2년 동안 이어진 NSS 랩스와 크라우드스트라이크의 공방...최근 합의
중심이 되는 기준과 표준이 없어...피실험자와 소비자 모두 불이익

[보안뉴스 문가용 기자] 네트워크 보안 툴을 구매하려고 할 때 회사가 알아보는 것들에는 뭐가 있을까? 일단 비용, 비용 대비 효과, 호환성, 현재 네트워크 환경과 각종 시스템 및 플랫폼들과의 통합성 등이 있을 것이다. 그리고 가장 중요한 것 중 하나는 보안 툴을 설치한 이후의 네트워크 속도다. 이런 모든 요소들을 제대로 평가하기 위해서는 기술력이 필요한데, 자체적으로 이를 수행할 수 있는 조직은 그리 많지 않다. 그래서 있는 게 외부 평가 기관이다.


하지만 외부 평가기관과 보안 솔루션 개발사는 늘 삐걱거리는 관계일 수밖에 없다. 이는 최근 보안 업체 크라우드스트라이크(CrowdStrike)와 평가 전문 업체인 NSS 랩스(NSS Labs) 사이에 있었던 법적 공방을 통해서도 잘 드러난다.

NSS 랩스와 크라우드스트라이크는 지난 5월 말, 2년여의 법정 공방을 마무리 짓는 데 합의했다고 발표했다. 2017년 2월 크라우드스트라이크가 NSS 랩스를 고소하면서 시작된 일이었다. “NSS 랩스가 크라우드스트라이크의 팔콘(Falcon) 플랫폼을 테스트 한 뒤 ‘주의 요망(Caution)’ 등급을 주었다”는 것이 고소의 이유였다. 크라우드스트라이크는 계속해서 실험 과정이 잘못되어 있었다고 주장했다.

(그러는 와중에 NSS 랩스는 새로운 재판에 돌입했다. 이번에는 NSS 랩스가 크라우드스트라이크, 시만텍(Symantec), 이셋(ESET), 안티멀웨어 테스트 표준화 기구(AMTSO)를 고소했다. 이들이 담합을 통해 NSS 랩스를 제품 실험 시장에서 몰아내려고 했다는 게 NSS 랩스의 주장이었다.)

합의 끝에 NSS 랩스는 크라우드스트라이크 팔콘 플랫폼에 대한 2017년 실험 결과를 취소했다. 그리고 “NSS 랩스의 실험 과정이 완전하지 않았고, 제대로 설정이 되지 않은 상태였다”는 입장문을 발표했다. 사실상 NSS 랩스 측이 크라우드스트라이크의 요구를 들어준 것이다. 이로써 둘 사이의 재판은 끝났지만 NSS가 고발해서 시작된 공방은 아직도 진행 중이다.

네트워크 보안 실험, 무엇이 문제인가?
현제 네트워크 보안 실험이라는 분야는 ‘와일드 웨스트(Wild West)’ 그 자체다. 즉 큰 틀에서 정해진 규칙이나 표준이 없어 아무나 “내가 테스트를 진행하겠다”고 선언하고, 실험실을 하나 차린 뒤, 문을 닫고 자신만의 기준으로 실험을 진행할 수 있다. 문을 닫는다는 건 실험 방식을 제대로 공개하지 않거나, 누구와도 협의되지 않은 방법으로 진행한다는 뜻이다. 그러니 그 결과가 잘 수긍이 가지도 않거니와(크라우드스트라이크의 경우처럼), 보안 제품을 사려는 소비자들도 섣불리 신뢰하기가 힘들다.

이번에 NSS 랩스가 자신들이 2년 전에 발표한 실험 결과를 취소했다는 것은 현재 네트워크 보안 실험 업계가 처한 문제를 고스란히 보여준다. 바로 실험의 기준이 되는 절차나 규정, 표준이 제대로 정해지지 않는다면, 각자가 자기 기준에 맞춰서 하는 실험의 결과는 언제나 바뀔 수 있다는 것이다. 그러니 누가 뭘 어떻게 신뢰하겠는가.

이 문제를 거꾸로 뒤집으면, 실험 대행사와 소프트웨어 제조사가 담합을 하기도 쉬운 환경이라는 지적이 나올 수도 있다. 실제로 소프트웨어 제조사들은 실험 업체들에 “이런 저런 조건에서 실험을 진행해달라”는 요청을 많이 한다. 당연히 자신들의 제품이 최적의 성능을 발휘할 만한 조건을 제시한다. 이에 따라 실험을 진행하는 입장에서도 그런 점을 많이 반영하는 것으로 알고 있다. 제품이 뛰어나게 보일만 한 부분을 부각시키고, 반대의 측면은 잘 드러내지 않는 것이다.

결국 문제는 두 가지로 압축된다.
1) 큰 틀에서의 표준이 없으므로 실험을 진행하는 곳에서 실수를 할 수 있다.
2) 큰 틀에서의 표준이 없으므로 피실험 업체가 실험 업체에게 여러 모로 영향을 끼칠 수 있다.
그리고 이 두 가지는 결국 하나의 결과를 낳는다. 바로 아무도 믿을 수 없는 결과만 나온다는 것이다. 보안 성능이 궁금한 소비자들에게 믿을 수 없는 결과물을 줄 수밖에 없는 구조라면, 산업의 존재 의미조차 희미해진다.

공개 보안 실험 표준의 중요성
실험을 대행하는 조직들이라면 피실험 업체들과 ‘협상’을 한다는 것 자체가 꺼려질 수밖에 없다. 얄팍한 돈벌이가 목적이 아니라면, 실험 결과의 신뢰도를 떨어트리는 협상 비스무리한 자리도 질색을 할 것이고, 따라서 그들이 원하는 조건을 실험 과정에 반영하는 것도 전혀 바라는 일이 아니어야 정상이다.

소프트웨어 제조사들도, 굳이 자신들이 못하는 부분이 강조되는 실험 절차를 가진 곳에 아무 것도 모른 채 실험을 부탁하고 싶지 않을 것이다. 실험 업체가 경쟁사와 담합을 했을지도 모른다는 의심을 품어야 하는 환경 역시 달갑지 않을 것이고 말이다.

일반 사용자 기업은 어떤가? 사이버 공격이 난무하는 때에, 최소한의 방어 장비를 갖추고 싶은데, 뭐 하나 믿을 게 없는 시장의 상태라면 보안이라는 산업 자체에 회의를 느낄 것이다. 하지만 지금 보안 실험 산업은 이 모든 우려가 현실로 나타나고 있는 현장이다. 이렇게 모두가 불만족스러운 사태의 뿌리에는 단 하나의 이유가 존재한다. 누구에게나 공개된 표준이 없다는 것이다.

물론 아주 없는 건 아니다. 위에서 언급된 안티멀웨어 테스트 표준화 기구도 있고, 넷섹오픈(NetSecOPEN)도 있다. 둘 다 ‘와일드 웨스트’와 같이 기준 없는 현재의 시장 상태를 개선하기 위해 마련된 것들이다.

보안 실험을 누군가 객관적으로 진행하는 절차는 필요하다. 하지만 문을 닫은 채 자기 혼자 뭔가를 한 뒤에 그 결과만 세상에 툭 내놓는 건 더 이상 통하지도 않으며, 아무도 바라지 않는다. 실험을 하는 자와 받는 자, 그리고 그 결과를 기대하는 자들이 모두 만족할 수 있을 만한 ‘열린’ 표준이 필요하다.
글 : 브라이언 몽크먼(Brian Monkman), NetSecOPEN

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>