[인터뷰] 시큐어오스 크레이그 룬드 CEO와 스티븐 콕스 CSA
[보안뉴스 문가용 기자] 암호라는 간편한 온라인 인증 수단이 수명을 다하고 있다. 그에 따라 암호를 대체할 만한 여러 수단들이 연구되고 있는데, 가장 유력한 건 바이오인증 기술이다. 시큐어오스는 여기에 행동 패턴 정보라는 것도 더해 인증을 더 강력하게 하고 있다. CEO는 이제야 보안이 바른 길로 가고 있는 것 같다고 설명한다.
(1).jpg)
시큐어오스는 바이오인증 기술 중에서도 매우 특이한 편에 속하는 행동 패턴
바이오인증(Behavioral Biometrics) 기술 및 솔루션을 개발하는 업체다. 용어조차 생소한 행동 바이오인증이란 한 마디로 사용자의 행동 패턴에 대한 정보를 꾸준히 축적하고, 이를 바탕으로 사용자를 식별하는 기술에 바이오 인증기술을 접목한 것이다. 여기에서 말하는 행동 패턴이란 키스트로크, 마우스의 움직임 등 ‘무심코’ 하는 행동들로 범죄자들 입장에서 이를 뚫어내기란 매우 어려운 것으로 알려져 있다. 또한 사용하는 기기에 따라 사용자의 행동 패턴도 변하기 마련인데 시큐어오스는 이 점에 착안하여 기기마다 다른 인증 데이터를 수집하고 적용하는 솔루션을 시장에 내놓았다. 이에 대해 시큐어오스의 CEO인 크레이그 룬드(Craig Lund)와 CSA(수석보안아키텍트)인 스티븐 콕스(Stephen Cox)가 직접 설명한 내용을 정리했다.
크레이그 룬드(CL) : 시큐어오스의 CEO 및 창립자로 IBM을 비롯해 여러 IT 기업 및 스타트업에서 25년간 근무했다. IBM 시절, 보안영업팀(Security Sales Team)에서 미국, 캐나다, 남미 지역을 담당해오며 여러 영업 전략을 수립, 실천해 한 해 동안 1억 달러의 매출을 올리기도 했다.
스티븐 콕스(SC) : CSA로 보안 업계에서 15년 넘게 종사해 왔다. 그중 10년은 소프트웨어 보안 산업에 몸을 담아왔다. 시큐어오스로 오기 전에는 엔드포인트(Endpoint)와 파이어아이(FireEye)라는 보안 업체에서 근무했다.
시큐어오스 IdP가 시장에서 꾸준한 주목을 받고 있다.
CL IdP란 Identity Provider의 준말로, 말 그대로 인증 및 식별을 더 강력하고 안전하게 지켜준다(제공해준다)는 뜻이다. 행동 패턴과 바이오 정보를 중심으로 한 2중 인증 기술이고, 전통의 네트워크 환경과 클라우드, 모바일 환경 모두에서 적용이 가능하다.
SC 또한, 로그인 시도가 이루어지고 있는 시점에서 위치정보 및 IP 정보를 블랙리스트 등의 데이터베이스와 자동으로 대조해 리스크 수치를 높이기도 하고, 지역적인 위치에 따라 IP를 아예 차단하기도 한다. 이런 것들은 사용자 행동 패턴 정보의 일부다. 예를 들어 뉴욕에서 로그아웃한 사용자가 30분 만에 한국에서 로그인을 한다? 이러면 뭔가 잘못된 것인데, 이를 자동으로 파악해주는 것이다.
이런 사용자 바이오 정보나 행동 정보는 매우 민감한 데이터다. 그러다보니 IdP 자체를 노리는 공격시도가 있을 수도 있겠다는 생각이 들었다. 그래서 다른 보안업체들이 발견하고 공유하는 위협 데이터를 활용하는 기능도 덧붙였다. 특히 보안업체인 노스(Norse)의 위협첩보를 꾸준히 피드백 받아 IdP에 적용했다. 그렇게 자체 보안기능을 첨가했더니 IdP가 기존의 게이트 역할도 하더라. 보안의 수문장으로서 시장 내에서 평가받고 있다.
시큐어오스의 강점과 약점은 무엇인가?
CL 대부분 사용자 인증 솔루션은 인증 옵션이 제한적이다. 암호와 지문을 결합한다든가, 위치정보와 홍채인식을 결합하는 식이다. 그러나 시큐어오스의 솔루션들은 20여 가지의 인증 옵션을 제공한다. 기기와 상황에 따라 유연하게 인증 시스템을 도입할 수 있다는 거다. 하지만 이런 점이 시장에는 많이 알려져 있지 않다. 대부분 전통의 네트워크에만 적용이 가능한 솔루션을 제공하는 것으로만 알고 있다. 클라우드와 모바일 환경에서도 시큐어오스는 통한다.
클라우드와 모바일 이야기가 언뜻 언뜻 나온다. 바이오정보는 아직 사용자들 사이에서 거부감이 존재하는 정보다. 즉, 지문인식을 위해 지문을 한번 등록하면, 그 정보가 어디에 저장되어 있는지에 민감한 사람들이 많다. 클라우드와 모바일에 적용이 가능하다면, 사용자들의 이런 불안은 어떻게 해소시키는가?
SC 사용자들에게 옵션을 제공한다. 행동패턴 정보나 바이오정보 모두 클라우드에 저장할 수도 있고, 그냥 회사 내에 저장해도 된다. 실제로 대부분 사용자들은 이런 정보를 클라우드에 잘 저장하려 하지 않는다. 따라서 많은 이들이 아직은 회사 내에 저장하는 옵션을 선택한다.
CL 하지만 그런 거부감이 오래갈 것 같지는 않다. 기업 및 조직들 사이에서는 기존의 보안기술로서는 부족하다는 인식이 빠르게 퍼지고 있다. 동시에 보안업계에서는 사용자를 식별하고 인증하는 데에 암호나 지문과 같은 한 가지 요소나 한 가지 기술로는 불충분하고 여러 가지 요소들을 종합적으로 고려해야만 한다는 분위기가 생성되고 있다. 한 사람에 대한 식별은 단편적이어서는 안 된다는 건데, 이는 다소 철학적이기까지 하지 않은가.
인식이 퍼지는 것과 기술의 도입은 연관성이 없진 않지만, 별개의 문제이기도 하다. 왜 그런가?
CL 보안 소프트웨어가 너무 비싸다는 게 둘 사이의 간극을 만드는 것 같다. 게다가 사용하는 방법도 어렵다. 기술을 가진 사람이 사용하는 게 보통이다. 사용하기 쉬우면서도 가격대가 낮은 제품이 시장에 필요하다. 물론 품질도 좋아야 한다. 사실 그것이 시큐어오스의 당면과제이며 목표이기도 하다.
SC 하지만 인식 때문에 기술이 멈출 수는 없다는 측면도 있다. 게다가 우린 기술로서 경쟁하는 회사인데, 대중의 인식변화를 마냥 기다릴 수는 없다. 현재 클라우드에 대한 이동이 매우 활발하게 이루어지고 있는데, 그렇기 때문에 클라우드 보안에 대한 연구를 이미 오래전부터 진행해오고 있다. 좀 더 정확하게 말하자면 데스크탑, 웹, 클라우드, 모바일에서 모두 쉽고 부드럽게 사용하되, 사용자의 불편을 최소화할 수 있도록 기존의 제품을 다듬고 또 다듬고 있다.
사람을 단편적으로 식별할 수 없다는 말이 인상 깊다.
CL 오랜 시간 이 업계에서 일해 왔는데, 보안은 결국 심리학이며 철학과 매우 가까이 닿을 수밖에 없다. 보호하려는 대상을 알아야 보호가 가능한데, 보호대상이 데이터든 네트워크든 결국 사람으로 귀결된다. 암호 하나, 지문 하나로 기계가 나 너 알아라고 말하는 얕디얕은 발상의 기술은 처음부터 한계가 있을 수밖에 없었다. 바이오 인증이나 다중 인증 등 보안이 점점 까다로워지고 어려워지고 있다고 일각에선 말하는데, 난 오히려 깊어지고 있다고 본다. 이제야 제대로 된 방향을 잡은 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 암호라는 간편한 온라인 인증 수단이 수명을 다하고 있다. 그에 따라 암호를 대체할 만한 여러 수단들이 연구되고 있는데, 가장 유력한 건 바이오인증 기술이다. 시큐어오스는 여기에 행동 패턴 정보라는 것도 더해 인증을 더 강력하게 하고 있다. CEO는 이제야 보안이 바른 길로 가고 있는 것 같다고 설명한다.
시큐어오스는 바이오인증 기술 중에서도 매우 특이한 편에 속하는 행동 패턴
바이오인증(Behavioral Biometrics) 기술 및 솔루션을 개발하는 업체다. 용어조차 생소한 행동 바이오인증이란 한 마디로 사용자의 행동 패턴에 대한 정보를 꾸준히 축적하고, 이를 바탕으로 사용자를 식별하는 기술에 바이오 인증기술을 접목한 것이다. 여기에서 말하는 행동 패턴이란 키스트로크, 마우스의 움직임 등 ‘무심코’ 하는 행동들로 범죄자들 입장에서 이를 뚫어내기란 매우 어려운 것으로 알려져 있다. 또한 사용하는 기기에 따라 사용자의 행동 패턴도 변하기 마련인데 시큐어오스는 이 점에 착안하여 기기마다 다른 인증 데이터를 수집하고 적용하는 솔루션을 시장에 내놓았다. 이에 대해 시큐어오스의 CEO인 크레이그 룬드(Craig Lund)와 CSA(수석보안아키텍트)인 스티븐 콕스(Stephen Cox)가 직접 설명한 내용을 정리했다.
크레이그 룬드(CL) : 시큐어오스의 CEO 및 창립자로 IBM을 비롯해 여러 IT 기업 및 스타트업에서 25년간 근무했다. IBM 시절, 보안영업팀(Security Sales Team)에서 미국, 캐나다, 남미 지역을 담당해오며 여러 영업 전략을 수립, 실천해 한 해 동안 1억 달러의 매출을 올리기도 했다.
스티븐 콕스(SC) : CSA로 보안 업계에서 15년 넘게 종사해 왔다. 그중 10년은 소프트웨어 보안 산업에 몸을 담아왔다. 시큐어오스로 오기 전에는 엔드포인트(Endpoint)와 파이어아이(FireEye)라는 보안 업체에서 근무했다.
시큐어오스 IdP가 시장에서 꾸준한 주목을 받고 있다.
CL IdP란 Identity Provider의 준말로, 말 그대로 인증 및 식별을 더 강력하고 안전하게 지켜준다(제공해준다)는 뜻이다. 행동 패턴과 바이오 정보를 중심으로 한 2중 인증 기술이고, 전통의 네트워크 환경과 클라우드, 모바일 환경 모두에서 적용이 가능하다.
SC 또한, 로그인 시도가 이루어지고 있는 시점에서 위치정보 및 IP 정보를 블랙리스트 등의 데이터베이스와 자동으로 대조해 리스크 수치를 높이기도 하고, 지역적인 위치에 따라 IP를 아예 차단하기도 한다. 이런 것들은 사용자 행동 패턴 정보의 일부다. 예를 들어 뉴욕에서 로그아웃한 사용자가 30분 만에 한국에서 로그인을 한다? 이러면 뭔가 잘못된 것인데, 이를 자동으로 파악해주는 것이다.
이런 사용자 바이오 정보나 행동 정보는 매우 민감한 데이터다. 그러다보니 IdP 자체를 노리는 공격시도가 있을 수도 있겠다는 생각이 들었다. 그래서 다른 보안업체들이 발견하고 공유하는 위협 데이터를 활용하는 기능도 덧붙였다. 특히 보안업체인 노스(Norse)의 위협첩보를 꾸준히 피드백 받아 IdP에 적용했다. 그렇게 자체 보안기능을 첨가했더니 IdP가 기존의 게이트 역할도 하더라. 보안의 수문장으로서 시장 내에서 평가받고 있다.
시큐어오스의 강점과 약점은 무엇인가?
CL 대부분 사용자 인증 솔루션은 인증 옵션이 제한적이다. 암호와 지문을 결합한다든가, 위치정보와 홍채인식을 결합하는 식이다. 그러나 시큐어오스의 솔루션들은 20여 가지의 인증 옵션을 제공한다. 기기와 상황에 따라 유연하게 인증 시스템을 도입할 수 있다는 거다. 하지만 이런 점이 시장에는 많이 알려져 있지 않다. 대부분 전통의 네트워크에만 적용이 가능한 솔루션을 제공하는 것으로만 알고 있다. 클라우드와 모바일 환경에서도 시큐어오스는 통한다.
클라우드와 모바일 이야기가 언뜻 언뜻 나온다. 바이오정보는 아직 사용자들 사이에서 거부감이 존재하는 정보다. 즉, 지문인식을 위해 지문을 한번 등록하면, 그 정보가 어디에 저장되어 있는지에 민감한 사람들이 많다. 클라우드와 모바일에 적용이 가능하다면, 사용자들의 이런 불안은 어떻게 해소시키는가?
SC 사용자들에게 옵션을 제공한다. 행동패턴 정보나 바이오정보 모두 클라우드에 저장할 수도 있고, 그냥 회사 내에 저장해도 된다. 실제로 대부분 사용자들은 이런 정보를 클라우드에 잘 저장하려 하지 않는다. 따라서 많은 이들이 아직은 회사 내에 저장하는 옵션을 선택한다.
CL 하지만 그런 거부감이 오래갈 것 같지는 않다. 기업 및 조직들 사이에서는 기존의 보안기술로서는 부족하다는 인식이 빠르게 퍼지고 있다. 동시에 보안업계에서는 사용자를 식별하고 인증하는 데에 암호나 지문과 같은 한 가지 요소나 한 가지 기술로는 불충분하고 여러 가지 요소들을 종합적으로 고려해야만 한다는 분위기가 생성되고 있다. 한 사람에 대한 식별은 단편적이어서는 안 된다는 건데, 이는 다소 철학적이기까지 하지 않은가.
인식이 퍼지는 것과 기술의 도입은 연관성이 없진 않지만, 별개의 문제이기도 하다. 왜 그런가?
CL 보안 소프트웨어가 너무 비싸다는 게 둘 사이의 간극을 만드는 것 같다. 게다가 사용하는 방법도 어렵다. 기술을 가진 사람이 사용하는 게 보통이다. 사용하기 쉬우면서도 가격대가 낮은 제품이 시장에 필요하다. 물론 품질도 좋아야 한다. 사실 그것이 시큐어오스의 당면과제이며 목표이기도 하다.
SC 하지만 인식 때문에 기술이 멈출 수는 없다는 측면도 있다. 게다가 우린 기술로서 경쟁하는 회사인데, 대중의 인식변화를 마냥 기다릴 수는 없다. 현재 클라우드에 대한 이동이 매우 활발하게 이루어지고 있는데, 그렇기 때문에 클라우드 보안에 대한 연구를 이미 오래전부터 진행해오고 있다. 좀 더 정확하게 말하자면 데스크탑, 웹, 클라우드, 모바일에서 모두 쉽고 부드럽게 사용하되, 사용자의 불편을 최소화할 수 있도록 기존의 제품을 다듬고 또 다듬고 있다.
사람을 단편적으로 식별할 수 없다는 말이 인상 깊다.
CL 오랜 시간 이 업계에서 일해 왔는데, 보안은 결국 심리학이며 철학과 매우 가까이 닿을 수밖에 없다. 보호하려는 대상을 알아야 보호가 가능한데, 보호대상이 데이터든 네트워크든 결국 사람으로 귀결된다. 암호 하나, 지문 하나로 기계가 나 너 알아라고 말하는 얕디얕은 발상의 기술은 처음부터 한계가 있을 수밖에 없었다. 바이오 인증이나 다중 인증 등 보안이 점점 까다로워지고 어려워지고 있다고 일각에선 말하는데, 난 오히려 깊어지고 있다고 본다. 이제야 제대로 된 방향을 잡은 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
