Home > 전체기사
Arxan, 생존 너머의 보안까지도 생각한다
  |  입력 : 2015-12-14 18:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아르한, 악산, 안샌... 표기는 하난데 발음은 여러 개
국가 방위 산업, 게임 산업에서 쌓은 보안 노하우

▲ 주의 : 아르한 풍경은 아닙니다

[보안뉴스 문가용] 보안 소프트웨어 전문 업체인 Arxan을 검색 엔진에서 찾아보면 한글 표기가 ‘안샌’으로 나온다. 그런데 지난 8월 새로운 CEO가 되었고, 12월 초 한국을 방문한 조 샌더(Joe Sander)와의 인터뷰에서 그는 내내 철자 그대로인 ‘악산’으로 발음을 했다. 이 정체불명의 단어는 어디서 온 것이냐 물으니 내몽골의 한 도시 이름이라고 한다. 그런데 또 그 도시 이름은 아얼산阿尔山이다. 도대체 뭐가 진짜 발음이야...

뿌리가 중요하지...유래 중시형
아얼산이라는, 도저히 첨단 보안 소프트웨어와는 쉽게 연상이 되지 않는 도시가 이 회사의 이름이 된 건 샌더 CEO의 설명에 따르면 “창립자가 중국계 미국인이기 때문”이기도 하지만 “중국에서 가장 아름다운 관광지 중 하나”이기 때문이기도 하다. 그냥 아름다운 게 아니라 “중국이 현대에까지 통일과 분열을 반복하는 과정 중에 발생한 숱한 전투와 전쟁, 토벌, 침략에서 고고히 살아남았다”는 게 핵심이다.

이는 애플리케이션 보안을 장기로 삼고 있는 Arxan이 지향하고 있는 바와 정확히 일치한다. 미국의 중요한 정부 보안 프로젝트에 계속해서 참여해온 것은 물론 콘텐츠 보호가 곧바로 회사의 명운과 연결되는 게임 산업에서 크게 인정받고, 그 기세를 이어 이제는 금융산업을 비롯, 여러 다른 일반 기업들의 애플리케이션 보안을 성공적으로 이뤄온 Arxan의 성과도 잘 반영하고 있다.

“세계 최고의 게임 기업 10개 중 7개 기업이 저희의 기술로 보호받고 있습니다. 게임제조사는 해적판이 등장하는 시점부터 천문학적인 손실을 실시간으로 보게 됩니다. 사전에 게임 코드가 밖으로 새지 않게 하는 것, 새더라도 판매가 시작되고 일정 기간 동안 해적판이 돌아다니지 못하게 크래킹을 최대한 어렵게 만드는 것이 보안의 핵심이며, 보안은 실적의 핵심입니다. 게임이라는 방대한 콘텐츠를 성공적으로 보호할 수 있다는 건 저희 기술이 애플리케이션 보호에 뛰어나다는 걸 방증한다고 볼 수 있습니다. 그래서 자산 규모가 4조 달러 이상인 금융 서비스 기관들도 저희에게 보호를 요청하는 것이죠.”

창립자가 어느 날 아르한이라는 관광지를 여행하고 감동을 받아 홧김에 Arxan이라는 기업 이름을 지은 게 아니라면, 기업이 여태껏 이룬 성과와 아르한이라는 지역이 가진 역사적인 중요성이 이렇게 잘 어울리는데 Arxan을 아르한이라고 발음하지 않을 이유가 없다.

당사자들의 입장이 제일 중요하지...수용성 중시형
그러나 위에도 밝혔지만 인터뷰 내내 샌더 CEO는 Arxan을 표기 그대로 악산이라고 발음했다. 사람의 말이란 시대에 따라 변하게 되어 있고, 그래서 예전엔 문화수준을 드러내기 위해 자장면이라고 발음하던 것이 짜장면으로 발음하고 써도 허용이 되는 시대인데, 뭘 굳이 단어의 유래까지 찾아 그 발음 그대로를 고집할 필요가 있느냐는 생각도 일리가 있다.

게다가 사실상 Arxan이라는 글씨를 보는 대다수의 사람들은 이를 악산이라고 발음을 할 것이 당연한데 이들에게 일일이 아르한의 유래와 아름다움을 곁들여 발음교정을 할 것인가? 유래에 대한 설명을 포기하고 기업의 CEO가 실용적인 발음인 ‘악산’을 사용한다는 건 고객의 애플리케이션의 보안을 담당하는 Arxan의 기본자세를 엿볼 수 있는 부분이다.

“보안상 기술의 세부적인 내용을 밝힐 수는 없지만, 저희가 하는 일은 결국 고객들이 자신들의 고객을 위해 만든 애플리케이션을 보호하는 겁니다. 그것을 위해 할 수 있는 일은 제일 먼저 코딩 자체를 어렵고 단단하게 만드는 것이죠. 최대한 크래킹이 어렵게 만들면서 동시에 성능은 유지시키는 게 관건입니다. 그렇다고 저희가 앱을 처음부터 개발해 만들 수는 없고요. 그러려면 고객의 앱이 어떤 기능을 가지고 있는지를 철저하게 해부해서 파악해야 합니다. 이는 단순히 앱을 코딩 차원에서 이해하는 게 아니라, 고객사의 사업 방향이 무엇인지, 그 방향 속에서 우리가 맡은 앱이 어떤 기능을 수행하는 게 본연의 목적인지를 이해하는 것을 말합니다. 그런 깊은 이해가 없으면 앱을 ‘단단하게(hard)’ 만들 수 있을지는 몰라도 그것이 스스로를 보호하도록(self-protection) 하지는 못합니다. 악산은 앱이 스스로를 보호하도록, 미래까지 내다보는 보안을 합니다.”

하지만 공식 표기가 안샌인데... 규칙 중시형
그럼에도 많은 매체는 Arxan을 언급할 때 ‘안샌’을 선택할 것이라고 본다. 왜냐하면 그것이 포털 사이트에서 Arxan을 검색했을 때 나오는 ‘공식 표준’과 같은 표기법이기 때문이다. 규칙을 잘 지킨다는 건, 어떤 행위를 하면서 동시에 그 행위에 대한 결과의 근거를 만드는 일이기도 하다. Arxan이 자사의 보안 기술력에 대해 강력한 자부심을 가지고 있으면서도 동시에 놓고 있지 못하는 ‘겸허함’이 있는데, 그건 바로 ‘100% 해킹이 불가능한 건 없다’라는 IT 업계 불문의 진리이다(적어도 현 시점까지는).

“최대한 해킹 시간을 지연시키는 것, 그래서 추적이나 복구가 최대한 빠르게 결실을 맺게 하는 것이 저희가 할 수 있는 실제적인 일이라는 사실은 인지하고 있습니다. 그러니 진짜 필요한 것에만 역량을 집중할 수 있지요. 또한 보안에 있어 모든 방어를 다 할 수 있도록 해주는 솔루션이 없다(one size fits it all)는 것도 잘 알고 있습니다.”

그러니 Arxan은 궁극의 만병통치약을 개발하기 위해 애쓰는 대신 ‘왜’에 집중한다. 고객의 사업에 대해 이해하려 할 때 ‘why’를 자주 묻는다는 것. “왜 이 앱을 제공하려 하느냐? 왜 이런 사업을 진행하느냐? 이런 대답들 끝에 보통 해커들이 노릴만한 것들이 주렁주렁 걸려 있습니다. 그렇게 해커가 뭘 노리는지 예상할 수 있을 때 해킹 발생 시 충격을 줄이고, 리스크를 관리하고 분석을 빠르게 할 수 있습니다. 결국 기본을 가장 잘 지키는 게 보안을 제일 잘 하는 지름길인 것도 같다는 생각입니다.”

▲ 조 샌더 CEO

한편 National Computer Security(현재 사이버트러스트(CyberTrust)의 전신)와 ConsulRisk Management라는 보안 업체의 주요 보안 관리직을 20여년 동안 역임해 오며 올해 Arxan으로 거처를 옮긴 조 샌더 CEO는 “처음 보안업계에 뛰어들었을 때는 해킹으로 입을 수 있는 피해가 기업의 이미지 타격 정도였는데 이제는 실제 자산 손실이 물리적으로까지 발생하는 때”라며 “그때도 해커가 있었고 요즘도 해커가 있는 건 마찬가지지만 그 의도와 방법이 더 악랄해지고 있다”고 과거와 현재의 온도차를 설명했다.

“단지 아르한이라는 도시의 전설이나 기록이 아니라 ‘아름다움’을 아름답게 지켜냈기 때문에 안샌도 되고 악산도 되는 것일지도 모릅니다. 공격이 더 악랄해지는 때에 보안은 이제 ‘생존’만을 목적으로 하는 게 아니라 ‘온전한 유지’, 심지어 ‘아름다움’까지도 지켜낼 수 있어야 한다고 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)