카스퍼스키가 글로벌 사이버보안 업계의 투명성과 책임성을 평가한 독립 백서에서 선도 기업으로 선정됐다. 카스퍼스키는 ‘사이버 보안 분야의 투명성 검토 및 책임(Transparency Review and Accountability in Cybersecurity)’ 백서를 통해 주요 보안 기업 14곳을 대상으로 진행된 평가에서 데이터 처리, 공급망 신뢰성, 고객 검증 역량 전반에 걸쳐 업계 기준을 상회한 것으로 나타났다.
이번 백서는 오스트리아 티롤 상공회의소(WKO)의 의뢰로 오스트리아 교육기관 MCI | The Entrepreneurial School®과 법률 전문가들이 글로벌 보안 제품 평가 기관인 AV-Comparatives와 협력해 수행했다. 연구진은 광범위한 투명성·책임성 기준을 토대로 글로벌 보안 벤더를 분석했으며 규제 준수는 업계 전반에 확산됐지만 실제로 검증 가능한 신뢰 관행은 여전히 제한적이라는 점을 지적했다.
평가 결과 카스퍼스키는 투명성 센터(Transparency Centers)를 운영하는 3개 기업 중 하나로 확인됐다. 카스퍼스키의 투명성 센터는 고객이 소스 코드, 데이터 처리 방식, 업데이트 프로세스를 독립적으로 검증할 수 있도록 지원하며 위협 탐지 규칙 검토와 빌드 검증 기능까지 포함한 업계 최고 수준의 검증 범위를 제공한다. 이를 통해 실제 배포된 빌드가 공개 릴리스와 일치하는지 확인할 수 있다. 카스퍼스키는 글로벌 투명성 이니셔티브의 일환으로 전 세계 10곳 이상의 투명성 센터를 운영하며 기업과 정부 고객을 대상으로 다양한 검증 옵션을 제공하고 있다.
또한 카스퍼스키는 소프트웨어 구성 목록(SBOM) 접근을 제공하는 3개 벤더 중 하나이자 법 집행 기관과 정부 기관의 요청 내역을 상세히 공개하는 정기 투명성 보고서를 발행하는 4개 기업 중 하나로 평가됐다. 이는 선언적 약속에 그치는 사례가 많은 업계 전반과 비교해 실질적인 책임성을 입증한 사례로 평가됐다.
카스퍼스키는 전체 60개 평가 기준 가운데 57개를 충족하거나 초과하며 평가 대상 벤더 중 가장 높은 점수를 기록했다. 취약점 보고, 보안 권고, 세이프 하버 선언, 보안 감사 결과 공개, 안전한 소프트웨어 개발 수명주기 프로세스 등 모든 주요 보안 태세 기준을 충족한 기업은 카스퍼스키를 포함해 단 3곳에 불과했다. 보고서는 이러한 기준을 ‘신뢰성과 장기적 회복력의 핵심 지표’로 규정했다.
기술 분석 결과도 포함됐다. 카스퍼스키 넥스트 EDR 옵티멈은 테스트 과정에서 최소한의 데이터 수집을 수행했으며 고객이 클라우드 기반 평판 서비스와 EDR 기능을 완전히 비활성화할 수 있는 통제 기능을 제공한 점에서 긍정적인 평가를 받았다. 또한 업데이트 관리 측면에서도 카스퍼스키를 포함한 일부 벤더만이 단계적 업데이트 배포와 바이러스 정의 검증 기능을 지원하는 것으로 나타났다.
유진 카스퍼스키 카스퍼스키 창립자 겸 CEO는 “사이버보안 솔루션은 고객 시스템 깊숙이 작동하는 만큼 투명성과 책임성은 측정 가능해야 한다”며 “독립적인 전문가 검증을 통해 고객이 신뢰할 수 있는 구체적인 증거를 제공하고, 산업 전반의 기준을 끌어올리는 것이 목표”라고 밝혔다.
아드리안 히아 카스퍼스키 아시아태평양 총괄 사장은 “디지털 전환과 지정학적 복잡성이 커지는 아시아태평양 지역에서는 검증 가능한 투명성과 책임성이 사이버보안의 핵심 요소로 자리 잡고 있다”며 “카스퍼스키는 기술과 프로세스, 데이터 처리 전반을 공개함으로써 지역과 글로벌 차원에서 신뢰 기준을 제시하고 있다”고 말했다.
보고서는 EDR 플랫폼이 원격 측정 데이터 처리와 자동 업데이트, 클라우드 서비스에 의존하는 구조인 만큼 투명성과 책임성이 기술적 요소를 넘어 거버넌스, 컴플라이언스, 공급망 리스크 관리와 직결된다고 분석했다. 이에 따라 CISO와 기업 의사결정자는 벤더 선정 시 투명성을 핵심 평가 기준으로 삼아야 한다고 강조했다.
카스퍼스키는 이번 백서에 CISO를 위한 실행 가능한 체크리스트를 포함해 제3자 리스크 관리와 공급망 복원력 강화를 지원했다. 이는 책임 중심의 사이버보안 거버넌스로 전환되는 산업 전반의 흐름을 반영한 조치로 평가된다.
헬로티 구서경 기자 |
