구글 "보안 결함 찾아주세요"

　구글이 주요 인터넷 기업 중 최초로 사용자의 보안 결함 발견을 적극 장려하고 있다고 C넷이 1일(현지시각) 보도했다.

구글은 지난달 웹사이트 기업정보란에 ‘구글 보안과 제품 안정성(Google Security and Product Safety)’ 페이지를 추가했다. 구글은 이 페이지에서 보안 결함을 발견했다면 서비스를 개선하기 위해 알려 달라고 사용자에게 요청하며 지금까지 보안 개선에 공헌한 12개 단체·개인의 목록도 공개했다.

더글라스 메릴 구글 엔지니어링 부사장은 “(목록 공개가) 그들이 한 옳은 일에 대해 감사를 표하는 것”이라고 말했다.

업계 전문가들에 따르면 이런 시도는 야후, AOL 등 주요 인터넷 기업 중에서는 첫번째다.

예레미아 그로스만 화이트햇 시큐리티 최고기술책임자(CTO)는 “SW 업체들은 지난 10년간 커뮤니티 참여로 사용자를 보호할 수 있다는 것을 배웠다”며 “구글은 커뮤니티 참여가 보안의 중요한 부분이라는 것을 이해하고 있다. 다른 웹 기업들도 똑같은 일을 해야 한다”고 말했다.

C넷은 데스크톱PC에 저장되지 않는 웹 애플리케이션의 사용이 늘어나면서 SW 업체가 직접 보안 결함을 발견, 사용자에게 e메일이나 게시판을 통해 공지하고 패치·업데이트 하도록 하는 이전 방식이 변하고 있다고 전했다.

그로스만 CTO는 “기업이 보안 결함을 공지해도 사용자는 패치하지 않는다”며 “웹 기반 SW에서 e메일 경고나 게시판 공지는 적합하지 않은 모델”이라고 말했다.

그러나 구글은 보안 결함 정보를 구글에만 공개하는 ‘합리적 비공개’ 원칙 준수를 요구하고 있다.

메릴 부사장은 “결함을 공공에 공개하는 순간 공격이 발생한다”며 “합리적 비공개가 오늘날 보안 업계에서 가장 중요하다고 생각한다”고 말했다.

구글은 정보를 제공한 사용자에게 금전적 보상을 하지는 않지만 감사의 뜻으로 기념 T셔츠를 제공한다고 밝혔다.

최순욱기자@전자신문, choisw@