[KISA]`2006 사이버시큐리티 서밋`-기조연설: 스콧차니 MS 보안 담당 부사장

스콧 차니(Scott Charney) 미국 마이크로소프트 보안 담당 총괄 부사장은 ‘신뢰할 수 있는 컴퓨팅 환경 구축(Trustworthy Computing)’을 주제로 기조 연설한다. 스콧차니 부사장은 미국 법무부 컴퓨터 범죄 담당을 거쳐 현재 MS의 보안 부분을 총괄하고 있으며, 한국정보보호진흥원(KISA)과 국제 협력 모델을 세계로 확산하는 데 일조했다.

그는 최근 사이버 위협은 ID의 급격한 증가로 신원관리와 접근관리 문제가 심각하다고 지적했다. 또 보안패치 이후 공격 코드 출현기간이 단축돼 보안 패치만으로는 정보보호가 충분하지 않다고 밝혔다. 실제로 님다 웜은 보안 패치 후 331일 이후에 출현한 것에 반해 슬래머웜은 180일, 블래스터웜은 25일 이후 출현하는 등 공격 속도가 빨라지고 있다.

그는 또 과거 호기심과 개인의 명예를 과시하기 위한 해킹이 개인의 금전적 이익이나 국가 차원의 이익을 추구하는 형태로 조직화되고 있다고 밝혔다. 공격 수법도 지능화돼 기존의 방어기제가 부적절해지고 있는 것이 최근 사이버 위협 경향이다.

그는 이에 따라 신뢰할 수 있는 컴퓨팅 환경을 구축하기 위해 바이러스 공격으로부터 안전한 데이터와 시스템의 무결성 확보가 필요하다고 주장했다. 또 공정한 정보 원칙을 지키는 제품과 온라인 서비스가 필요하며 예측가능하고 회복성이 있는 안전한 환경 구축이 급선무라고 덧붙였다.

신뢰할 수 있는 컴퓨팅 플랫폼 구축을 위해서 그는 △기술투자 △지침과 참고 가이드 △업계 파트너십 등 3가지 중점 사항을 제시했다. 또 보안을 우선시하는 문화를 만들고 모든 SW와 시스템 설계에서부터 보안을 고려해야 한다고 밝혔다. 또 기본 설정 차원에서의 보안을 생활화하고 각종 보안 위협을 모형화하고 코드를 점검하는 게 필요하다고 설명했다.

이에 맞춰 마이크로소프트는 안전한 SW개발 생명주기를 구축하고 이를 실행, 취약점 전체 개수와 심각도 감소효과를 맛봤다. 또 공개된 관심사에 대해서도 빠르게 패치를 제공하는 능력을 갖췄다고 그는 밝혔다.

김인순기자@전자신문, insoon@