[도마에 오른 MS 보안정책](중)도전받는 트러스트워디 컴퓨팅

　마이크로소프트(MS)의 빌 게이츠 회장이 사내 서신을 통해 ‘트러스트워디 컴퓨팅’(Trustworthy Computing)이라는 새 화두를 던진 지 만 1년이 지났다. 지난해 1월말 게이츠 회장은 “선진국에서는 전기·수도·전화 같은 서비스에 대해 소비자들이 아무런 의심도 제기치 않고 안심하고 사용하고 있다. 우리의 소프트웨어들도 전기·수도·전화 서비스처럼 안전하게 사용하게 해야 할 것입니다”고 강조하며 보안에 둔감한 직원들에게 ‘죽비’를 들었다.

　이후 MS 직원들은 회장이 제시한 ‘숙제’를 풀기 위해 발빠르게 움직이며 애면글면했다. 회사 측도 거금을 들이는 등 물심양면으로 직원들의 보안 강화 움직임을 지원했다. 이에 따라 ‘트러스트워디 컴퓨팅’ 슬로건이 나온 직후 MS는 8500명에 달하는 윈도 엔지니어들를 비롯해 총 1만1000명의 직원들에 대해 이전까지 해오던 제품 개발을 중지시키고 보안교육을 전면적으로 실시했다.또 보안 관련 자문위원 숫자도 2001년 60명에서 2002년에는 72명으로 늘렸다.

　마이클 호워드 MS 프로그램 매니저는 “당시 보안교육이 상당히 효과적이었다”며 “양적인 변화보다 보안에 대해 직원들이 새롭게 마음 무장한 질적 변화가 무엇보다 의미 있다”고 강조했다.

　하지만 비평가들은 보안에 관해 MS가 아직 가야 할 길이 멀다고 ‘훈수’하고 있다. 보안업체 카운터페인인터넷시큐리티의 최고기술임원 브루스 슈나이어는 “트러스트워디 컴퓨팅이 탄생한 지 1년이 됐지만 성공과 실패가 뒤섞여 있다고 봐야한다”고 평했다.

　이 와중에 MS 제품이 전세계 인터넷 대란의 불씨를 제공함에 따라 1년간 줄기차게 힘을 기울여온 ‘트러스트워디 컴퓨팅’ 전략도 흠집을 기록하게 됐다. 이에 대해 MS는 아직 트러스트워디 컴퓨팅의 성과를 말하기는 이르다고 항변하고 있다.

　스콧 차니 MS 최고보안전략가는 “어느 분야에서는 미흡한 것이 사실이지만 일정 분야에서는 트러스트워디 컴퓨팅 전략이 성과를 내고 있다”고 언급하며 “이 전략은 10년 정도 걸리는 장기 프로젝트다. 이는 마치 지난 60년대 케네디 대통령이 사람을 달에 보내기 위해 많은 시간을 보낸 것과 비슷하다”고 밝혔다. 이어 그는 “이제 막 1년을 지나왔다. 최종소비자들이 “MS 기술은 믿을 만하다. 또 나의 프라이버시도 보호받고 있다”는 생각이 들 때까지 우리의 보안력 향상 노력은 계속 될 것이다”고 역설했다. MS의 그랜드 보안 전략인 ‘트러스트워디 컴퓨팅’은 △보안 △프라이버시 △신뢰성 확보 △비즈니스 통합 등 4가지 분야로 크게 구성돼 있다. 이중 보안과 프라이버시는 1년 전과 비교해 소폭이나마 진전이 있지만 신뢰성과 비즈니스 통합 면에서는 아직 성과가 안나고 있다고 소식통은 전한다.

　실제 MS는 지난 1년간 직원들에게 데이터 보호 책임을 고취하기 위해 프라이버시 핸드북을 발간했다. 또 모든 직원들을 대상으로 ‘프라이버시101’이라는 보안 교육 과정도 만들었다. 그리고 프라이버시를 측정하는 지표인 ‘프라이버시 건강지수’(Privacy Health Index)를 개발, 운영하고 있는데 앞으로 이 지표는 MS조직의 건강지수(Organization Health Index) 중 우선 항목으로 자리매김 할 전망이다.

　리처드 푸르셀 MS 프라이버시 임원은 “1년 전과 비교해 프라이버시 부문에서는 많은 변화가 있었다. 일부 직원들은 문화적 변동이라고까지 부르고 있다”며 “하지만 신뢰성과 비즈니스 통합 측면은 아직 기획단계에 머무르고 있어 아쉽다”고 말했다.

　<방은주기자 ejbang@etnews.co.kr>