미중 IT거인들, 차세대 보안기술 연합 결성

사용 중인 데이터 보호하는 '컨피덴셜컴퓨팅' 개발 보급

컴퓨팅입력 :2019/08/22 09:07    수정: 2019/08/22 17:19

미국과 중국 IT거인들이 차세대 보안기술 보급을 목적으로 삼은 민간 연합체 '컨피덴셜컴퓨팅컨소시엄(CCC)'을 결성했다. 과거부터 보안위협 정보공유를 위한 국제 민간연합이 있었지만 보안기술 보급을 목적으로 국경을 초월해 연합을 결성한 드문 사례로 눈길을 끈다.

2019년 8월 21일(현지시간) 미국 오픈소스 서밋에서 리눅스재단이 커뮤니티 프로젝트의 하나로 컨피덴셜컴퓨팅컨소시엄(CCC) 결성을 발표했다. 미중 IT기업 6곳을 포함한 8사가 창립멤버로, 인클레이브 또는 TEE 기술을 활용한 컨피덴셜컴퓨팅 기법의 개발과 확산을 촉진하는 목적으로 운영된다.

리눅스재단은 21일(현지시간) 미국 캘리포니아 샌디에이고 '오픈소스서밋' 행사 현장 발표를 통해 CCC 연합의 설립 목적, 창립멤버, 이들이 추진하려는 프로젝트의 성격과 내용을 소개했다.

소개에 따르면 CCC는 '컨피덴셜컴퓨팅' 개념을 정의하고 그 보급을 앞당기기 위해 리눅스재단이 후원하는 프로젝트 커뮤니티로 만들어졌다. 다른 리눅스재단 프로젝트 커뮤니티처럼 개방형 거버넌스 및 협력을 통해 운영될 예정이다.

컨피덴셜컴퓨팅은 사용 중인 데이터를 암호 기술로 보안상 안전하게 만드는 기법을 의미한다. 기존 데이터 보안 기술은 스토리지에 저장돼 있는 데이터 또는 네트워크를 흘러다니는 데이터를 보호하는 데 초점을 맞춰 왔다. 이는 사용 중인 시점의 데이터를 보호하지 못했다.

컨피덴셜컴퓨팅컨소시엄(CCC) 로고.

사용 중인 시점의 데이터까지 보호할 수 있게 된다면 민감한 데이터의 전 수명주기에 걸친 보안이 가능해진다. CCC 측에서는 "컨피덴셜컴퓨팅은 암호화한 데이터가 시스템의 나머지 영역에 노출되지 않은 채 메모리에서 처리돼 민감한 데이터 노출을 줄이고 사용자에게 더 나은 통제력과 투명성을 제공할 수 있게 해줄 것"이라고 주장했다.

이를 보도한 미국 지디넷은 "CCC는 컨피덴셜컴퓨팅을 컴퓨터 메모리 안에서 처리되고 있는 사용자 데이터를 격리해 데이터가 다른 애플리케이션, 운영체제(OS), 클라우드서버 사용자에게 노출되는 일을 피하도록 해주는 하드웨어 및 소프트웨어 기술 기반 솔루션이라고 일컫는다"면서 "컨피덴셜컴퓨팅을 지원하는 가장 쉬운 방법은 인클레이브(encevals)라고도 알려진 신뢰실행환경(TEE)을 사용하는 것"이라고 설명했다.

이어 "TEE는 종종 클라우드컴퓨팅 영역에서 쓰이는데, 클라우드서비스업체가 다중 사용자에게 공유되는 클라우드 서버에서 처리되는 고객 데이터를 보호하기 위해 인클레이브를 사용하는 것"이라며 "노트북이나 스마트폰에서 구동되는 것과 같은 평범한 일반 앱이라 하더라도 다른 앱이 사용자의 패스워드 관리자, 브라우저, 모바일지갑같은 앱의 민감한 데이터에 접근할 수 없도록 인클레이브를 쓸 수 있다"고 덧붙였다.

설립멤버 명단에 구글클라우드, 레드햇, 마이크로소프트(MS), 바이두, 스위스컴, ARM, 인텔, 텐센트, 8사가 이름을 올렸다. 이들 중 인텔의 '소프트웨어가드익스텐션(SGX) SDK', MS의 '오픈인클레이브 SDK', 레드햇의 '에낙스(Enarx)'같은 오픈소스 프로젝트가 CCC에 기부될 예정이다. 이를 통해 CCC의 주력 활동 목적 중 하나인 TEE 기술 보급을 촉진하고 표준화 활동을 통해 다른 기업과 개발자를 포섭할 전망이다.

CCC는 홈페이지를 통해 세부내용을 설명하기 위한 예비질의응답 항목을 열거하고 있는데, MS의 오픈인클레이브 SDK 프로젝트와 관련된 설명에 상당 비중을 할애하고 있다. 이 프로젝트는 보안기능을 갖춘 하드웨어로 보호되는 신뢰 애플리케이션 개발에 쓸 수 있는 소프트웨어개발도구(SDK)를 만든다. 인텔 프로세서의 SGX 및 ARM 칩의 트러스트존 기술, 리눅스와 윈도 운영체제(OS) 플랫폼을 지원한다.

미국 지디넷은 인텔 SGX SDK, MS 오픈인클레이브 SDK, 레드햇 에낙스, 세 프로젝트 모두 수년전부터 오픈소스로 개발, 제공돼 왔던 것이라 지적했다. CCC에 프로젝트를 기부한다는 건 이들 프로젝트의 거버넌스, 즉 개발방향 수립을 포함한 의사결정 권한을 원래 제작자로부터 CCC로 이양한다는 의미일 것이라고 추정했다.

이번에 기부되는 프로젝트 목록에는 구글클라우드의 개발자가 만든 TEE 구동 애플리케이션 개발용 오픈소스 프레임워크 및 SDK인 '어사일로(Asylo)'가 빠져 있다고도 지적했다.

설립멤버 8사 중 지난 2016년 일본 소프트뱅크에 인수된 영국 반도체 설계업체 ARM이나 스위스의 통신사 스위스컴을 제외한 나머지 6사의 본사 소재 국가가 미국과 중국이라는 점과, 이들이 세계 각지 시장에서 움직이고 있는 다국적 기업들이라는 점이 눈길을 끈다.

관련기사

보안위협 대응을 목적으로 여러 지역 민간기업이 뭉친 사례 자체는 드물지 않다. 앞서 글로벌 보안위협 정보를 공유할 목적으로 각국 민간기업이 결성한 '사이버위협얼라이언스(CTA)'가 있고, 사이버공격으로부터 사용자와 고객을 보호하겠다는 목적으로 만들어진 '사이버보안기술협정(CTA)'이 있었다. 단체 성격이나 회원사 구성에 차이가 있지만 보안기업이 일정한 역할을 하는 구조다.

두 CTA와 견줄 때, CCC는 보안전문업체보다는 차세대 컴퓨팅 기술 흐름을 주도할 수 있는 기업과 그걸 활용하는 서비스 업체들이 주축이라는 점의 차이가 두드러진다.