“평판이 가미된 보안 기술이 시큐리티2.0 시대에 새로운 유형으로 부상할 것이다.”

글로벌 보안 업체 시만텍에서 기술 전략을 책임지는  마크 F.브레그먼 총괄 부사장 겸 최고기술책임자(CTO)가 웹2.0 시대의 보안 기술에 있어 ‘평판’ 개념을 의미있는 변수로 꼽아 주목된다.

브레그먼 CTO는 11일 서울에서 열린 ‘시만텍 비전2007′ 행사 중간에 가진 인터뷰에서 평판에 기반한  보안 개념을 강조한데 이어 시만텍 내부서도 이와 관련한 실험이 진행중이라고 공개했다.

그는 “웹2.0 시대의 보안은 정보와 온라인 거래에 대한 방어를 포함한다. 파일을 내려받을때 이게 과연 안전한 것인지 아닌 것인지 살펴보는데 있어 평판은 활용할만 하다”면서 웹2.0 서비스들에 녹아든 평판이 보안에도 적용될 수 있는 개념임을 분명히 했다. 국내의 경우 안철수연구소가 빛자루에 포함된 그레이제로에 집단지성 개념을 도입한 바 있다.

관련글: 집단지성 보안프로젝트 ＇그레이제로＇를 보면서…

브레그먼 CTO는 본격적인 인터뷰에 들어가기에 앞서 시만텍이 추진중인 혁신에 대해서도 비교적 상세하게 언급했다. 그는 “시만텍이 말하는 혁신은 시장의 고객들에게 혜택을 가져다줄만한 발명과 아이디어를 의미한다”면서 “이를 위해 시만텍은 오픈 이노베이션이란 모델아래 자체 혁신은 물론 파트너십과 인수합병(M&A)도 적극적으로 시도해 나가고 있다”고 설명했다. 지난해 연매출의 15%에 해당하는 7억5천만달러를 연구개발(R&D)에 쏟아부었다는 말도 빼놓지 않았다.

브레그먼 CTO는 R&D 프로세스 혁신을 통해 얻은 몇가지 의미있는 결과물들도 소개했는데, ID관리 부문과 ‘시만텍 데이터베이스 시큐리티’란 제품 등에 초점을 맞췄다. 특히 ‘시만텍 데이버베이스 시큐리티’의 경우 기업 규모가 커지면 R&D센터에서 얻은 결과물을 비즈니스 조직과 연결하기가 쉽지 않은데, 이를 사내 벤처 형태의 조직을 만들어 상용화시킨 사례여서 눈길을 끌었다. 다음은 브레그먼 CTO와 나눈 얘기들을 정리한 것이다.

-지난해 시큐리티2.0이란 슬로건을 던졌다. 이후 시만텍의 제품 개발에서 달라진것은 무엇인가?

우선 아이덴티디(ID)관리 부문이 중요한 요소로 떠올랐다. 시큐리티2.0을 말할 당시에도 언급했지만 시큐리티1.0이 인프라 보호였다면 2.0은 이를 넘어 정보와 온라인 거래에 대한 보호까지 포함하고 있다. ID관리가 중요한 것은 바로 이때문이 아닐까 싶다. 인터넷 보안을 생각할때 큰 문제중 하나는 ID에 대한 개념이다. 물리적 세계의 그것과는 다르기 때문이다.  인터넷에서는 사용자 ID가 여러개일 수 있다. 그런데 이 사람이 동일 인물인지 확인할 방법이 없다.  ID도용에 따른 프라이버시 문제도 커지고 있다. ID 불법 사용을 통한 여러가지 금전적인 손실이 벌어지는 경우도 있다.  사용자 입장에서는 기본적으로 불편할 수 밖에 없다.  이에 시만텍은 어떻게 하면 인터넷상에서 안심하고 ID관리를 할 수 있겠느냐는 도전 과제로 삼고 있다. 이미 사용자 ID와 비밀번호를 관리해주는 개념은 제품에 적용했다. 한국서도 조만간 발표될 것이다.

평판도 관심있게 보고 있다. 인터넷상에서  파일을 내려받을려고 할때 이게 과연 안전한지 여부를 확인할 필요가 있다. 요즘에는 워낙 많은 파일이 생기고 있어 일일이 대응하기에는 한계가 있다. 이에 평판을 기반으로 보안 수준을 측정하는 것에 대한 필요성을 느끼고 있다. 예를 들어보겠다. 식당이 하나 문을 열었는데, 그 식당에 대해 없다고 치자. 그러나 사람들이 줄서 있는 것을 보면 안심하게 된다. 보안에서의 평판도 그것과 유사하다고 볼 수 있다. 안심에 대한 평판과 사람들의 인식을 활용하자는 것이다. 굳이 이런 얘기를 아는 사람을 통해 들어야 만 하는 것은 아니다. 익명성 기반한 평판도  온라인 데이터에 적용할 수 있다. 시만텍 내부적으로는 아직 실험중이다. 시장에 내놓지는 않았지만 이런게 시큐리티2.0 시대에 새로운 스타일이라고 생각한다.

관련글: ＂웹 2.0 시대, 보안 솔루션도 2.0＂

-웹2.0 서비스들이 확산되면서 보안 위협도 가중되고 있다. 요즘 등장한 웹서비스중 상대적으로 보안에 취약하다고 생각하는 것들은 어떤 유형인가?

특정한 유형을 꼽기는 힘들다.  분명한 것은 가장 인기있고 가치가 높은 웹서비스가 취약하다는 것이다. 그쪽으로 집중할 수 밖에 없다. 유명한 은행강도가 잡혔는데, “왜 그랬는가?”하고 물어보니 “거기에 돈이 있으니까”라고 대답했단다.(웃음) 인터넷 보안도 마찬가지다. 얼마전만 해도 온라인 게임에 집중적인 공격이 있을 거라 생각하지 못했다. 그러나 지금은 훔친 게임 캐릭터를 거래하는 지하경제가 구축돼 있다. 전세계적으로 봐도 그렇고, 한국도 그럴 것이다. 많은 시간을 투자해 키워놓은 강력한 캐릭터를 누가 훔쳐 돈을 주고 팔고 사고 있다는 것은 5년전만 해도 인터넷 보안 업체들이 예상하지 못한 시나리오다.  실제로 보안에 있어 가장 어려운것은 ‘예상하기가 힘들다’는 것이다. 사례가 아닐까 싶다. 보안 업체들에게 민첩성이 요구되는 이유다.

-ID관리 부문을 많이 언급했다. 요즘 국내외적으로 오픈ID를 지원하는 서비스들이 들고 있다. 오픈ID의 보안성에 대한 견해를 말해달라.

오픈ID는 ID를 서로 교환하는데 사용하는 프로토콜이다. 일종의 표준이다. 이에 오픈ID와 관련된 보안 이슈가 따로 있는 것 같지는 않았다. ID관련해서는 두가지 문제가 있음을 인식해야한다. 하나는 오픈ID는 커뮤니케이션을 할때 내가 그 사람이라는 것을 입증하는데 있어  해결책이 될 수 있다는 것이다. 두번째는 좀 다른 문제다. ID를 처음 만들때 어떻게 하면 내가 믿을만한 것을 만들어내느냐 하는 것이다.  오픈ID는 물리적인 공간에서 여권이나 면허증을 받는 것과는 다르다. 이에 ID와 평판이 혼합된 형태가 기준이 되지 않을까 싶다. 비교하자면 신용평가와 비슷한 개념이다. 이런 맥락에서 오픈ID, MS 카드스페이스, 자유연합(리버티 얼라이언스)는 중요한 역할을 담당하겠지만 어느 하나가 모든 해결책이 되지는 않을 것이다.

관련글1: 오픈ID 생태계 둘러보기-2
관련글2: 자유연합-MS, 통합ID인증 둘러싼 갈등에 종지부?

-보안 업체들이 몇년전부터 모바일 보안 위협을 강조했지만, 실제로 대형 사건은 벌어지지 않았다. 내년 모바일 보안 위협에 대해 시만텍은 어떻게 접근하고 있는가?

그러한 내용을 전망한다는 것은 조류독감같은게 크게 확산될 수 있다고 전망하는 것만큼 어렵다. 전망대로 안되는게 오히려 다행이다.(웃음) 그래도 조심은 해야 한다. 모바일과 관련한 웜이나 바이러스가 나오기는 했으나 커다란 영향력이 없었던 것은 사실이다. 두가지 이유가 있다고 본다. 우선은 모바일을 노리는 해커들의 숫자가 PC쪽보다 적다. 해커들이 얻어낼만한 금전적인 가치가 모바일쪽에서 아직은 없는 상황이다. 공격을 할만한 모바일 기기가 충분히 보급돼 있지 않은 탓도 있는 것 같다.

썬마이크로시스템즈가

썬은 앞으로 비즈니스 및 IT관점에서 오픈ID를 확산시킬 수 있는 연구도 확대해 나갈 계획. 썬 CTO들이 직접 나서 고객사와 협력사들의 참여도 유도한다는 방침이다. 자사 3만4천여 직원들을 대상으로 오픈ID 서비스도 제공하기로했다. 이에 따라 썬 직원들은 오픈ID를 지원하는 사이트에서 썬 직원임을 확인받는 것은 물론 썬 직원 전용 할인 혜택 및 특별 서비스도 간편하게 받을수 있게 됐다.

국내의 경우 썬이 앞서 엔씨소프트 오픈마루 스튜디오, 안철수연구소, 이니텍 등이 오픈ID 인증 서비스 시장에 출사표를 던진 상황이다. 이중 이니텍은 기업 시장을 겨냥하고 있어 썬과 어떤 관계를 맺게될지 주목된다.

한편 오픈ID가 적용된 웹사이트는 개인 블로그를 제외하면 오픈ID로 로그인할 수 있는 우리나라 인터넷 서비스는 오픈마루 스프링노트, 더블트랙 미투데이, 라이프팟, 아이두가 대표적이다. 국내 오픈ID 적용 사이트 목록은 오픈ID커뮤니티를 참고하면 된다. 우리나라 오픈ID 생태계 둘러보기

오픈ID에 앞서 이니텍은 지난해 2월 엔씨소프트와 모바일OTP 서비스를 시작했습니다. 기존 모바일OTP는 SMS로 발송되는 방식이었는데, 게임 업체들이 제공하기는 어려운 구조였습니다. 비용이 들 뿐더러 발송이 지연될 경우 문제가 생길 수 있었거든요. 이에 더해 보안이 안됐다는 지적도 있었습니다. 이를 감안 이니텍은 발송이 아니라 휴대폰에서 SW를 내려받은 뒤 누르기만 하면 OTP가 생성되는 방식을 채택했습니다. 현재 이니텍 모바일OTP 서비스는 13만명의 사용자를 확보했고 엔씨소프트를 포함한 6개 게임 업체에서 이용하고 있습니다. 이니텍은 OTP를 인증해주고 게임 업체들로부터 비용을 받아 수익을 올리고 있습니다.

이니텍은 모바일OTP외에 ID관리 솔루션도 기업들에 판매합니다. 지금까지 기업들은 내부 직원들의 분산된 ID를 통합하기 위해 ID관리 솔루션을 도입했는데요, 최근에는 좀 다른 경향이 나타나고 있습니다. 대기업들이 서비스 강화 차원에서 계열사마다 분산돼 있는 고객들의 ID도 통합하려고 하는 것이죠. 오픈ID와 잘 맞는 것 같다는 판단이 들었습니다. 현재 오픈ID는 아이디가 어디에서 왔는지 발견하는데 유용하지만 뒷단에 많은 것을 붙인다면 앞으로의 가능성은 매우 크다고 봅니다.

모바일OTP와 오픈ID간 연계를 강조했습니다. 보안성 강화 때문인가요?

대형 인터넷 업체들이 오픈ID 지원에 소극적이란 말을 많이 듣습니다. 어떻게 보시나요?

오픈API에 오픈ID를 적용하는 것에 대해 관심을 갖는 포털 사이트는 있습니다. 그러나 메인 페이지에 전면 도입하는 것은 대부분의 포털들이 거부감을 보이고 있습니다. 포털들은 오픈ID를 도입하게 되면 자기정보를 가질 수 없다고 생각하는 것 같습니다. 다른 업체들이 쉽게 정보를 가져갈 수 있다고 보는거죠. 좀 다르게 생각했으면 좋겠습니다. 가져갈 수 있는 정보라면 사용자가 먼저 그 업체에게 줬겠죠. 괜찮은 사이트라면 지금도 회원가입하고 정보도 입력하지 않습니까? 오픈ID는 지금 많은 스펙이 나와있습니다. 앞으로 발전할 공간이 많죠. 사용자들이 오픈ID의 편의성을 느끼게되면 서비스 업체에 거꾸로 요구하는 상황도 있을 수 있다고 봅니다.

그는  "오라클은 DB만으로는 성장에 한계가 있다고 판단해 다수 애플리케이션 업체들을 인수했고 지금은 정보회사를 지향하고 있다"면서 "다양한 플랫폼과 애플리케이션 접근을 관리하는 ID관리 솔루션은 오라클 비전의 중심에 서 있다"고 강조했다.

오라클은 현재 통합ID인증 표준 단체인 리버티 얼라이언스(Liberty Alliance: 자유연합)에서 주도적인 역할을 맡고 있다. 자유연합측은 얼마전 통합ID인증 확산에 걸림돌중 하나였던 MS와의 호환성 확보에 나서겠다고 밝혀 관심을 불러일으켰다. 이에 대해 예페즈 부사장은 "관련 업계가 통합ID관리를 위한 공통의 표준을 만들기가 쉬워졌다"면서 "업체들은 물론 고객들에게도 좋은 일이 될 것이다"고 평가했다. 자유연합-MS, 통합ID인증 둘러싼 갈등에 종지부? 

내부 보안도 통합 솔루션을 도입할 때가 됐다는 설명이었다. 이 대목에서 자수자 부사장의 목소리에는 힘이 실리기 시작했다.  그는 "지난해부터 오라클외에 IBM, MS 등 경쟁사 플랫폼SW와 애플리케이션도 모두 지원하는 내부 통합 보안 솔루션을 공급하는 쪽으로 전략을 바꿨다"면서 "오라클 보안 전략은 표준에 근거해 고객이 사용중인 각종 업체들의 솔루션을 모두 지원하는 것이다"고 힘주어 말했다.

자수자 부사장에 따르면 기업들의 내부보안 과제는 크게 3가지로 좁혀진다. 사용자 인증과 승인 과정인 액세스 컨트롤, 데이터 보호를 뜻하는 데이터 프라이버시, 사베인 옥슬리 법안 등 각종 규제 준수 문제가 바로 그것이다.

오라클은 그동안 보안 사업 강화를 위해 지난 16개월간 ID관리 업체 오블릭스를 인수하는 등 공격적인 행보를 보여왔다.