작성자: 더글라스 메릴, 엔지니어링 부사장 날짜: 2008년 3월 26일 수요일여러분이 알고 계시듯이, 구글은 우리의 삶을 보다 효율적으로 만들 수 있는 제품 개발을 위해 많은 시간을 보내고 있습니다. 이메일 정리, 사진 공유, 실시간 문서 공동 작업 등을 더욱 편리하게 해주는 제품들이지요. 여러분이 모르는 부분이 있다면 그것은 아마 이러한 제품들에 들어가는 보안을 위해 구글이 더 많은 시간을 쓰고 있다는 것입니다. 즉, 여러분과 여러분의 개인 정보를 보호할 수 있는 보안장치에 상당한 노력을 기울이고 있습니다. 혹 여러분이 평생 겪지 않을 수도 있는 가능성일지라도 구글은 보안에 관한한 매우 철저하게 대처합니다. 이를 위해 구글은 세계 최고의 엔지니어들과 함께 정보를 안전하게 지키기 위한 활동을 하고 있습니다. 물론 이런 활동 대부분은 회사내 기밀사항이지만, 저희가 여러분의 데이터를 어떻게 보호하고 있는지 그 내용의 일부를 공유하고 싶습니다.먼저 저희가 비밀 정보를 어떻게 다루는지에 대해 여러분이 알아야 할 몇 가지가 있습니다:철학: 우선 우리의 철학입니다. 구글에서 말하는 보안은 연속적인 과정입니다. 우리는 단순히 제품을 런칭하기 전에 보안 "검사"만을 하지 않습니다. – 우리는 제품이 만들어지기 이전부터 보안을 생각하고 있습니다. 그리고 제품 개발의 전 과정을 통해서 보안 체계를 구축합니다. 또한 우리 철학에서 중요한 것은 다중 보호 시스템을 강조하는 것입니다. 이는 집에 대한 보안시스템과 비슷합니다. 여러분은 가장 중요한 개인 정보를 금고에 보관할 것입니다. 집에 있는 금고는 잠금장치나 경보장치로 보안을 유지하게 됩니다. 그리고 이웃을 지켜주는 주택 경비 시스템을 설치하거나 경찰의 감시 서비스의 도움을 받을 것입니다. 이는 구글에서도 유사합니다. 우리의 가장 민감한 정보(금고)는 사람들이 찾아내거나 접근하는 것이 쉽지 않습니다. 우리의 네트워크와 시설(주택)은 첨단 기술과 기존 방법을 모두 사용해 보호되고 있습니다: 암호화, 경보, 기타 시스템 보호 기술과 함께 시설에 대한 강력한 물리적 보호 장치를 한 것이지요. 그리고 마지막으로, 보안은 커뮤니티 차원(이웃)에서 가장 잘 유지된다는 것을 알게 됐습니다. 우리는 잠재적인 문제나 솔루션을 파악하는데 모든 사람들이 우리를 도와줄 수 있도록 하고 있습니다. 전세계 보안 기술 관련 기업에서 일하는 전문가들은 끊임없이 인터넷에서의 보안 문제를 탐구하고 있으며 우리는 이러한 커뮤니티와 긴밀히 협력해 잠재적인 보안 문제를 찾고 해결하고 있습니다.
기술: 이러한 다중 보호 시스템은 세계 최고의 보안 기술을 바탕으로 만들어져 있습니다. 우리는 보안 커뮤니티 안에서 다른 기업들이 만든 제품을 사용하지만, 우리 스스로가 수많은 보안 기술을 개발하고 있습니다. 우리가 개발한 보안 아키텍쳐 중에서 가장 획기적인 내용은 우리 보안 시스템이 자동화(automation)와 규모(scale)에 중점을 두고 있는 것입니다. 이는 우리가 매일 수 백만 명의 사용자를 위한 검색, 이메일, 기타 활동을 다루고 있기 때문에 매우 중요합니다. 우리의 보안 프로세스가 항상 한발 앞선 상태에 있도록 하기 위해, 혹시 모를 보안에 관한 취약성에 대비해 소프트웨어를 검사하고 있습니다. 그리고 보안상의 공격 가능성에 대비해 시스템을 모니터링하고 있는데 이를 위한 방식은 모두 자동화하고 있습니다. 또한 우리는 사용자의 데이터를 보호하고 동시에 뛰어난 사용자 경험을 유지하기 위해 암호나 기타 기술적인 대책을 사용하는 더 많은 방법들을 끊임없이 모색하고 있습니다.
프로세스: 구글에서는 기술적인 것 이외에 우리가 어떻게 비밀 정보를 보안처리하고 또 누가 그것에 접근할 수 있는지를 보여주는 일련의 과정이 있습니다. 우리는 어떤 종류의 비밀 정보든 이에 대한 접근을 신중히 관리합니다. 매우 민감한 데이터인 경우 이에 대해 접근하는 구글 직원은 거의 없습니다. 이는 결코 가볍게 볼 일이 아닙니다. 왜냐하면 우리가 그 같은 접근을 제공할 이유가 없기 때문이지요. – 대부분의 프로세스는 자동화되어 있고, 인간의 관여를 필요로 하지 않습니다. 물론 민감한 데이터의 출입 권한을 받은 제한된 수의 사람들은 특별 허가를 받아야 합니다. 그리고 이에 대해 구글은 스스로에게 매우 높은 기준을 적용합니다. 우리의 프로세스가 업계 표준에 맞게(많은 경우 표준 이상으로) 하도록 하고 있습니다. 이러한 프로세스는 사베인-옥슬리법, SAS 70, 신용카드 데이터 보안 표준인 PCI의 준법규정 등을 제대로 지키는가를 보기 위한 외부 감사를 포함합니다. 수백 만개의 각기 다른 회사에 요구되는 매우 엄격한 기준들이 지켜지는지를 평가하는 사외 감사원들과 함께 일함으로써, 우리는 보안 프로세스의 견제와 균형을 위한 또 다른 보안층을 스스로 강화하고 있습니다.
인재: 보안에 대한 우리의 자세 중 가장 중요한 부분이 인재입니다. 구글은 세계에서 가장 우수하고 명석한 보안 전문가를 고용하고 있습니다. 많은 구글 엔지니어들은 은행, 신용카드 회사, 대형 유통업체 부분에서 보안 기술 개발 경험이 있으며, 보안과 소프트웨어 공학에서 박사학위를 취득하고 특허를 보유하고 있습니다. 다른 구글러들(구글 직원의 애칭)과 똑같이 이들 엔지니어들은 명석하고 호기심이 많으며, 업계의 보안의 이상 문제나 베스트 프랙티스에 대해서는 항상 눈고 귀를 열어두고 있습니다. 우리 엔지니어들은 수 백 권의 학술지를 통해, 악성코드를 만드는 다운로드 드라이브(drive-by downloads that install malware) 혹은 적대적 버츄얼 환경(hostile virtualized environments)과 같은 세부적인 주제들을 발표하기도 했습니다. 이들 논문의 일부는 이곳에서 볼 수 있습니다. 더욱이 우리는 구글의 모든 엔지니어들이 서로 보안에 대해 공동으로 연구하는 문화를 만들고 있습니다. 이를 통해 누구든 암호 형태로 된 코드 리뷰 프로세스를 통과하도록 요구합니다. (이는 구글에서 쓰이는 코드 유형과 소프트웨어상의 문제를 막기 위한 것으로 이들 프로그램이 어떻게 사용되는지를 알고 통제할 수 있게 합니다). 그리고 구글의 모든 코드를 다수의 엔지니어가 검토할 수 있게 하고 있습니다. 이는 우리의 소프트웨어와 보안을 위한 기준을 충족시키고 있습니다.
저희도 구글 제품을 사용하고 있습니다. 이는 저희가 회사의 이메일과 문서를 보호하는데 사용하는 똑같은 보안 시스템을 통해 구글 사용자의 정보를 보호하고 있음을 말합니다. 저희는 제품 혁신과 함께 보안 기술에서의 혁신도 지속할 것입니다. 구글의 보안에 관한 접근방식에 대해 더 알고 싶으신 분들은 다음 링크를 방문하시기 바랍니다.http://www.google.com/corporate/security.html.
Google
취재 문의 이메일 주소: skr-google@ketchum.com 미디어 취재 문의가 아닌 경우 응답해 드리지 않습니다. 다른 문의사항이 있는 경우 Google 도움말 센터를 방문하시기 바랍니다.