오라클의 최고보안책임자(CSO) 메리 앤 데이비슨이 예기치 않게 회사를 떠난다. 이번 퇴임으로 그의 약 40년에 걸친 고위 임원 경력이 마무리됐다.
1988년 미 해군에서 이직해 오라클에 합류한 데이비슨은 회사 내에서 오랜 기간 남아 있던 드문 고위 인사 중 한 명이었다. 내부 소식통에 의해 블룸버그에 알려진 이번 퇴임은 단순한 인사 이동을 넘어선 의미를 가진 사건으로 받아들여지고 있다.
물론 이번 시점이 단순한 우연일 수도 있다. 블룸버그에 따르면 오라클은 올해 3월 클라우드 부문과 일부 관리직에서 비공개 감원을 시작했으며, 전 세계 16만 명 규모의 인력 가운데 수백 명이 줄어든 것으로 추정된다. 회사가 구체적인 내용을 밝히지 않은 가운데, 이달에도 비슷한 규모의 추가 감원이 있었다. 업계에서는 이를 오픈AI 워크로드를 운영하게 될 초대형 ‘스타게이트 프로젝트(Stargate Project)’ 계약을 포함해, 오라클이 대규모 AI 투자에 자금을 집중하기 위한 조치로 보고 있다.
데이비슨의 퇴임 소식은 아직 공식 발표되지 않았지만, 시점상 오라클에 중요한 순간에 이뤄졌다. 올해 초 오라클은 잠재적으로 심각한 데이터 유출 사건을 축소했다는 이유로 거센 비판을 받은 바 있기 때문이다.
패치 논란
오라클 보안 분야에 오래 몸담아온 인물답게, 데이비슨의 임기는 크고 작은 논란으로 얼룩져 있었다.
첫 번째 사건은 2004년 발생했다. 당시 영국 데이터베이스 취약점 전문가 데이비드 리치필드가 오라클이 늘어나는 보안 결함을 제때 패치하지 않는다며 강하게 비판했고, 이에 대해 오라클과 데이비슨은 맞대응에 나섰다. 그러나 공개 설전은 결국 조용히 마무리됐다.
더 최근에는 2015년, ‘No, you really can’t’라는 제목의 블로그 글이 논란을 불렀다. 데이비슨은 글에서 고객들이 “보안 취약점을 찾겠다며 우리의 코드를 역공학한다. ‘큰 한숨’”이라고 비판했다. 이어 그는 “그래서 고객에게 보내는 많은 편지가 ‘안녕하세요, 알로하’로 시작하지만 ‘라이선스 계약을 준수하고 역공학을 멈추라’로 끝나게 된다”고 적었다. 해당 글은 이후 Seclists.org에 재게시되며 더 큰 파장을 일으켰다.
비판 여론이 거세지자 오라클은 곧바로 글을 삭제했고, “고객과의 관계를 반영하지 않는 글이어서 내렸다”고 밝혔다.
업계 평가는
공정하게 말하자면, 보안 패치를 핵심 보안 기능으로 삼고 취약점 연구자를 적이 아닌 우군으로 인정해야 한다는 개념을 받아들이는 데 더딘 기업은 오라클만이 아니었다. 그러나 이런 인식 전환이 늦어진 탓에 오라클은 최근까지도 때때로 시행착오를 겪었다.
가장 최근 사례는 올해 초 발생한 오라클 서버 침해 의혹이었다. 한 공격자가 이미 알려진 취약점(CVE-2021-3558)을 악용했다는 주장에 대해, 오라클은 처음에는 고객에게 이메일을 보내 “침해는 없었다”고 부인했다. 그러나 이후에는 “중요한 고객 데이터를 저장하지 않는 구형 서버 2대에서 사고가 있었다”고 뒤늦게 인정했다. 이 같은 태도는 고객이 알아차리지 못하고 언론도 더 이상 질문하지 않기를 기대하며 최소한의 정보만 공개하려는 것처럼 비쳤다.
이 전략이 데이비슨의 직접적인 지시에 따른 것은 아니지만, 과거에 주요 보안 문제를 축소해 왔던 그의 행보를 감안하면 더 적극적으로 개입했어야 한다는 지적도 나온다.
미국 보안 컨설팅사 프리즘 원(Prism One)의 티모시 J. 말리는 “이번 오라클 침해 사건은 미국 증권거래위원회(SEC) 공시 규정에 해당한다”라며 “만약 축소되거나 제대로 보고되지 않았다면 심각한 문제가 될 수 있다”고 말했다. 다만 그는 데이비슨의 퇴임을 이번 사건과 직접 연결하는 것은 과도한 해석이라고 덧붙였다.
말리는 “보안 리더십에서 이렇게 오랜 임기를 지켜온 경우는 거의 없다. 솔직히 말해, 단지 지금이 물러날 적기라고 판단했을 가능성도 충분하다”고 평가했다.
더 가능성이 큰 해석은 오라클이 AI에 익숙한 젊은 경영진으로 세대교체를 추진하고 있다는 점이다. 말리는 “AI는 우리 모두가 전략과 전술적 해법을 다시 생각하게 만든다”며 “불확실한 미래에 대비하려 최선을 다하고 있다. 오랫동안 이 업계에 몸담아 온 사람들에게는 빠르게 적응하지 않으면 뒤처질 수밖에 없는 상황”이라고 설명했다.
애널리스트 기업 더 퓨처럼 그룹(The Futurum Group)의 부사장이자 수석 애널리스트인 브래드 시민 역시 AI의 등장이 오라클에 단순히 새로운 시장 진출 이상의 의미를 갖는다고 분석했다. 그는 “AI는 기업과 공격자가 보안을 바라보는 관점을 근본적으로 바꿔 놓았다”며 “위험 수준을 높이고 공격 표면을 전례 없이 확장시켰으며, 이는 기존 경험과 지식의 한계를 넘어서는 변화”라고 말했다.
dl-ciokorea@foundryco.com
Read More from This Article: 오라클 보안 책임자 돌연 퇴임···AI 전환 가속화 속 세대교체 신호?
Source: News