마이크로소프트, 한국 보안담당 기자 본사 초청해 주요 보안 기술과 전략 발표

마이크로소프트는 6월 15일과 16일, 미국 워싱턴주 레드몬드에 있는 본사에 한국 보안 담당 기자들을 초청하는 자리를 마련했다. 이 자리에는 TwC(TrustWorthy Computing) 전략 총괄인 재클린 보쉐 보안부문 전략총괄 이사를 비롯해 보안 기술 부문 크레이그 스피즐 이사, 인터넷 안전, 보안 기술 및 제품 관련 업무 담당인 팀 크랜튼 법률 고문, 스콧 스탠젤 선임 프로덕트 매니저 등이 참석해 최근 보안 이슈와 전망, 마이크로소프트의 주요 기술과 전략 등을 소개했다. 유진상 기자 jinsang@rfidjournalkorea.com

이번 행사는 마이크로소프트의 TwC(Trustworthy Computing) 전략 총괄인 재클린 보쉐 보안부문 전략총괄 이사의 'Trustworthy Computing(신뢰할 수 있는 컴퓨팅)'라는 주제 발표로 시작했다.
TwC는 마이크로소프트가 컴퓨팅을 전화, 전기와 같은 신뢰성이 높고 안전한 기술로 구현하겠다는 목표를 가지고 시작한 전략 부서이다. MS 리서치, 엔지니어링 엑셀런스와 같이 빌 게이츠의 직속 기구로서, 특정 제품과는 직접적으로 연계되어 있지 않다.
보쉐 이사는 "IT 혁명이 진행되면서 보안은 중요치 않았다. 단순히 컴퓨터 활용을 위한 사용성에만 관심이 집중됐다"며, "하지만 해가 지날 수록 스파이웨어, 웜, 바이러스 등의 공격은 점차 다양해지며 위험수위에 올라왔고 개인의 정보보호는 매우 중요한 문제로 부상되었다. 이에 마이크로소프트는 다양한 상호 행위가 발생하는 인터넷에서 개인의 정보보호는 필수적이라고 판단하고 전사적인 측면에서 TwC를 시작하게 됐다"고 TwC의 배경을 설명했다.
특히 코드레드, 님다 등의 웜과 해킹 공격이 마이크로소프트의 윈도우즈를 주 공격 대상으로 삼았기 때문에 애널리스트들은 MS 플랫폼을 사용해야 하는가에 대한 문제제기를 했다. 이에 지난 2002년 TwC는 빌게이츠가 직접 회사 내부 메일을 통해 TwC의 출범을 선포했다.
즉, TwC는 취약점 없는 완벽한 소프트웨어를 개발하기 위해 투자와 협력체계를 구축하고 고객들에게 보다 완벽한 솔루션을 제공해 나가겠다는 마이크로소프트의 보안 의지가 담겨있는 것이다. 또한 보다 안전한 정보보안 및 프라이버시 보호 환경을 구축할 수 있는 부가가치 서비스도 함께 제공하겠다는 뜻도 함께 담겨 있다.

TwC 첫 성과는 윈도우 비스타
그렇다면 TwC의 그동안의 성과는 무엇일까. 보쉐 이사는 "TwC는 마이크로소프트의 제품개발과 고객을 지원하는 모든 활동의 전사적인 출발점"이라며, "지난 4~5년 동안 기술투자와 협력, 보안가이드 역할을 수행해 많은 성과를 이뤄냈다"고 설명했다.
이 중 가장 최근의 결실은 '윈도우 비스타'이다. 그는 "비스타는 보안 개발 라이프사이클을 접목시킨 첫 결과물로써 아직 정식 출시가 되지는 않았지만 앞으로 큰 기여를 할 것으로 기대하고 있다"고 밝혔다. 그는 이어 원케어 서비스 역시 이러한 TwC의 전사적인 출발점에서 시작한 서비스로서, 사용자에게 문제가 생기기 전에 보호할 수 있는 서비스를 한 번에 제공하려는 의지가 담겨있다고 설명했다.
원케어 서비스는 지난 6월 1일부터 미국 시장만을 대상으로 서비스되고 있다. 글로벌 제공 계획은 있지만 아직 구체적으로 그 시기는 결정된 바 없다. 한국 역시 중요한 시장으로 판단은 하고 있지만 구체적인 시기는 정해지지 않았다. 이에 대해 그는 "전체적인 사용자를 포괄하는 것이 원케어 서비스이기 때문에 어느 시장을 진출할 것인지를 결정하는데 특정 시장의 시장성을 염두해 두지는 않고 있다"며, "내년 상반기까지 전세계적으로 원케어 서비스가 제공되는 것을 목표로 하고 있다"고 밝혔다.

피싱 위험 증가에 따라 피싱 필터 기본 제공
재클린 보쉐 이사의 발표에 이어 크레이그 스피즐 보안 기술 부문 이사의 발표가 이어졌다. '전세계 사이버 보안 트렌드'를 주제로 발표에 나선 스피즐 이사는 최근 들어 피싱에 의한 위험요소가 급격히 증가하고 있다고 강조했다. 그는 그 예로 최근 1년간 피싱 사이트는 무려 400%가 증가했으며, 지난 한달 동안에는 이와 관련한 공격이 21% 가량 늘어났다고 밝혔다.
피싱(Phishing)이란 은행이나 기타 금융기관, 또는 대기업 등의 웹사이트와 비슷한 가짜 웹 사이트를 만들어 놓은 뒤 이메일을 통해 사용자를 유인, 개인 정보를 몰래 훔쳐가는 수법을 말한다.
마이크로소프트는 이러한 피싱에 대해 소비자들이 대응할 수 있도록 지원하고 있다. 인터넷 익스플로어(IE) 차기 버전인 7에 피싱 공격을 사전에 차단할 수 있는 '마이크로소프트 피싱 필터'를 기본으로 제공하고 있는 것. 또한 IE 6의 사용자들은 윈도우즈 라이브 업데이트를 통해 별도로 다운로드 할 수 있도록 했다.
스피즐 이사는 "피싱필터의 데이터는 안티스팸 전담팀을 두어 핫메일 사용자들의 스팸 신고를 분석해 피싱 정보를 수집하고 있다"며, "이러한 데이터를 바탕으로 피싱 사이트의 정확한 판별이 가능하다"고 설명했다. 그는 이어 "인터넷아이덴티티, 마크모니터, RSA시큐리티 등 4개 도메인 보호 전문 벤더들과 협력해 피싱 사이트 관련 정보를 수집하고 의심스러운 피싱 사이트 여부를 판단해 사용자에게 알려, 차단할 수 있도록 돕고 있다"고 밝혔다.
또한 마이크로소프트는 이메일을 통해 공격되는 피싱을 막기 위해 SIDF(Sender ID Framework) 인증 도입을 역설했다. SIDF는 MS의 이메일용 발신자 ID와 SPF(Sender Policy Framework)를 결합한 IP 기반 솔루션이다.
한편, 원케어에는 안티피싱이나 스팸필터링 기능이 없다. 이에 대해 스피즐 이사는 "원케어는 PC 헬스라고 이해하는 게 좋을 것"이라며, "추가적으로 여러 기능들을 제공할 계획이다. 특히 고객의 요구가 있다면 더 진보된 안티 피싱 기능과 IE상에서 더 고도화된 기능을 사용할 수 있도록 할 것"이라고 밝혔다.

인터넷 안전 시행 프로그램으로 사이버 안전 책임
팀 크랜튼 MS 수석 법률 고문은 '마이크로소프트 인터넷 안전 시행 프로그램'을 주제로 발표했다.
현재 마이크로소프트는 인터넷 안전 시행 프로그램(Internet Safety Enforcement Program)을 운영하고 있으며, 전 세계적으로 스팸, 피싱, 스파이웨어 등의 사용자 안전과 악성코드 배포, 바이러스, 웜 등의 온라인 보안, 아동 포르노 등의 아동 보호 업무를 수행하고 있다.
팀 크랜튼 고문은 "마이크로소프트 인터넷 안전시행 프로그램은 조사와 시행부문, 정부나 수사당국과 공조하는 파트너십, 일반 대중에게 정보를 제공하는 홍보와 구제 활동 등으로 구성되어 있으며, LCA(Legal&Corporate Affairs)팀에 약 65명의 변호사, 수사관, 분석가, 프로그램 관리자 및 협력자 등으로 구성되어 있다"고 소개했다. 그는 이어 "이 프로그램은 고객의 안전과 온라인상에서의 보안, 아동 보호 등 세 분야에 초점을 맞추고 있다"며, "스팸, 피싱, 스파이웨어로부터 개인의 정보를 보호하고, 악성코드, 봇넷, 바이러스, 웜 등으로부터 컴퓨터를 지키며, 아동 포르노, 부적절한 인터넷 콘텐츠 등에 노출된 어린이 및 청소년들을 보호하고자 하는 것"이라고 말했다.
마이크로소프트가 이러한 프로그램을 가동하고 있는 이유는 윈도우가 전 세계에서 범용 운영체제로 쓰이고 있기 때문이다. 즉, 마이크로소프트가 사이버 안전을 위해 기여할 수 있는 바가 다른 기업보다는 클 수밖에 없다는 것이다.
이 팀의 활약은 눈부시다. 지난 3년 동안 다양한 사이버 위협에 초점을 맞추고 문제를 해결한 것. 우선 이 팀은 꾸준히 스팸과 관련해 강력한 집행을 해오고 있다. 전세계적으로 190개 이상의 스패머들에 대항해 법적인 대응을 지원했고, 세계적인 스패머 스콧 리히처를 기소해 700만 달러의 승소를 이끌어냈다. 그는 "이 중 100만 달러는 뉴욕주에 제공했으며, 나머지는 다시 이 프로그램의 발전을 위해 투자했다"고 설명했다.
또한 악성코드, 바이러스를 퇴치하기 위해 보상금 프로그램도 가동했다. 그는 "지난 2005년 사서 웜을 유포했던 자들을 신고한 사람들에게 각각 25만 달러의 보상금을 지급했다"고 밝혔다.
피싱 사이트를 폐쇄하는 프로그램도 가동하고 있다. 이메일을 통해 MS인 것처럼 속여 고객의 정보를 훔쳐가는 행위에 대해 5,000여건의 ISP와 호스팅하는 곳을 폐쇄하도록 조치했다. 스파이웨어 역시도 소비자 보호청과 공조하여 없애기 위해 노력하고 있다.
한국에서도 마이크로소프트는 해커퇴치에 앞장섰다. 지난 해 6월, 서울 경찰청과 공조해 온라인 게임 사이트를 해킹한 자들을 검거한 것. 이는 마이크로소프트가 게임 사이트의 계정과 패스워드를 도용한 해커들의 정보를 경찰청에 제공하여 제소할 수 있었다. 그는 "앞으로도 적극적인 협력을 통해 분야를 더욱 확대해 나갈 방침"이라고 밝혔다.

CETS 가동, 아동보호 앞장선다
특히 마이크로소프트는 아동 보호 기술 개발 및 아동 대상 범죄수사 협력을 대폭 강화하고 나섰다. 이는 최근 전세계적으로 어린이들을 대상으로한 사이버 범죄가 증가하고 있기 때문이다.
이를 위해 마이크로소프트는 아동범죄추적시스템(CETS : Child Exploitation Tracking System)을 개발했다. 이 시스템은 아동 대상 사이버 범죄 수사 과정에서 필요할 수 있는 정보를 공유하는 솔루션. 현재 캐나다 경찰에 도입되어 있다. 크랜턴 고문은 "캐나다의 아동보호과 소속의 한 경찰이 빌게이츠 회장에게 직접 이메일을 보내 도움을 요청한 것이 계기가 됐다"고 이 프로그램의 개발 배경에 대해 소개했다.
이 프로그램은 툴 제공뿐만 아니라 사이버 범죄수사 관련 기술 노하우를 제공하는 트레이닝, 아동 사이버 범죄에 대한 인식 제고와 아동 포르노 법률 및 정책 필요성 등을 제기하는 장을 마련하고 홍보하는 일도 포함되어 있다. 또 아동 포르노 사이트를 찾아 폐쇄하는 등의 활동도 함께 병행하고 있다.
그는 "현재 캐나다 외에도 몇몇 국가들과 CETS 시스템을 제공, 구축하기 위한 작업을 추진하고 있으며 아동보호 관련 사이버 범죄를 근절시키기 위한 시스템 확장에 매진할 것"이라고 강조했다. 그는 이어 "사이버 범죄는 전세계적으로 이뤄지고 있으며 광범위한 정보가 필요해 경찰 및 사법기관이 수사에 어려움을 겪고 있다. 따라서 시스템을 이용한 공조체계 구축은 필수이며, MS는 필요로하는 모든 국가에 툴과 기술을 지원해 나갈 것"이라고 밝혔다.
저작권자 © 컴퓨터월드 무단전재 및 재배포 금지