구글은 어떤 회사일까. 인터넷 광고 회사? 맞는 말이다. 하지만 구글은 사이버보안 회사이기도 하다. 몇 가지 사례를 살펴보자.
우선, 잘 안알려져 있지만 구글은 지주사 '알파벳' 계열로 '크로니클'이라는 사이버보안 전문업체를 운영하고 있다.
2016년 2월 구글 스타트업 인큐베이션 조직 '엑스(X) 프로젝트' 중 하나로 출발해 올해 1월 그 존재를 공식화했다. 크로니클은 2012년 구글에 인수된 악성코드 분석정보 서비스업체 '바이러스 토탈'과 '사이버보안 인텔리전스 및 분석 플랫폼'이라는 두 부문으로 구성됐다.
그 무렵 만난 국내 한 중견 보안관제업체 임원에게 '크로니클'의 존재를 물어봤다. 그는 대뜸 "우려하던 일이 터졌다, 무섭다" 고 했다. 왜일까. 구글은 세계 최대 검색 서비스를 운영하고 있고, 가장 흥행한 웹메일 서비스와 스마트폰 운영체제(OS)의 이용자 데이터를 갖고 있다. 자사 서비스와 플랫폼을 통해 오가는 해킹 공격과 악성코드 및 자체 플랫폼의 보안취약점 악용 기법 등 데이터가 엄청나게 쌓여 있을 터였다.
구글은 '크로니클' 출범 선언문에서 사이버보안 시장에 클라우드와 머신러닝 기술로 접근할 것을 암시했다. 그 임원은 잠재력이 자체 서비스 데이터가 없는 IBM 왓슨과 비교불허일 거라면서 "구글이 본격적으로 사이버보안 시장에서 움직이려 한다면, 기존 업체들은 그와 경쟁하기보다는 어떻게든 손을 잡아야 할 것"이라 우려했다.
지난해 초에는 '구글 트러스트 서비스'가 신설됐다. 구글 인터넷 서비스와 이용자간 안전한 통신을 보장하는 SSL인증서를 직접 발급할 수 있는 최상위인증서발급자(Root CA) 조직이다. 과거 구글은 외부 제3자 Root CA로부터 검증받은 하위 CA만을 운영했다. 트러스트서비스 신설 후 구글은 스스로 SSL인증서 신뢰성을 보증하는 사업자, 즉 Root CA가 됐다. 단지 그걸 구글 외부 조직에 팔지 않을 뿐이었다.
구글이 Root CA 자격을 확보한 취지로 내건 명분은 구글 서비스의 HTTPS용 SSL인증서 발급과 관리 효율 제고였다. 그 무렵 구글 본사의 크롬 개발팀 소속 보안엔지니어가 한국에 왔다. 그는 SSL인증서로 구현되는 HTTPS 암호화통신이 이용자를 보호하기에 세계에 널리 보급돼야 한다고 주장했다. 구글의 Root CA 인증서를 다른 사업자에게도 보급할지를 묻자 "확답할 수 없지만, 그렇게 되면 좋겠다"고 답했다.
구글은 다른 Root CA를 공격하기도 했다. 지난해 3월 SSL인증서 사업조직을 보유 중이던 시만텍의 부실한 인증서 발급체계 관리를 문제삼았다. 단순히 비판한 게 아니라, 불이익을 줄 수 있다고 경고했다. 크롬에서 시만텍 SSL인증서를 단계별로 불신 조치하겠다는 거였다. 쉽게 말해 크롬 환경에서 시만텍 인증서를 가짜 취급하겠다는 으름장이었다. 결론만 말하면, 시만텍은 SSL인증서 부문을 군소 경쟁업체에 팔았다.
구글은 세계 최고의 사이버 취약점 분석 전문가 팀도 보유하고 있다. 올해 초 세계를 떠들썩케 한 중앙처리장치(CPU) 보안취약점 '멜트다운'과 '스펙터' 정보를 공표해 세계 1위 CPU 업체 인텔을 곤경에 빠뜨린 '프로젝트제로' 얘기다. 프로젝트제로의 CPU 취약점 보고서 공개 직후 인텔은 부랴부랴 패치를 배포했다. 이걸로 수많은 컴퓨터의 메모리 데이터 유출 위험을 야기한 CPU 취약점 파동은 진정될 줄 알았다. 아니었다.
초기엔 그걸 적용한 시스템 오작동과 성능 저하같은 부작용을 유발해 진땀을 뺐다. 시스템 운영자들은 자체 데이터센터와 클라우드 서비스상의 서버에 패치를 안 할 수도, 당장 성능저하를 감수할 수도 없어 곤혹스러워 했다. 와중에 구글은 CPU 패치의 성능저하를 상쇄할 수 있는 기술을 개발해 자기네 클라우드서비스 환경에 적용했다며 여유를 보였다. 또 그걸 오픈소스로 공개해 인텔을 우습게 만들었다.
사실 프로젝트제로의 성과는 그보다 역사가 긴 제로데이이니셔티브(ZDI)에 비할 수 없다. 누적 발견 취약점 건수처럼 계량화할 수 있는 업계 기여도를 보면 그렇다. 다만 프로젝트제로가 발견한 인텔CPU 결함은 중요도면에서 독보적이라는 점을 부인할 수 없다. 이처럼 하드웨어 수준의 결함을 연구하고 찾아내기엔 ZDI를 비롯한 여타 취약점연구조직의 운영규모나 자원이 아무래도 제한적이다.
이제 구글은 자체 인프라와 사용자 보안을 위한 하드웨어도 만든다. 지난해와 올해 진행한 '클라우드넥스트' 컨퍼런스에서 연달아 '타이탄'이라는 이름을 단 보안관련 하드웨어를 선보였다. 작년 등장한 타이탄은 구글 클라우드 서버에 탑재되는 보안칩이다. 칩에 부여된 고유 키 값을 이용해 서버 펌웨어의 조작 여부를 확인하는 게 서버용 타이탄 칩의 역할로 소개됐다.
올해 같은 컨퍼런스에서 구글은 또 타이탄이라는 이름으로 보안기술을 선보였다. 이번엔 온라인 서비스 이용자의 계정을 보호하는 실물(physical) 보안 키 '타이탄 시큐리티 키'다. 이용자가 PC에 USB나 블루투스로 타이탄 시큐리티 키를 연결하면 유니버설세컨드팩터(U2F) 표준을 활용하는 이중요소인증(2FA) 기능으로 로그인할 수 있게 만들어졌다. 구글은 이걸 직접 팔 계획이다.
관련기사
- 구글, 피싱에 맞서 FIDO 보안 키 직접 판다2018.07.30
- 구글, 2단계 인증용 장치 '타이탄 보안키' 공개2018.07.30
- 구글, IoT기기 머신러닝 가속칩 '엣지TPU' 공개2018.07.30
- 구글 직원은 패스워드 없이 로그인한다2018.07.30
타이탄 키 USB 버전은 그간 구글과 협력해 온 유비코가 시판한 '유비키'와 기능상 유사하다. 구글은 타 업체와 경쟁할 셈이 아니라 했지만, 언젠가 타이탄 키 가격을 초기 출시가의 절반 이하로 확 낮추고 싶다고도 했다. 유비코에겐 이런 구글이 불편할 수 있다. 그 CEO는 구글의 타이탄 키 공개 직후 블루투스 방식이 유비코가 추구하는 보안, 사용성, 지속성 기준에 미흡해 그런 제품은 안 만들기로 했다고 언급했다.
앞으로 구글이 사이버보안 생태계에서 어떤 역할과 책임을 인식하고 활동할 지, 다른 보안업체들과 어떻게 협력할 지 궁금하다. 그간 공식 구글플레이 장터에서 무방비로 이용자들에게 배포된 악성 앱, 정기 패치를 못받고 있는 구버전 안드로이드의 취약점, 걸러지지 않고 해커 의도대로 구글 검색결과 페이지에 노출되는 악성 웹사이트 링크 등을 생각하면 더욱 그렇다.