Microsoft’s Machiavellian manoeuvring by Bruce Schneier
Trusted Computing Group (이하, TCG)은 Microsoft, Sony, AMD, Intel, IBM, Sun, HP와 같은 메이저 IT 업체들을 주축으로 하고 있는 컨소시엄이다. TCG의 기본 아이디어는 하드웨어와 소프트웨어가 어떻게 서로를 신뢰할 수 있는가 하는 문제를 해결하기 위한 것이다. 예를 들면, 하드웨어가 OS의 신뢰성을 보장하고, OS가 어플리케이션의 신뢰성을 보장해주는 식이다.
(예전에 저작권에 관한 이슈가 불거질 때, 태준형과 많은 얘기를 나누면서 TCG에 대해서 듣게 되었고, TCG에 대해서도 많은 얘기를 했었다. 다음 내용들은 그 얘기들에 기초하고 있다.)
예컨대, DVD의 불법적인 복제를 막고 싶다고 하자. 현재의 PC에서는 DVD의 내용이라고 할 수 있는 영상과 음성은 어떻게든 하드웨어와 소프트웨어를 거쳐 사용자에게 전달이 되어야하기 때문에 DVD에 담긴 데이터에 접근하는 모든 하드웨어와 소프트웨어를 막는 것만이 궁극적인 해결책이 될 수 있다. 여기에는 DVD 롬과 OS, DVD를 재생하는 소프트웨어, 그래픽 카드, 심지어 모니터도 포함될 것이다. 이러한 하드웨어와 소프트웨어의 요소 중 하나라도 복제를 방지하도록 설계되어있다는 보장이 없다면, 그 DVD에 담긴 데이터는 절대로 그러한 요소로 전달되어서는 안되는 것이다. 가장 간단한 방법은 PC와 같은 열린 플랫폼 보다는 DVD Player들, XBOX나 Playstation과 같은 닫힌 플랫폼을 선택하는 것이다. 하지만, 그러한 닫힌 플랫폼들은 그 특성상 PC 시장을 완전히 대체할 수는 없으며, 분명 아직도 전쟁중이다. TCG의 노력은 아마도 열린 플랫폼에서도 신뢰의 보장을 구현해보자는 것이다.
분명히 이것은 가치가 있다고 생각된다. 우리나라 은행 사이트들에만 들어가면 잡다하게 설치되는 ActiveX들은 짜증스럽다. 기본적으로 우리나라의 은행들은 절대로 사용자들과 사용자들의 PC를 믿을 수 없다는 것인데, 이것이 valid한 의견이든 아니든 간에, 은행들의 욕구를 충족시키면서 ActiveX를 없애고 싶다면, 은행 사이트들은 키로깅 소프트웨어나 백도어가 없거나 영향을 미칠 수 없다는 보장을 OS로부터 받을 수 있어야할 것이다. OS는 은행 사이트로의 모든 형태의 접근에 대한 다른 소프트웨어나 하드웨어의 접근을 통제할 수 있으니까 말이다. 물론, 그 OS를 믿을 수 있는가하는 문제는 또 다른 방법으로 (예를 들어, 하드웨어를 통한 인증) 해결할 수 있을 것이다. 제대로 된 TPM이 PC에서 구현이 된다면, 우리는 현재보다는 좀 더 편하게 인터넷 뱅킹을 할 수 있으리라고 생각한다.
하지만, 문제는 있다. TCG 또는 TCG의 회원사들은 항상 선한 의도만을 가지고 있는 것은 아니기 때문이다. TCG라는 조직 자체가 일종의 권력이며, TCG의 외부에 있는 하드웨어 또는 소프트웨어 회사들은 그 권력에 의한 피해를 입을 수 있는 여지가 있다. 뿐만 아니라, TCG가 컨텐츠 산업의 이익을 대변하며 디지털 컨텐츠를 절대로 복제할 수 없도록 하는 세상이 될 수도 있을 것이다. (간혹 영화에 나오듯이 더럽고 어두운 지하에서 펑크족 머리를 하고 주인공에게 불법적으로 복제를 해주는 세상말이다.)
Bruce Schneier는 TCG가 내놓은 문서인 Design, Implementation, and Usage Principles for TPM-Based Platforms을 소개하면서 이와 같은 우려를 표시한다.
That sounds good, but what does "security" mean in that context? Security of the user against malicious code? Security of big media against people copying music and videos? Security of software vendors against competition? The big problem with TCG technology is that it can be used to further all three of these "security" goals, and this document is where "security" should be better defined.
하지만, 이 문서는 TCG의 선한 의도를 표명하고 있고, Bruce Schneier도 이 문서에 쓰여진대로만 따른다면 그것은 좋은 가이드라인이라고 평가한다.
Complaints aside, it’s a good document and we should all hope that companies follow it. Compliance is totally voluntary, but it’s the kind of document that governments and large corporations can point to and demand that vendors follow.
Bruce Schneier가 한가지 더 우려하고 있는 것은 Microsoft의 행동이다. Microsoft는 TCG의 회원이지만, 이 문서의 기초를 더디게 만드려고 했다고 한다. 그 이유는 Windows Vista의 출시 이 후에 이 문서가 발표되도록 해서, Vista가 결국 이 문서의 영향을 받지 않도록 하기 위한 것이었다는 것이다. 물론 정확한 증거가 없는 의심이기는 하지만, Microsoft의 행보를 생각하면, 그냥 무시해버릴만한 생각은 아니다.