`채용에서부터 교육과 플랫폼 적용까지, 보안은 문화다.`
모든 사업이 인터넷에서 이뤄지는 IT 공룡기업 구글은 기업 사이버 보안을 어떻게 하고 있을까. 최근 구글 시큐리티 화이트페이퍼에 내용이 공개됐다. 구글은 사이버 보안을 `문화`로 인식했다.
구글은 클라우드 서비스 제공자며 동시에 사용자다. 구글 클라우드 서비스 목표는 기업 내 솔루션을 직접 구축하는(온프라미스) 것 보다 더 강한 보안이다. 구글 클라우드 서비스는 스토리지와 네트워킹, 빅데이터 솔루션 등을 제공한다.
구글은 고객에게 제공하는 클라우드 서비스를 내부에서 그대로 쓴다. 구글 보안을 한마디로 표현하면 `문화`다.
구글은 채용부터 보안 기준에 맞는 사원을 채용한다. 범죄 연루와 신용도 등을 점검하고 경력과 내·외부 참조 확인 작업을 거친다.
직원이 된 후에도 보안 교육은 계속 된다. 입사 오리엔테이션 시작은 보안이다. 이때 신입 사원은 고객 정보 보호와 안전에 대한 행동 강령(Code of Conduct)에 동의해야 한다. 물론 직군마다 교육은 다르다. 구글 사이버보안팀 신입사원은 시큐어 코딩 교육을 받는다. 제품 설계에는 자동화한 취약성 테스트 도구를 사용한다.
보안 중요성을 일깨우는 행사는 자주 열린다. `프라이버시 위크`라는 행사를 열고 소프트웨어 개발과 데이터 취급 등에서 개인정보보호 중요성을 알린다.
구글에는 보안과 프라이버시 전문가 500여명이 일한다. 이 팀은 구글 사이버 방어 시스템을 유지보수하고 보안 검토 프로세스를 개발한다. 안전한 인프라를 만들고 구글 보안 정책을 개선한다.
구글은 보안 연구도 지속한다. 상용 소프트웨어에서 취약점(버그)을 찾는 `프로젝트 제로`도 진행한다. 구글 보안팀은 SSL 3.0 웹 암호화 기술 취약점인 `POODLE SSL 3.0 exploit`을 발견했다.
구글은 외부 보안 커뮤니티를 활용한다. 구글 서비스에서 취약점을 찾는 버그바운티 프로그램을 운영하며 700개가 넘는 크롬 보안 취약점을 찾아냈고 125만달러 상급을 지급했다.
구글 세이프 브라우징은 악성코드 방어 시스템이다. 구글은 무료 온라인 서비스 `바이러스 토털`을 운영해 악성파일을 분석하고 악성콘텐츠를 식별한다.
사고대응은 미 국립표준기술원(NIST) 800-61 가이드를 따른다. 사고 대응 훈련은 민감한 고객 정보를 저장하는 시스템 등 주요 영역에서 시행된다. 내부자와 외부자에 의한 사고나 소프트웨어 취약점에 의한 자료 유출 등 대응 훈련을 한다.
데이터 센터 내 장비 등 물리적 위치 파악도 중요하다. 데이터 센터 내 모든 장비는 바코드와 자산 태그로 관리한다. 금속탐지기와 영상감시는 인가되지 않은 기기가 데이터 센터 내에 남아있는지 살핀다. 수명이 다한 장비 내 하드디스크 드라이브는 전체 영역이 암호화(FDE) 된다. 디스크를 물리적으로 파괴해 데이터 유출을 막는다.
김인순 보안 전문기자 insoon@etnews.com