있으며, 어떤 이유로 움직이기 시작하는지를 파악해야 했습니다. 각종 산업체의 입장과, 상이한 브라우저들, 웹에 적용되는 표준들, 누군가의 지적재산, 온갖 기술들을 다 파악해야 하는 일이었습니다.”

타브리즈는 암호화되지 않은 트래픽이 위험하다는 메시지를 웹 상에 전파하기 위해, ‘점진적으로 접근해야 한다’는 전략을 세웠다고 한다. “동시에 우리의 처음 의도를 끝까지 유지시키는 것도 잊지 말아야 했습니다.” 구글이 본격적으로 움직이기 시작한 건 2014년부터라고 타브리즈는 말한다. 먼저는 크롬의 사용자 인터페이스를 어떤 식으로 바꿀 것인가에 대한 브레인스토밍이 있었다.

이는 2015년까지도 계속됐으며 일반인들에게 UI 제안을 받기도 했다. 이 과정에서 암호화 되지 않은 트래픽의 위험성이 살짝 전파됐고, 정보 보안 커뮤니티의 지지를 받았다. 지지를 받기 시작하자 크롬 경영진 측에서도 HTTPS를 밀어붙이는 게 올바른 것이라는 확신이 섰다.

타브리즈는 “중간 중간 중요한 성과가 있을 때마다 자축하는 분위기를 만들었던 게 크게 작용했다”고 설명한다. “장기 프로젝트는 구성원의 사기를 끝까지 유지시키는 게 매우 중요합니다. 저희는 내부적으로 새 UI 디자인이 결정되고 나서, 그걸 바탕으로 한 스티커와 아이콘을 만들기도 했습니다. 소소하게 재미있으면서도, 누군가의 책상 위에 꽤나 오래 남아있는 기념품이 되었죠.”

하지만 모든 과정이 순순히 진행된 건 아니었다. “저희가 프로젝트 기간을 길게 잡았는데도 결국엔 모자랐어요. 시간이 더 필요하다고 했죠. 경영진 입장에서는 중단시킬 수도 있었습니다. 하지만 저희 팀은 내부적으로 자축하는 만큼 정기적으로 성과를 보고해왔고, 이 프로젝트로서 생기는 긍정적인 효과들을 꾸준히 알렸습니다. 경영진의 투자 결단이 어렵지 않게 도운 것입니다. 수익이 직관적으로 발생하지 않는 프로젝트를 추진할 때, ‘성공적으로 진행 중’이라는 사실을 윗선에 알리는 건 반드시 해야 하는 일입니다.”

또한 외부 파트너의 도움 없이도 HTTPS 도입 프로젝트는 실패할 수 있었다고 타브리즈는 설명한다. “구글은 독자적으로 이 프로젝트를 진행하지 않았습니다. 외부의 웹 표준 관련 기관들과도 계속해서 소통을 유지했습니다. 이미 정해지고 통용되고 있는 표준에 크게 영향을 줘서는 안 되는 일이었기 때문입니다. 또한 저희 파트너들은 표준 관련 기관이기 때문에 언제고 저희 프로젝트를 중단시킬 수도 있었습니다만, 그렇게 하지 않았습니다. 덕분에 여기까지 올 수 있었습니다.”

그러면서 타브리즈는 “좀 더 안전한 미래를 위한 길을 닦는다는 생각으로 HTTPS의 도입을 밀어붙였고, 그 과정에서 ‘모두의 도움 없이 안전한 미래를 개척할 수는 없다’는 걸 깨달았다”고 결론지었다.

3줄 요약
1. 블랙햇 개막! 첫 기조 연설자는 구글의 엔지니어링 팀 책임자.
2. 최근 몇 년째 HTTPS를 밀어붙인 구글. 그 이야기를 풀어낸 파리사 타브리즈.
3. 보안 장기 프로젝트를 진행하려면 근본 문제를 파악하고, 팀 내 사기를 유지하고, 외부의 협조 필요하다고 강조.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>