RSA 컨퍼런스에 강연자로 출격하는 솔라윈즈 CEO, 어떤 이야기 할까?

솔라윈즈 사태라는 큰 사고를 겪은 회사의 CEO가 직접 보안 컨퍼런스에 강연자로 나올 예정이다. 게다가 ‘최대한 솔직하게 정보를 나눌 것’이라고 약속까지 했다고 한다. 대담자로 그를 상대할 인터뷰이를 미리 만나보았다.

[보안뉴스 문가용 기자] 지난 12월에 터진 대대적인 보안 사고 이후 솔라윈즈(SolarWinds)라는 기업의 이름은 공급망 공격의 대명사가 되었다. 2017년 에퀴팩스(Equifax) 사태 이후의 에퀴팩스, 2014년 타깃(Target) 사건 이후의 타깃과 같은 위치에 오르게 된 것이다. 그래서 그런지 RSA 컨퍼런스 2021에 솔라윈즈의 CEO인 수다카 라마크라슈나(Sudhakar Ramakrishna)가 나선다고 했을 때 모든 관심이 쏠린 것은 당연한 일이다. 그는 포레스터(Forrester)의 분석가인 로라 코에츨(Laura Koetzle)과 대담을 할 예정이다. 본지는 코에츨과 미리 만나 어떤 이야기를 진행할 것이며, 어떤 답을 예상하는지 들어 보았다.

[이미지 = utoimage]

보안뉴스 : 라마크리슈나 CEO와 솔라윈즈 사태의 수사 결과와 관련된 이야기를 나눌 예정이다. 사태에 대한 그의 의견도 들어볼 수 있을 것으로 기대된다. 일단 청중들에게 주고 싶은 핵심 내용은 무엇인가?
코에츨 : RSA 컨퍼런스 주최 측에서 라마크리슈나의 인터뷰를 제안했을 때 크게 고민할 것 없이 승낙했다. 그런데 다음 날 내가 무슨 짓에 응한 것인지 바로 감이 오더라. 심지어 대담의 성패는 라마크리슈나가 얼마나 솔직하게 임할 것인지, 법률 팀이 얼마나 그의 대화를 허용해 줄 것인지에 전적으로 달려 있기 때문에 내가 할 수 있는 일이 사실상 아무 것도 없다는 것 역시 크게 다가왔다. 다만 라마크리슈나가 최대한 솔직한 얘기를 할 것이라고 했기 때문에 그것을 믿을 뿐이다.

그가 많은 이야기를 들려줄 거라는 전제 하에 사회를 맡은 사람으로서 솔라윈즈라는 회사가 사건 당시 직면해야 했던 압박감이 어떠했는지, 또 그 압박감 속에서 어떤 선택과 결정을 이어갔는지 묻고 탐색할 생각이다. 대대적인 사건이 터졌을 때, 현장에서 어떤 일이 벌어지는지 최대한 생동감 있게 청중에게 전달하고 싶다.

보안뉴스 : 인턴이 비밀번호를 포스트잇에 적어둔 게 문제였다는 지적이 심심찮게 나왔었다.
코에츨 : 인턴이 비밀번호를 포스트잇에 적어둔 덕분에 사건이 발생했다는 에피소드가 퍼지고 있는데, 이건 누군가에게 손가락질 하고 싶어 하는 본능을 충족시키기 위해 급조된 이야기입니다. 아예 없는 이야기는 아니지만, 공격자들이 이 포스트잇의 비밀번호를 사용한 것이 아니기 때문에 사건과 상관이 없는 이야기일 뿐이죠. 이런 이야기가 퍼진 것이 솔라윈즈 사태 수사에 어떤 영향을 미쳤는지 무대에서 이야기를 나눠볼 예정입니다.

보안뉴스 : 사실 라마크리슈나는 새로 부임한 CEO다. 사건이 터지고 나서 임명된 건데, 앞으로 솔라윈즈를 어떤 식으로 이끌어갈 것으로 보이는가?
코에츨 : 정확히 말해 라마크리슈나가 임명된 건 2020년 12월 9일로, 파이어아이(FireEye)가 사건을 공개하고서 바로 다음날이다. 그 때만해도 솔라윈즈는 이 파이어아이 해킹 사건과 아무런 관련이 없어 보였다. 내부적으로도 솔라윈즈 사태를 상상도 하지 못하고 있었다. 라마크리슈나가 CEO로서 실무를 시작한 건 1월 4일부터였다. 사건이 발발하고 3주 정도가 지난 시점이었다. 라마크리슈나의 솔라윈즈는 그 때부터 지금까지 해당 사고에 대하여 대단히 투명한 태도를 견지해 왔다고 생각한다. 새로운 정보가 생길 때마다 고객과 보안 업계에 충실히 알리기도 했다. 개인적으로 그 투명성이 라마크리슈나의 솔라윈즈가 보안 가장 큰 장점이라고 생각하며, 이 부분을 집중적으로 다뤄보고자 한다.

보안뉴스 : 솔라윈즈가 가장 큰 사태일 줄 알았는데 콜로니얼 파이프라인 사건이 터졌다. 워싱턴 경찰국이 랜섬웨어 공격자들의 협박에 시달리고 있기도 하다. 바이든 행정부는 결국 긴급 행정명령이라는 칼을 빼들었다. 이번 행정명령에 대하여 어떻게 생각하는가?
코에츨 : 일단 행정명령에 대한 비판은 요 며칠 동안 충분히 나왔다고 생각한다. 나까지 한 마디 더 얹어봐야 의미가 없다. 없는 것보다 훨씬 나은 것은 사실이며, 이것을 이렇게 공격적으로 하겠다는 대통령의 의지에 일단 지지를 보낸다. 사실 바이든은 임기 초부터 사이버 보안에 투자하겠다는 의지를 자주 표현해 왔다. 급히 결정한 건 아니라고 생각한다. 게다가 미국 회계감사기관인 GAO이 3월에 발표한 바에 의하면 정부가 6개월 안에 도입하기로 한 보안 장치들이 23개 연방 정부 기관에 없다고 한다. 필요한 일이다.

보안뉴스 : 솔라윈즈 사태가 터지고 어느 새 6개월 정도가 지난 시점이다. 이 사건이 주는 가장 큰 교훈은 무엇이라고 생각하는가?
코에츨 : 앞에서도 말했지만 솔라윈즈가 보여준 투명성이 개인적으로 가장 인상 깊었다. 수사를 진행하면서 얻어낸 정보들을 꼼꼼하게 제공하면서 협력을 꾀하고, 교훈이라고 할 수 있는 걸 적극 나누었던 것이 대단히 바람직한 태도였다. 그 점은 모든 조직들이 배워야 한다고 생각한다. 간혹 “솔라윈즈 사태를 막으려면 어떻게 해야 하는가?”라며 자사 소프트웨어를 광고하는 업체들의 강연을 자주 보아왔는데, 개인적으로 그러한 제목만 보면 휴지통으로 집어넣는다. 솔라윈즈 사태에 대한 진지한 고찰도 없이 홍보의 기회로만 삼는 것이 최악이다. 누구나 한 번은 사이버 공격에 당할 수밖에 없다. 그런 태도로는 진짜를 배울 수 없다.

보안뉴스 : 그래도 솔라윈즈 사태를 교훈 삼아 보안을 강화하려는 건전한 조직이 더 많을 거라고 본다. 그런 조직의 CISO들에게 권하고 싶은 것이 있다면?
코에츨 : 업무 환경에서 근무자로서 보안 수칙을 지키는 것과, 솔라윈즈처럼 시장에 팔기 위해 제작하는 제품의 보안을 강화하는 것과는 전혀 다른 일이다. 안타깝게도 많은 조직들이 이 둘을 자주 혼동한다. 제품의 보안을 튼튼히 해서 솔라윈즈와 같은 사고를 겪지 않으려면 CISO가 제품 기획과 개발을 맡은 팀과 초기 단계부터 같이 작업을 해야 한다. 말이 쉽지 생각보다 대단히 어려운 일이다. ‘보안을 설계 단계부터 도입한다’는 것이 얼마나 힘든지 겪어보지 않으면 모른다. 각오해야 할 것이다.

CISO라면 일반적인 업무 환경에서의 보안 역시 강화해야 할 것이다. 제품의 안전한 개발에도 신경을 쓰면서 말이다. 현장의 CISO들이 겪는 어려움은 ‘어느 정도 수위까지 보안을 강화해야 하는가?’를 결정하는 일일 것이다. 이건 조직마다 상이할 수밖에 없는데, 그렇기에 CISO는 조직 전체와의 소통을 원활히 이뤄가야 하는 사람이기도 하다. 이번 대담을 통해 이 부분에 대한 힌트도 얻어내고 싶다.

3줄 요약
1. 올해 RSA 컨퍼런스에 솔라윈즈의 새 CEO가 출격함.
2. 대담자는 포레스터의 분석가. 솔라윈즈의 사고 대처 방식 중 ‘투명함’을 높이 삼.
3. 새 CEO가 얼마나 솔직할 것인지가 관건이지만, 일단 ‘최대한 솔직할 것’이라고 약속한 상태.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)