“도대체 제품을 어떻게 만들길래….”
마이크로소프트(MS)의 데이터베이스용 서버 소프트웨어인 ‘SQL서버’가 가진 보안 취약점으로 인해 이번 인터넷 대란이 발생함에 따라 MS의 보안 정책이 다시 도마위에 오르고 있다. 특히 이번 인터넷 대란은 빌 게이츠 MS 회장이 “보다 안전한 컴퓨팅 환경을 만들겠다”고 주요 고객들에게 서한을 보낸 지 하루만에 발생, 충격을 더하고 있다. 꼭 탄생 1년째를 맞은 MS의 그랜드 보안 전략인 ‘트러스트워디 컴퓨팅(Trustworthy Computing)’을 중심으로 MS의 보안 정책을 3회 시리즈로 진단한다.
이번 인터넷 대란이 발생하기 하루전인 미국시각으로 지난 23일, MS의 주요 고객들은 빌 게이츠 MS 회장 겸 최고소프트웨어아키텍트가 보낸 한장의 서신을 받는다. “마이크로소프트의 제품은 보안 면에서 지난 일년간 장족의 발전을 해왔습니다. 하지만 ‘트러스트워디 컴퓨팅’이라는 우리의 목표를 달성하기 위해서는 아직 가야할 길이 많이 남아 있다고 생각합니다.”
MS가 작년 1월 전격 발표한 ‘트러스트워디 컴퓨팅’의 성과와 아울러 MS의 보안 정책을 설명한 서신이었다. 지난 2001년 7월 윈도NT와 윈도2000으로 전파되는 인터넷 웜인 ‘코드레드’에 혼쭐이 난 MS는 작년 1월 ‘트러스트워디 컴퓨팅’을 내놓았었다.
MS는 종종 기업고객에 ‘경영진 메일’(Executive Emails)이라는 이름으로 서신을 보내고 있는데, 이번 서신에서 게이츠는 미 컴퓨터 보안 협회와 연방수사국(FBI)의 자료를 인용, “사이버 공격으로 인한 피해가 2001년에만 해도 4억5500만달러나 달했다”며 “현재 MS 직원들을 독려해 보안·프라이버시·신뢰성 향상 등 여러면에서 보다 안전한 제품을 만들기 위해 매진하고 있다”고 밝혔다. 하지만 MS 창설자이자 서열 1위인 빌 게이츠의 이같은 ‘보안 강화 노력’ 발언은 이번 인터넷 대란으로 인해 하루만에 ‘우스운 꼴’이 되고 말았다.
게이츠는 ‘트러스트워디 컴퓨팅’이 미완의 작품임을 인정했다. “비록 우리가 지난 일년간 트러스트워디 컴퓨팅에 있어 많은 성과를 거두었지만 아직 넘어야 할 산은 많다”고 고백했다. 각각 2001년 7월과 9월에 발생한 대형 웜 바이러스인 ‘코드레드’와 ‘님다’로 혼쭐이 난 MS는 보안에 대해 다시한번 경각심을 갖게 됐고, 또 ‘트러스트워딩 컴퓨팅’이라는 그랜드 플랜 보안 전략을 내놓게 됐다.
게이츠의 메모는 MS의 전략에 큰 변화가 있음을 알리는 신호탄이다.
트러스트워디 컴퓨팅이 나오기 전인 2002년 1월이 그랬고, 닷넷 전략이 발진하기 전인 2000년에도 게이츠의 메모가 있었다. 또 MS가 지난 1995년 인터넷쪽으로 사업방향을 확 바꿀 때도 역시 게이츠 메모가 나왔다.
한편 이번 서신에서 게이츠는 새로운 종류의 보안 위험성도 함께 경고했다. “커뮤이케이션과 비즈니스 수행때 인터넷에 의존하는 경향이 늘어감에 따라 보다 안전한 컴퓨팅 플랫폼 구축이 이전보다 훨씬 중요해졌습니다”라고 전제한 게이츠는 “점증하는 네트워크화로 막대한 혜택도 있지만 이와 함께 새로운 종류의 보안 위험도 덩달아 증가하고 있다”고 역설했다.
<방은주기자 ejbang@etnews.co.kr>