Chapter 7. 좋은 보안제품을 찾아 여행하는 히치하이커를 위한 안내서

좋은 사과를 고르는 법을 아는가? 좋은 휴대폰, 좋은 책, 좋은 식당, 좋은 여행지....는 어떠한가?

그렇다면 좋은 보안 제품을 고르려면 어떻게 해야 할까 생각해보면, 꽤나 많은 기준들이 떠오른다.

개인이나 기업에서 보안 제품 하면 제일 먼저 떠오르는 것은 우리가 흔히 "백신"이라고 부르는 안티 바이러스 제품이다. 보안 제품마다 저마다의 기준이 조금씩 다르겠지만, 안티 바이러스 제품을 예로 들어 나름대로 정리해 보려고 한다.

"안티 바이러스(AV)는 죽었다 Antivirus is dead" 이 말은 시만텍이라는 안티바이러스 제품을 팔아서 먹고사는 회사의 정보보안부문 부사장(사예쓰 브라이언 다이)이 월스트리트 저널과의 인터뷰에서 한 말이다. 이게 무슨 말인가? 안티바이러스가 이제 더이상 필요 없다니..

인터뷰의 전문을 보면 그렇게 놀랄 내용은 아니다. 필자 처럼 제목에 이끌려 인터뷰 기사를 읽게 하려는 자극적인 표현에 불과 하다. 인터뷰의 내용을 요약하면 복잡한 형태의 공격으로부터 PC를 지키려면 예전의 전통적인 악성코드 탐지 방법만으로는 힘들고 새로운 탐지 방법과 보안 기능이 필요하다는 이야기이다. 암튼 주목을 끄는데 성공한 것은 틀림없다.

하지만 이외에도 "안티 바이러스(AV)는 죽었다"라는 표현이 심심치 않게 들린다. 지금으로부터 10년전 우리들의 컴퓨터의 AV 제품과 요즘의 AV를 비교해 보면, AV 제품이라는 이름 아래 정말 많은 기능들이 추가 되었다. 방화벽, 네트워크 침입차단, 악성 웹사이트 차단, 행위 기반 악성코드 탐지, 휴리스틱 진단, 클라우드 진단, 가장 최근의 머신러닝을 이용한 진단 등등 많은 기능들이 개발 되었지만, 여전히 새로운 공격은 날마다 등장하고, AV는 아직도 컴퓨터를 보호하기에 충분하지 않다. 반대로 개인용 AV 무료화, 전통적인 보안 업체는 아니지만 이제는 보안 기능을 제공한다는 기업의 제품들도 하나 둘씩 늘어나고 있다. 거꾸로 말하면 이제는 모든 제품은 보안을 고려해서 만들고 있다는 뜻이기도 하다.

그렇다면 좋은 보안 제품이란 무엇일까? 가장 많은 사람들이 쓰고 있는 보안제품? 아니면 일년 매출이 수조원에 이르는 외국의 대형 보안 업체 제품? 애국심 관점에서 또는 서비스 측면에서 토종 국산 보안 제품? 

우선 기본적으로 좋은 보안 제품을 고르는데 도움이 될 만한 자료들이 있다. 안티바이러스의 경우 AV-TEST, VB 100 (Virus Bulletin), SE Lab Test, Check Mark 등등 안티바이러스의 진단율과 성능 등을 종합적으로 평가하는 신뢰성 높은 평가기관들의 자료를 보면, 어느 제품이 악성코드를 잘 진단하고 성능이 좋은지 대체로 알 수 있다. 보통 평가 기관들의 순위에 큰 이견은 없는 편이다.

그렇다면 이것만으로 충분한가 생각해 볼 필요가 있다. 아직은 2% 부족한 느낌이다. 진단율과 성능이 아주 중요하고 큰 비중을 차지하는 평가 기준이지만, 순수하게 일반인 고객(개인 또는 기업)입장에서 만족할 수 있는지는 의문이다.

필자가 생각하는 좋은 보안 제품인지를 평가할 때의 생각해 볼만한 추가적인 몇가지 기준은 다음과 같다. (지극히 개인적인 기준이다.)

첫째는 일반적으로 제품 또는 보안 제품을 이용하는 사용자가 보안에 대한 기반 지식이나 설정 방법을 알아야 할까? 필자가 생각하기에는 자꾸 사용자에게 보안에 대한 지식을 요구하거나, 설정, 처리 방법을 떠넘기는 보안 제품은 좋은 제품이 아닌 것 같다. 특히 기업 보안 담당자는 아니더라도 작은 기업이나 개인에게 "어떻게 처리 하시겠습니까?"라고 묻는 것은