• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 제품 실험 업체 NSS 랩스, 솔루션 제조사들 고소 2018.09.20

AMTSO 표준 도입하지 않아 피해 발생하고 있다고 주장
제품 실험 업체와 제조 업체 사이의 오래된 불화 다시 불붙을 듯

[보안뉴스 문가용 기자] 보안 제품을 실험해주는 업체인 NSS 랩스(NSS Labs)는 오늘 보안 업체들인 크라우드스트라이크(CrowdStrike), 이셋(ESET), 시만텍(Symantec)과 국제 안티멀웨어 실험 표준 기구(Anti-Malware Testing Standards Organization, AMTSO)를 독점 금지법 위반으로 고소했다.

[이미지 = iclickart]


고소장에 의하면 이 세 개 기업들과 비영리 단체인 AMTSO는 불공평하게 제품 실험을 진행한다고 한다. AMTSO가 정한 실험 프로토콜 표준을 준수하고 있는 조직들에서만 제품을 실험 받을 수 있게 하고 있다고 NSS 랩스는 주장하며, “우리도 AMTSO의 회원이긴 하지만 AMTSO의 실험 프로토콜에 반대하고 있으며 앞으로도 이를 도입할 계획이 없다”고 밝혔다.

보안 제품을 개발하는 업체와, 이를 실험하는 업체 사이의 마찰은 업계 내 항상 존재하던 것이다. 실험의 과정과 방법, 결과의 권위 문제를 놓고 제조사와 실험 주체가 팽팽히 맞서온 것은 자연스럽다. 이런 사정을 잘 알고 있는 보안 전문가들은 NSS 랩스의 고소가 이러한 오래된 다툼의 연장선에 있다고 보고 있다.

NSS 랩스는 “ATMSO가 만든 실험 표준을 도입하지 않았을 경우 보안 제조사들이 집단으로 보이콧을 실시했으며, 따라서 사업에 커다란 차질을 빚었다”고 주장했다. NSS 랩스의 CTO인 제이슨 브르베닉(Jason Brvenik)은 ATMSO 표준이 불충분하다고 도입 반대 이유를 설명했다. “NSS 랩스가 제품을 실험할 때 보는 것은 ‘이 제품이 시장에 내놓고 팔아도 괜찮은가?’입니다. 그런데 특정 단체들이 만든 표준을 도입하고, 그 세력에 편입되는 순간 이 질문에 대한 순수한 답을 유출해내지 못하게 됩니다. 실험은 객관적이어야 하기에 독립적이어야 합니다.”

그러면서 브르베닉은 “ATMSO의 표준은 독립적인 실험을 지원하지 않고 있다”고 주장했다. “제조사의 입김이 강하게 작용할 여지가 있는 표준입니다. 제조사가 광고한 그대로 기능이 발휘된다고 믿어야만 한다는 것이죠. ATMSO가 표준이랍시고 내놓은 것은 기업들과 상호 관계를 구축하는 데 필요한 가이드라인이지, 실험용 표준이 아닙니다.”

NSS 랩스는 AMTSO의 표준에 반대하는 기업 및 단체들이 또 있다고 말했다. “AV컴패러티브즈(AVComparatives), AT테스트(AV-Test), SKD 랩스(SKD LABS) 등입니다.” 하지만 이들은 이번 사건에 대해 침묵하고 있다.

한편 이번에 고소를 당한 크라우드스트라이크는 “우리도 독립적이고 윤리적인 실험을 지지한다”고 발표했다. “심지어 공개 실험도 우린 환영합니다. 실제로 AV컴패러티브즈, SE 랩스(SE Labs), MITRE 등의 독립적인 실험을 여러 번 받았고, 그 결과를 지금도 공개하고 있습니다. AMTSO는 이러한 실험 환경을 더 투명하고 일관성 있게 조성하려는 것이므로 크라우드스트라이크는 AMTSO의 표준을 지지합니다.”

AMTSO나 이셋, 시만텍은 아직 공식 입장을 발표하지 않았다. 하지만 ATMSO의 회장인 데니스 뱃첼더(Dennis Batchelder)는 이번 달 초 블로그를 통해 “ATMSO의 프로토콜은 소프트웨어 테스트 회사가 자발적으로 도입할 수 있는 것이며, 강제적인 영향력을 갖고 있지 않다”고 밝힌 바 있다.

사용자 기업 입장에서는 보안 솔루션을 구매하기 전 실험해보는 것이 대단히 중요하다. 그러나 이를 독자적으로 할 만큼 전문성을 가지고 있는 곳은 흔치 않다. 그렇기에 실험을 전문으로 하는 기업들이 생겨난 것인데, 보안 컨설팅 업체인 엔터프라이즈 스트레티지 그룹(Enterprise Strategy Group)의 수석 분석가인 존 올트식(Jon Oltsik)은 “실험을 하지 않고 광고만 보고 솔루션을 사는 건 매우 어리석은 일이며, 제조사가 자사 제품을 실험한 결과를 그냥 믿는 것도 마찬가지”라고 설명한다. 그만큼 실험이라는 부분에 시장의 수요가 있다는 것이다.

NSS 랩스의 CEO인 비크람 파탁(Vikram Phatak)은 “AMTSO의 표준은 이러한 시장의 수요에 응하지 않는다”고 주장한다. “프로토콜을 들여다보면 알겠지만, AMTSO가 하려는 건 ‘블라인드 실험’을 저지하려는 것입니다. 제조사가 어디인지, 어떻게 만들어졌는지 등의 편견을 가지지 않은 상태에서 진행하는 실험을 불가능하게 만들고 있죠. 그러니 제조사들이 AMTSO의 표준을 도입하지 않는 실험 기관들에 보이콧을 실시하는 것이고요.”

3줄 요약
1. 시장은 보안 제품을 만드는 자와 그걸 독립적으로 실험하는 자, 제품을 사는 자로 구성되어 있음.
2. 제품을 만드는 자와 실험하는 자 사이에는 끊임없는 불화가 일고 있음. 당연한 현상.
3. 그 연장선에서 실험 기관인 NSS 랩스가 여러 제조사들을 고소함. 무리를 지어 부당한 실험 표준을 도입하도록 시장 분위기를 형성한다는 것임.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>