브렛 아스놀트 CISO, “생태계 전반에 걸친 서비스 이어나가려”
기존 보안회사와 경쟁하려는 것 아니라 상생하고 싶어
.jpg)
▲ 이런 공익스러운 기사엔 이런 사진이 제격.
[보안뉴스 문가용] MS는 지난 1년 동안 약 10억 달러나 되는 돈을 보안에 투자했고 보안 관련 임원진을 두 배로 늘렸다. 그리고 어제는 새로운 보안 서비스 그룹과 사이버 보안 센터의 창설을 발표했다. 이 모든 요소들은 MS가 꿈꾸는 ‘전체적인 보안’ 혹은 ‘통째 보안’ 전략의 일부라고 하니, 앞으로 MS가 그려나갈 보안의 큰 그림은 무엇일까 궁금하지 않을 수 없다. MS의 CISO인 브렛 아스놀트(Bret Arsenault)라면 이 궁금증을 해소해줄 적임자로 손색이 없을 터.
“핵심은 MS의 모든 제품과 서비스의 핵심 가치가 보안이 될 거라는 겁니다. 최근 다양한 플랫폼들을 아우르는 보안, 말 그대로 ‘전체 보안’이 업계 내 이슈인데 그래서 그런지 시만텍과 인텔 등도 최근에 비슷한 맥락의 전략을 발표한 적이 있죠. 시만텍의 ATP(Advanced Threat Protection) 플랫폼도 기존에 여기저기 흩어져서 각개전투를 하던 보안 제품들을 하나로 묶자는 것이라고 볼 수 있습니다.” 아스놀트의 설명이다.
또한 MS는 최근 행동 분석에 특화되어 있는 보안 기업인 아오라토(Aorato), 클라우드 보안을 전문으로 하는 아달롬(Adallom), 데이터 및 파일 보호에 특화되어 있는 시큐어 아일랜즈(Secure Islands) 등 세 번이나 연속해서 보안 기업들을 합병한 바 있다. 이 역시 보안을 위한 투자의 일부였다고 설명하는 아스놀트 CISO는 “단순히 제품을 시큐어 코딩으로 보호하는 것을 넘어, 엔드포인트와 클라우드로까지 보안의 개념을 확장할 필요가 있었다”고 한다. 즉 보안의 큰 그림을 그려나가는 데에 있어 반드시 필요했던 과정이라는 뜻이다.
MS는 보안 관련 임원진도 대폭 늘렸다. 아직 정확한 숫자에 대해서는 MS가 함구하고 있긴 하지만 아스놀트는 “제품 개발과 사업 운영의 모든 분야에 보안 임원진이 자리하고 있다고 보면 된다”고 말했다. 또한 MS는 기업의 사이버 보안에 특화된 사업부를 새롭게 런칭했는데 이름은 ECG(Enterprise Cybersecurity Group)이며 “오로지 사이버 보안에 대한 제품과 서비스만을 제공한다”고 한다. “또한 오피스 365(Office 365) 및 에져(Azure)팀과도 긴밀하게 협력할 예정입니다.”
비슷한 개념으로 MS는 최근 사이버 디펜스 오퍼레이션 센터(CDOC)를 열었는데, 여기에는 MS 내부에서 보안을 담당하는 팀들이 전부 참여하도록 되어 있다. 보안 대응 센터(Security Response Center), 애져, 윈도우, 오피스 개발팀의 보안 전문가들, 보안 분석가들, 디지털 크라임 유닛(Digital Crime Unit)팀 등 MS가 보유하고 있던 ‘보안 브레인’들이 한 자리에 모여 기업 환경에서 벌어지는 각종 사이버 범죄에 대응하겠다는 것. “각 팀이 독자적으로 가지고 있던 보안 노하우가 하나로 뭉쳐지고, 시너지가 발생할 것으로 봅니다.”
“결국 MS가 추구하는 건 보안을 우리가 늘 해왔던 작업의 일부로 편입시키는 겁니다. 보안 자체로 하나의 사업 아이템이나 상품으로 만드는 게 아니라요.” 사실 MS가 보안에 이런 시각으로 접근한 건 이미 꽤 지난 일이다. 그렇기에 이런 개념 자체가 혁신적이라거나 보안 역사에 큰 획을 긋는 성질의 것과는 거리가 멀다. 다만 위에서 언급한 대로 내부 브레인을 모아 보안 센터를 하나 설립했다는 점과, 이를 무려 CEO가 직접 공개적으로 발표했다는 것은 ‘MS표 보안’에 있어 확실한 랜드마크가 되었다.
그렇다고 MS가 기존 보안업계들과 경쟁 구도에 들어섰다는 건 아니라고 아스놀트는 강조한다. “MS가 보안 회사가 되지는 않을 겁니다. 시만텍과 맥아피와는 전혀 다른 분야에서 활동할 예정이지요. 저희는 하드웨어와 소프트웨어, 기업의 엔드포인트, 일반 사용자 개인의 엔드포인트 등 생태계 전반을 아우르는 서비스를 제공하는 회사입니다. ‘보안’ 역시 그런 서비스의 일부가 되겠죠. 필연적으로 생태계 전반의 보안을 바라봐야 하는 위치에 있다는 겁니다. 그런 의미에서 저희 스스로는 ‘우리도 보안 회사’라고 보기는 하는데, 그게 기존 보안 회사의 개념과는 상당히 동떨어진 의미로 쓰입니다.”
윈도우 : 모든 것의 시작
윈도우라는 제품에 대한 보안 전략을 수립한 것에서부터 지금 MS가 말하는 광범위한 보안의 개념이 탄생했다고 봐도 무방하다. 보안 및 아이덴티티 관리 책임자인 더스틴 인걸스(Dustin Ingalls)는 하드웨어에 기반을 둔 보안이란 개념이 처음 등장한 건 윈도우 8 당시였다고 한다. “루트킷과 부트킷 문제 때문에 정말 애를 많이 먹었습니다. 소프트웨어 단계에서는 해결이 불가능했죠.”
윈도우 10에 와서 윈도우 보안은 세 가지 기능을 추가로 입었다. 그중 하나가 기기 보호 혹은 디바이스 가드(Device Guard)라는 기능이다. 이 기능은 기기나 네트워크에 접근하려는 애플리케이션을 검사하는 것으로 하드웨어와 가상화를 사용해 해당 기능을 실행하고 통과 여부를 결정한다. 또 다른 하나는 윈도우 헬로(Windows Hello)로 MS가 그토록 자랑했던 ‘암호의 종식’을 고하려는 의도로 만든 기능이다. 암호 대신 사용자의 얼굴, 홍채, 지문 등을 활용해 인증을 하는 것이다. 마지막은 패스포트(Passport)로 사용자가 암호(password)를 사용하지 않아도 앱이나 웹 사이트, 네트워크에 접속할 수 있도록 해주는 기능이다.
“보시다시피 암호를 없애는 데에 주력했습니다. 저도 개인적으로 암호는 폐지되어야 한다고 생각하고요. 솔직히 현대 사이버 환경에서 암호를 계속 사용하면서 보안을 논할 수는 없다고 봅니다. 그래서 대안으로 헬로나 패스포트를 내놓은 것입니다.” 패스포트는 스마트 카드와 비슷한 것으로 비대칭적인 암호키를 사용하기 때문에 피싱이나 암호키 도난을 무력화하고, 헬로라는 바이오인증이 있어 암호 없이 한층 더 강화된 보안을 맛볼 수 있게 된다는 것.
MS가 탈피하고자 하는 기존의 보안 요소들로는 암호 외에 ‘시그니처 기반의 방어’도 있다. “현재 클라우드를 첩보 엔진으로 사용한다는 개념을 바탕으로 연구 중에 있습니다. 그리고 실제 사건이 발생했을 때 대응의 속도를 높이는 데 초점을 맞추고 있기도 하고요. 머신 러닝과 클라우드 기술이 워낙에 빠르게 발전하고 있어서 도움이 됩니다. ‘시그니처 기반의 보안’은 너무 느리고 수동적입니다.”
그래서, 이 모든 노력에 효과가 있긴 한 걸까? 보안 전문가인 마크 메이프렛(Marc Maiffret)은 “MS가 보안에 심혈을 기울여온 게 십년이 넘는다”며 “확실히 2000년대 초반엔 MS 소프트웨어가 최악이었다”고 회상한다. “당시만 해도 거의 해커들이 살기 좋은 환경을 제공하는 수준이었죠. 물론 요즘도 취약점이 없진 않습니다. 그런데 그 심각성이랄까, 익스플로잇의 용이성은 확실히 떨어졌습니다. 쉽게 말해 MS 취약점을 익스플로잇 하는 게 굉장히 어려워졌다는 겁니다.”
아이덴티티
MS가 집중하는 영역 중 하나로는 아이덴티티도 있다. “아이덴티티 보안 혹은 계정 보안이 정말로 중요한 것으로 MS 내에서도 급부상하고 있습니다.” 클라우드 및 기업 보안 엔지니어링을 책임지고 있는 바랏 샤(Bharat Shah)의 설명이다. “큰 영역에서 보면 엔드포인트 보안이 중요해지고 있기 때문에 나타난 부차적인 현상이로고 볼 수 있습니다.” 최근 아달롬이라는 보안기업을 인수한 것 역시 이를 반증하는 것이라고 해석할 수 있다.
MS는 보안 기업을 더 인수할 계획을 가지고 있는가? 아스놀트는 이에 대해 “결국 고객이 원하는 것이 무엇이냐에 달려 있다”라고 답한다. 마이프렛은 MS가 연속적으로 보안 기업을 인수한 것에 대해 “보안의 특정 분야에 어떤 사업적인 마인드로 달려들었다기보다 이들이 표방하는 그대로 환경 전체에 대한 보안을 고민한 흔적이 엿보인다”며 “확실히 MS가 보안에 대해 자세를 달리 취하기 시작했다는 것만큼은 분명하다”고 분석한 바 있다.
그러나 ‘생태계 전체’의 보안이라는 건 MS 혼자서 감당하기엔 분명히 벅찬 목표. MS도 이를 인지하고 있는지 기업들의 자발적인 참여와 보안 점검을 요청하고 나섰다. “새로운 위협과 공격은 언제나 등장할 겁니다. 새로운 기술이 발전하면서 나타나는 당연한 현상이죠. 그렇기 때문에 모든 기업들이 지금부터라도 보안의 위생을 청결하게 유지하는 습관을 들여야 합니다. 꾸준한 교육과 의식제고 캠페인 등도 이루어져야겠죠. 씻는 게 문화인의 필수이듯 이제 보안도 기업환경의 필수 문화로 자리 잡아야 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
기존 보안회사와 경쟁하려는 것 아니라 상생하고 싶어
▲ 이런 공익스러운 기사엔 이런 사진이 제격.
[보안뉴스 문가용] MS는 지난 1년 동안 약 10억 달러나 되는 돈을 보안에 투자했고 보안 관련 임원진을 두 배로 늘렸다. 그리고 어제는 새로운 보안 서비스 그룹과 사이버 보안 센터의 창설을 발표했다. 이 모든 요소들은 MS가 꿈꾸는 ‘전체적인 보안’ 혹은 ‘통째 보안’ 전략의 일부라고 하니, 앞으로 MS가 그려나갈 보안의 큰 그림은 무엇일까 궁금하지 않을 수 없다. MS의 CISO인 브렛 아스놀트(Bret Arsenault)라면 이 궁금증을 해소해줄 적임자로 손색이 없을 터.
“핵심은 MS의 모든 제품과 서비스의 핵심 가치가 보안이 될 거라는 겁니다. 최근 다양한 플랫폼들을 아우르는 보안, 말 그대로 ‘전체 보안’이 업계 내 이슈인데 그래서 그런지 시만텍과 인텔 등도 최근에 비슷한 맥락의 전략을 발표한 적이 있죠. 시만텍의 ATP(Advanced Threat Protection) 플랫폼도 기존에 여기저기 흩어져서 각개전투를 하던 보안 제품들을 하나로 묶자는 것이라고 볼 수 있습니다.” 아스놀트의 설명이다.
또한 MS는 최근 행동 분석에 특화되어 있는 보안 기업인 아오라토(Aorato), 클라우드 보안을 전문으로 하는 아달롬(Adallom), 데이터 및 파일 보호에 특화되어 있는 시큐어 아일랜즈(Secure Islands) 등 세 번이나 연속해서 보안 기업들을 합병한 바 있다. 이 역시 보안을 위한 투자의 일부였다고 설명하는 아스놀트 CISO는 “단순히 제품을 시큐어 코딩으로 보호하는 것을 넘어, 엔드포인트와 클라우드로까지 보안의 개념을 확장할 필요가 있었다”고 한다. 즉 보안의 큰 그림을 그려나가는 데에 있어 반드시 필요했던 과정이라는 뜻이다.
MS는 보안 관련 임원진도 대폭 늘렸다. 아직 정확한 숫자에 대해서는 MS가 함구하고 있긴 하지만 아스놀트는 “제품 개발과 사업 운영의 모든 분야에 보안 임원진이 자리하고 있다고 보면 된다”고 말했다. 또한 MS는 기업의 사이버 보안에 특화된 사업부를 새롭게 런칭했는데 이름은 ECG(Enterprise Cybersecurity Group)이며 “오로지 사이버 보안에 대한 제품과 서비스만을 제공한다”고 한다. “또한 오피스 365(Office 365) 및 에져(Azure)팀과도 긴밀하게 협력할 예정입니다.”
비슷한 개념으로 MS는 최근 사이버 디펜스 오퍼레이션 센터(CDOC)를 열었는데, 여기에는 MS 내부에서 보안을 담당하는 팀들이 전부 참여하도록 되어 있다. 보안 대응 센터(Security Response Center), 애져, 윈도우, 오피스 개발팀의 보안 전문가들, 보안 분석가들, 디지털 크라임 유닛(Digital Crime Unit)팀 등 MS가 보유하고 있던 ‘보안 브레인’들이 한 자리에 모여 기업 환경에서 벌어지는 각종 사이버 범죄에 대응하겠다는 것. “각 팀이 독자적으로 가지고 있던 보안 노하우가 하나로 뭉쳐지고, 시너지가 발생할 것으로 봅니다.”
“결국 MS가 추구하는 건 보안을 우리가 늘 해왔던 작업의 일부로 편입시키는 겁니다. 보안 자체로 하나의 사업 아이템이나 상품으로 만드는 게 아니라요.” 사실 MS가 보안에 이런 시각으로 접근한 건 이미 꽤 지난 일이다. 그렇기에 이런 개념 자체가 혁신적이라거나 보안 역사에 큰 획을 긋는 성질의 것과는 거리가 멀다. 다만 위에서 언급한 대로 내부 브레인을 모아 보안 센터를 하나 설립했다는 점과, 이를 무려 CEO가 직접 공개적으로 발표했다는 것은 ‘MS표 보안’에 있어 확실한 랜드마크가 되었다.
그렇다고 MS가 기존 보안업계들과 경쟁 구도에 들어섰다는 건 아니라고 아스놀트는 강조한다. “MS가 보안 회사가 되지는 않을 겁니다. 시만텍과 맥아피와는 전혀 다른 분야에서 활동할 예정이지요. 저희는 하드웨어와 소프트웨어, 기업의 엔드포인트, 일반 사용자 개인의 엔드포인트 등 생태계 전반을 아우르는 서비스를 제공하는 회사입니다. ‘보안’ 역시 그런 서비스의 일부가 되겠죠. 필연적으로 생태계 전반의 보안을 바라봐야 하는 위치에 있다는 겁니다. 그런 의미에서 저희 스스로는 ‘우리도 보안 회사’라고 보기는 하는데, 그게 기존 보안 회사의 개념과는 상당히 동떨어진 의미로 쓰입니다.”
윈도우 : 모든 것의 시작
윈도우라는 제품에 대한 보안 전략을 수립한 것에서부터 지금 MS가 말하는 광범위한 보안의 개념이 탄생했다고 봐도 무방하다. 보안 및 아이덴티티 관리 책임자인 더스틴 인걸스(Dustin Ingalls)는 하드웨어에 기반을 둔 보안이란 개념이 처음 등장한 건 윈도우 8 당시였다고 한다. “루트킷과 부트킷 문제 때문에 정말 애를 많이 먹었습니다. 소프트웨어 단계에서는 해결이 불가능했죠.”
윈도우 10에 와서 윈도우 보안은 세 가지 기능을 추가로 입었다. 그중 하나가 기기 보호 혹은 디바이스 가드(Device Guard)라는 기능이다. 이 기능은 기기나 네트워크에 접근하려는 애플리케이션을 검사하는 것으로 하드웨어와 가상화를 사용해 해당 기능을 실행하고 통과 여부를 결정한다. 또 다른 하나는 윈도우 헬로(Windows Hello)로 MS가 그토록 자랑했던 ‘암호의 종식’을 고하려는 의도로 만든 기능이다. 암호 대신 사용자의 얼굴, 홍채, 지문 등을 활용해 인증을 하는 것이다. 마지막은 패스포트(Passport)로 사용자가 암호(password)를 사용하지 않아도 앱이나 웹 사이트, 네트워크에 접속할 수 있도록 해주는 기능이다.
“보시다시피 암호를 없애는 데에 주력했습니다. 저도 개인적으로 암호는 폐지되어야 한다고 생각하고요. 솔직히 현대 사이버 환경에서 암호를 계속 사용하면서 보안을 논할 수는 없다고 봅니다. 그래서 대안으로 헬로나 패스포트를 내놓은 것입니다.” 패스포트는 스마트 카드와 비슷한 것으로 비대칭적인 암호키를 사용하기 때문에 피싱이나 암호키 도난을 무력화하고, 헬로라는 바이오인증이 있어 암호 없이 한층 더 강화된 보안을 맛볼 수 있게 된다는 것.
MS가 탈피하고자 하는 기존의 보안 요소들로는 암호 외에 ‘시그니처 기반의 방어’도 있다. “현재 클라우드를 첩보 엔진으로 사용한다는 개념을 바탕으로 연구 중에 있습니다. 그리고 실제 사건이 발생했을 때 대응의 속도를 높이는 데 초점을 맞추고 있기도 하고요. 머신 러닝과 클라우드 기술이 워낙에 빠르게 발전하고 있어서 도움이 됩니다. ‘시그니처 기반의 보안’은 너무 느리고 수동적입니다.”
그래서, 이 모든 노력에 효과가 있긴 한 걸까? 보안 전문가인 마크 메이프렛(Marc Maiffret)은 “MS가 보안에 심혈을 기울여온 게 십년이 넘는다”며 “확실히 2000년대 초반엔 MS 소프트웨어가 최악이었다”고 회상한다. “당시만 해도 거의 해커들이 살기 좋은 환경을 제공하는 수준이었죠. 물론 요즘도 취약점이 없진 않습니다. 그런데 그 심각성이랄까, 익스플로잇의 용이성은 확실히 떨어졌습니다. 쉽게 말해 MS 취약점을 익스플로잇 하는 게 굉장히 어려워졌다는 겁니다.”
아이덴티티
MS가 집중하는 영역 중 하나로는 아이덴티티도 있다. “아이덴티티 보안 혹은 계정 보안이 정말로 중요한 것으로 MS 내에서도 급부상하고 있습니다.” 클라우드 및 기업 보안 엔지니어링을 책임지고 있는 바랏 샤(Bharat Shah)의 설명이다. “큰 영역에서 보면 엔드포인트 보안이 중요해지고 있기 때문에 나타난 부차적인 현상이로고 볼 수 있습니다.” 최근 아달롬이라는 보안기업을 인수한 것 역시 이를 반증하는 것이라고 해석할 수 있다.
MS는 보안 기업을 더 인수할 계획을 가지고 있는가? 아스놀트는 이에 대해 “결국 고객이 원하는 것이 무엇이냐에 달려 있다”라고 답한다. 마이프렛은 MS가 연속적으로 보안 기업을 인수한 것에 대해 “보안의 특정 분야에 어떤 사업적인 마인드로 달려들었다기보다 이들이 표방하는 그대로 환경 전체에 대한 보안을 고민한 흔적이 엿보인다”며 “확실히 MS가 보안에 대해 자세를 달리 취하기 시작했다는 것만큼은 분명하다”고 분석한 바 있다.
그러나 ‘생태계 전체’의 보안이라는 건 MS 혼자서 감당하기엔 분명히 벅찬 목표. MS도 이를 인지하고 있는지 기업들의 자발적인 참여와 보안 점검을 요청하고 나섰다. “새로운 위협과 공격은 언제나 등장할 겁니다. 새로운 기술이 발전하면서 나타나는 당연한 현상이죠. 그렇기 때문에 모든 기업들이 지금부터라도 보안의 위생을 청결하게 유지하는 습관을 들여야 합니다. 꾸준한 교육과 의식제고 캠페인 등도 이루어져야겠죠. 씻는 게 문화인의 필수이듯 이제 보안도 기업환경의 필수 문화로 자리 잡아야 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
