2022-12-08 21:00 (목)
카스퍼스키 “보안기업 중 최고의 투명성 선도기업으로 자부심...소스코드 검증도 가능”
상태바
카스퍼스키 “보안기업 중 최고의 투명성 선도기업으로 자부심...소스코드 검증도 가능”
  • 길민권 기자
  • 승인 2022.06.21 17:23
이 기사를 공유합니다

“카스퍼스키 지주회사는 영국 런던에 있습니다. 또한 2017년부터 유럽, 미국, 캐나다, 한국을 포함한 아태지역 사용자를 위해 글로벌 표준을 완벽하게 준수한 데이터 센터를 스위스 취리히로 이전했습니다. 회사의 투명성을 높이고 공급망의 무결성, 보안성, 안정성을 보장하기 위한 일환이었습니다. 정부와 기업은 카스퍼스키 제품의 소스코드를 검증해 볼 수도 있습니다. 한편 모든 국가 사법기관의 고객 정보 요청은 단호히 거부하고 있으며 사이버 위협 정보는 전세계 사이버 안전에 기여하기 위해 적극 공유하고 있습니다. 재정 문제도 각국 지사에서 자체 관리하고 있습니다. 카스퍼스키는 업계에서 유일하게 GTI(글로벌 투명성 이니셔티브)를 출범했습니다. 정치적 상황에 흔들리지 않고 묵묵히 최고의 사이버보안 제품을 고객에게 제공해 나갈 것입니다.” -카스퍼스키 APAC&META 정부업무 총괄 간수진(Genis Sugene Gan)-

카스퍼스키는 21일 ‘글로벌 투명성 이시셔티브(GTI)’를 주제로 기자간담회를 열고 새로운 센터를 설립하며 확대중인 카스퍼스키 투명성 센터에 대해 공유하는 시간을 가졌다. 

이 자리에서 간수진 카스퍼스키 APAC 정부업무 총괄은 “보안기업에게 투명성은 무엇보다 중요하다. 카스퍼스키는 고객과 파트너에게 제품의 작동 방식, 엔지니어링 및 데이터 관리 관행에 대해 투명하게 전달하기 위해 최선을 다하고 있다. 관계자들에게 정보를 제공하고 카스퍼스키에 대한 신뢰를 형성하기 위해 글로벌 투명성 이니셔티브(이하 GTI)를 출범했다”고 말했다. 

◇카스퍼스키 글로벌 기업 투명성 확보위해 다양한 투자

카스퍼스키 GTI 기자간담회. 간수진 총괄(사진 중앙)과 강하라 지사장(사진 좌측)
카스퍼스키 GTI 기자간담회. 간수진 총괄(사진 중앙)과 강하라 지사장(사진 좌측)

카스퍼스키 GTI 주요 요소는 △데이터 이전 △투명성 센터 △타사 평가 △취약점 관리 프로그램 △사이버 역량 구축 프로그램 △투명성 보고 등이다.

2018년에 사이버 위협 관련 데이터 처리 및 저장 시설을 스위스 취리히로 이전을 완료했다. 카스퍼스키 글로벌 투명성 이니셔티브의 일환으로 강력한 데이터  보안 규정과 중립국으로 잘 알려진 스위스로 이전한 것이다. 이곳에서 글로벌 데이터의 82%를 처리하고 있다. 

또한 데이터 검사, 소스코드 검토 등을 수행할 수 있는 투명성 센터를 설립했다. 센터는 △미국 워번 △브라질 상파울루 △말레이시아 쿠알라룸푸르 △싱가포르 △일본 도쿄 △스페인 마드리드 △스위스 취리히 등에 설립됐다. 

투명성 센터에서는 블루, 레드, 블랙 3개 코스로 나눠 카스퍼스키 제품 소스코드를 고객 또는 규제기관 관계자들이 검토해 볼 수 있다. 고객 및 기업 요청 시 카스퍼스키 투명성 센터에서 가상 SBOM을 제공하며, 제품 소스코드가 공개 바이너리와 일치하는지 원격 혹은 직접 방문해 확인할 수도 있다. 

카스퍼스키 소스 검토는 상담 목적으로만 이용할 수 있으며 고도로 엄격한 접근 정책이 적용된다. 즉, 소스 코드 검토 요청은 보안과 관련된 우려가 있을 경우 거부될 수 있다. 소스 코드의 무결성을 확보하기 위해 카스퍼스키는 소스 코드 검토 시 읽기 전용 권한만을 제공하여 어떠한 코드 변조의 가능성도 차단한다.

투명성 센터를 방문하면 카스퍼스키 전문가의 도움을 통해 다음과 같은 활동을 할 수 있다.

▲카스퍼스키 보안 소프트웨어 개발 문서 검토, 대표적인 소비자 제품 및 엔터프라이즈 제품을 비롯하여 카스퍼스키 핵심 제품의 소스 코드 검토 및 소프트웨어 업데이트 및 위협 탐지 규칙 검토

▲소스 코드를 재구축하여 공개적으로 입수 가능한 모듈과 일치하는지 확인. 투명성 센터에서 컴파일 프로세스를 실시하여 카스퍼스키 소스 코드의 무결성에 대해 신뢰할 수 있다.

▲카스퍼스키 제품의 SBOM(software bill of materials)을 확인하여 공급망 보안 강화

▲원격으로 또는 직접 타사 보안 감사 결과(SOC 2 감사 보고서 및 ISO 27001 평가 보고서) 검토

2018년 스위스에 첫 번째 투명성 센터를 설립한 이후로 총 25회의 방문이 이루어졌으며 대부분은 기업 고객이었다. 방문객들이 가장 관심을 가진 부분은 카스퍼스키의 데이터 관리 관행에 대한 정보였으며 소스 코드 검토는 가끔씩 실시되었다. 그 이유는 적절하게 제품의 보안을 평가하기 위한 조직의 사이버 보안 역량이 부족하기 때문이다. 이러한 수요를 충족하기 위해 카스퍼스키에서 사이버 역량 구축 프로그램(CCBP)을 출시하였다. 이 프로그램의 목적은 카스퍼스키 전문가들이 전 세계적으로 많은 조직이 보안 평가 도구 및 지식을 습득하도록 돕고 보안 코드 검토, 코드 퍼징(fuzzing) 및 기타 작업에 대한 교육을 실시하는 것이다. 

간수진 총괄은 “데이터센터 이전과 투명성 센터 운영은 카스퍼스키가 얼마나 투명성 확보에 총력을 기울이고 있는지 보여주는 사례다. 사이버보안 업계의 투명성 확보의 기준이 되고 있다”고 강조했다. 

또한 카스퍼스키 데이터시스템은 ISO/IEC 국제 표준 인증을 획득했으며 파일처리시스템(KLDF) 및 통계시스템 모두 독립인증기관으로부터 검증을 받았다. 더불어 2019년과 2022년 SOC 감사를 통과해 글로벌 4대 회계, 컨설팅 법인에서 실시한 독립 감사기관의 보고서를 받은 바 있다. 

더불어 취약점 취급 및 공개 측면에서 투명성을 높일 것을 발표했으며 버그바운티를 운영하고 있다. 버그바운티는 2018년부터 시행했으며 131건의 취약점 신고와 53건의 신고에 대한 포상금을 지급했다. 총 포상금은 7만5천달러 이상이다. 하지만 크리티컬한 취약점은 1건도 없었다고 전했다. 

한편 카스퍼스키는 사법기관 및 정부기관으로부터 고객과 관련된 정보요청시 모든 요청에 대해 거부하고 있다. 사용자 데이터 및 카스퍼스키 인프라에 대한 접근을 제공하지 않고 있으며 암호화 키 및 비공식적 기능 추가 요청도 단호히 거부하고 있다. 다만 사이버 범죄 수사에 대한 기술적 정보에 대해서는 적극 지원하고 있다. 그리고 지난해부터 6개월마다 투명성 보고서 발표를 해 오고 있다. 

간수진 총괄은 "사이버 보안 업계에서 자사의 소스 코드를 외부에서 검토할 수 있도록 개방한 것은 카스퍼스키가 최초이다. 카스퍼스키는 믿을 수 있고 안정적인 파트너라는 점을 증명하기 위해 최선을 다하고 있다. 현재의 고객은 물론 미래의 고객, 규제 관련 정부 담당자는 언제든 새로운 투명성 센터를 방문해주기 바란다. 소스 코드, 위협 탐지 규칙, 소프트웨어 업데이트를 비롯해 엔지니어링 및 데이터 처리 관행에 대해 가능한 모든 질문에 답하기 위해 최선을 다할 것”이라고 밝혔다. 

2017년부터 카스퍼스키는 글로벌 투명성 이니셔티브를 진행하고 있다. 최근에는 남미 및 중동 지역 사용자를 위한 사이버 위협 관련 데이터 처리 및 저장 시설을 스위스로 이전하고, 카스퍼스키 데이터 서비스에 대한 독립 인증기관 TÜV AUSTRIA의 재인증을 획득했으며, 보안 평가를 위한 실용적인 도구 및 지식을 습득할 수 있도록 도움을 주기 위한 "사이버 역량 구축 프로그램"의 디지털 버전을 출시한 바  있다. 

강하라 카스퍼스키 코리아 지사장은 “카스퍼스키는 지정학적 문제에 직면해 있음에도 불구하고 글로벌 악성코드 탐지율이 가장 높고 최고의 위협 인텔리전스 전문성을 인정받고 있기 때문에 고객들의 신뢰는 여전하다”며 “기술적 강점을 기반으로 한국 시장에서도 고객 확대는 계속될 전망이다. 카스퍼스키는 특정 국가의 기업이 아니라 글로벌 기업이며 사이버 보안 업계에서 유일하게 GTI 프로그램을 운영하며 투명성을 확보한 기업이다. 묵묵히 고객들의 사이버 보안을 위해 정진해 나갈 것”이라고 강조했다. 

1997년 설립된 글로벌 사이버 보안 및 디지털 개인정보보안 전문 회사 카스퍼스키는 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있다. 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고 갈수록 정교해지는 디지털 위협에 맞서고 있다. 전 세계적으로 카스퍼스키의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 24만 개의 기업이 카스퍼스키의 보안 서비스와 솔루션을 이용하고 있다. 

★정보보안 대표 미디어 데일리시큐!★