직업의 성격상 보안 전문가는 회의적이거나 지나치게 의심을 많이 하는 경향이 있긴 하지만, 좋은 사람이라면 자신이 결정내리기 전에 증거의 무게를 재는 것이 좋다. 그래서 모스크바 소재 보안업체인 카스퍼스키랩이 러시아 정부와 함께 부적절한 관계를 맺고 있다는 소문이 떠돌고 있지만 이에 대한 증거가 없어 너무나 혼란스러운 상황이다.
수개월 전 발표된 보고서에서 카스퍼스키랩 경영진과 러시아 정부 간의 관계에 대해 우려하는 미국 정부의 다양한 수치가 공개됐다. 지난 봄, 미국 정보 기관인 NSA와 중앙 정보국(CIA)을 비롯한 5개 미국 정보 기관과 미연방 수사국(FBI) 책임자들은 미 상원 정보 위원회에 참석해 카스퍼스키 랩 소프트웨어를 미국 상원에서 사용하는 것을 권장하지 않는다고 전했다.
미 정부, 증거 제시 없이 카스퍼스키 제품 사용 금지
올해 여름, 카스퍼스키랩은 미 연방 관료용 공급 승인 업체 목록에서 제외됐다. 미 상원은 국방방어법(National Defense Authorization Act) 초안에서 국방부가 카스퍼스키랩 제품을 사용하는 것을 금지하고 있으며, 이 조항은 법안의 최종안에도 포함될 것으로 예상된다.
현재 백악관 사이버보안 조정관 롭 오이스는 "카스퍼스키랩 소프트웨어를 사용하지 않는다"고 말했으며 "소비자들은 이 안티 바이러스 제품 사용을 피해야 한다"고 말했다.
부정적인 표제로 장벽을 치는 것은 카스퍼스키랩에 있어 나쁜 소식에 불과하지만 이 보고서는 전세계 기업이 시스템을 보호하기 위해 카스퍼스키 랩 제품에 의존해야 하는지 여부를 결정할 때 치명적이다. 문제는 카스퍼스키랩이 합당한 증거도 없이 왜 의심을 받아야 하고, 이것이 기업들의 구매 결정에 영향을 미친다는 것이 핵심이다.
다시 말하면, 미 정부는 카스퍼스키 랩 제품에 백도어가 숨겨져 있을지 모른다는 점을 우려했다. 러시아 정보기관이 전세계 사용자에 대한 중요한 정보를 수집하는데 카스퍼스키랩의 안티 바이러스 소프트웨어를 사용하거나 혹은 이 업체의 경영진이 러시아 정부에 취약점을 제공할 지 모른다는 것이다.
미국 정부가 무엇을 알고 있으며, 이를 공유하지 않는 이유는 무엇인가? 미 정부가 자체적으로 발견한 사항을 공개하지 않기 때문에 이유조차 모른다. 지난 주 미국 국토안보부(Department of Homeland Security, DHS)와 FBI는 북한 정부의 사이버 행위자들이 전세계에 분산 서비스 거부(DDoS) 공격을 하는데 사용한 악성코드에 대한 IP 주소와 설명을 발표했다.
올해 초, DHS는 정보 기관들이 러시아의 악의적인 사이버 활동을 지적한 자료를 발표했다. 이 코드의 이름은 그리즐리 스텝(Grizzly Steppe)이다. 그러나 카스퍼스키랩에 대한 미국 정부의 지속적인 주장은 교활한 행위로 보인다.
미 국방 정보국(DIA) 국장 빈센트 스튜어트는 지난 봄 상원 정보위원회 청문회에서 "DIA가 카스퍼스키와 그들의 소프트웨어를 추적하고 있다"고 밝혔다. NSA 국장 마이클 로저스는 개인적인 의견임을 내세워 "NSA 당국에서 카스퍼스키 랩의 코드를 조사해왔다. 그래서 이들 당국이 발견한 것은 무엇인가? 내가 아는 한 아무것도 없었다"고 말했다.
카스퍼스키랩 설립자이자 CEO 유진 카스퍼스키는 자신의 회사가 러시아 정부와 부적절한 관계라는 주장에 대해 거듭 부인했다. 카스퍼스키는 올 여름 자신의 블로그를 통해 "개인 회사인 카스퍼스키랩과 나는 어떤 정부와도 아무런 관계가 없으며 전세계 어떤 정부의 사이버 첩보 활동을 돕고 있지 않다. 오히려 카스퍼스키 랩은 사이버 첩보 행위와 싸우고 있는 중이다"고 토로했다.
카스퍼스키는 또한 미국 정부가 감사할 수 있도록 소스코드를 제출할 것을 자청했지만 미국 정부가 그 제안을 받아들였는 지는 알려지지 않았다.
많은 기업과 소비자가 카스퍼스키 랩 제품을 사용하고 있기 때문에 미국 정부는 의심스러운 이유 또는 확실한 이유가 있다면 이를 공유해야 한다. 미국 정부가 그렇게 하지 않았다는 사실은 이 주장이 모두 지정학적 정치 주장일 가능성이 높다. 모든 러시아인들을 불신하고 러시아 정부에 대해 불신을 퍼붓는 것이다.
불신의 태도는 좋은 정치적 전략일 수 있지만, 보안 전문가들에게는 끔찍한 일이다. 특히 보안 기술을 구매하는 것은 제품 또는 서비스의 기술적인 장점을 평가하고 관련 비즈니스 요구 사항을 고려해 이런 요구 사항을 충족시키는 기술을 배포하는 것이다. 소문이나 비난의 여지가 없으며 그렇게 되어야 한다. 전세계 독립적인 테스트 기관에서는 카스퍼스키 랩의 제품에 높은 점수를 지속적으로 부여하고 있다. 사용자를 보호하는데 최고의 기술을 원하지 않을 이유는 무엇인가?
증거, 들어맞지 않다
지난 수년간 러시아와 카스퍼스키에 대한 소문이 퍼지고 있었음에도 불구하고 아무도 스포킹 건(smoking gun)이 될만한 증거를 갖고 있지 못하다는 사실이다. 블룸버그 비즈니스 위크는 최근 카스퍼스키랩이 러시아정보기관인 FSB와 이전에 인정한 것보다 긴밀한 관계를 맺고 있음을 증명하는 이메일을 유출했다고 주장했다. 그러나 모든 이메일은 서비스 제공업체가 분산형 서비스(DDoS) 공격을 사용하기 위한 도구로 설계했으며, 법 집행 당국은 공격자를 식별하는 데 도움이 될 것이라고 밝혔다.
이 이메일을 올바른 것이라고 가정한다면 문제를 바로보기 어렵다. DDoS 방지 기술을 개발하는 것은 사용자를 보호하기 위해 보안 업체가 하는 일이다. 보안업체는 심지어 미국에 있는 회사일지라도 정기적으로 법 집행 당국과 협력해 사이버 범죄자들을 추적한다. 그것과는 별개로 법 집행 당국과 보안 연구원들은 지난 수년 동안 전세계에서 가장 큰 봇넷을 해체하기 위해 많은 부분들을 협력해왔다.
유진 카스퍼스키는 블룸버그 기사에 대한 응답으로 "카스퍼스키랩과 경영진은 러시아 정부와의 부적절한 관계를 맺고 있다는 가설과 거짓 이론이 사실에 부합하는 지와는 상관없이 퍼지고 있다. 자사는 정기적으로 사이버 범죄와 싸우기 위해 전세계 정부와 법 집행 당국과 협력한다"고 전했다.
카스퍼스키는 레딧(Reddit) AMA(Ask-Me-Anything)에서 "미국 상원의 청문회에 참석해 증언을 하고 어떤 질문에도 답할 용의가 있다. 나는 이번 일이 정치적인 이유라고 생각한다. 우리가 어떤 잘못을 저지른 이유나 증거없이 시장에서 최고의 엔드포인트 보안을 사용할 기회를 박탈당했다"고 말했다.
유진 카스퍼스키가 과거 냉전 시대의 KGB에서 특히 전자신호 정보 부문에서 훈련받았다는 사실이 또다른 증거라고 제기된다. 하지만 이는 카스퍼스키의 의무 복무기간이었기 때문에 정부와의 관련성을 규정짓기에는 약하다. 그 세대 러시아 남성들은 군대에 의무적으로 복무해야 했다. 이스라엘이 의무적인 군 복무를 실시하고 있지만 아무도 현재 이스라엘 벤처 기업들을 모사드(Mossad)와 연결시키지 않는다.
카스퍼스키랩의 많은 직원은 전직 공무원이었다. 이는 전세계 경쟁력을 갖춘 보안업체, 심지어 미국에 있는 보안업체들도 첩보, 법 집행당국, 군대 경력을 가진 직원을 채용하고 있기 때문에 큰 문제는 아니다.
파이어아이 CEO인 케빈 맨디아는 미국 공군의 컴퓨터 보안 책임자였다. 키이스 알렉산더 장군은 사설 컨설팅 업체를 설립하기 전에 NSA 책임자이며, 미국 사이버 지휘부(US Cyber Command) 지휘관이었다. 크라우드스트라이크 서비스 및 CSO 사장 숀 헨리는 미국 FBI의 사이버부 부책임자였다.
특히 다른 국가들이 전 정부 관리를 고용한 미국 업체와의 계약을 금지하기로 결정한다면 특히 부당행위에 대한 증거가 없는 경우, 미국 정부는 정당하게 분노할 것이다.
카스퍼스키랩이 미국 업체였다면
백악관 사이버보안 조정관 조이스는 "정부가 내린 결정을 살펴보고 스스로 결정을 내려야 한다고 생각한다"고 말했다. 정보 기관은 정치적 함의를 고려해야 하기 때문에 그들이 내린 결정은 다른 이들이 해야 하는 것과는 항상 다를 것이다.
시장에서 의사 결정을 내리는 데에 정치적인 것을 배제하고서라도 FUD(Fear, Uncertainty and Doubt)면 충분하다. 조직은 자사의 요구를 가장 잘 충족시키는 기술 배포에 중점을 둬야 한다. 카스퍼스키는 우수한 정보 기술과 최고의 정보보안 팀을 갖추고 있다. 이 팀은 미국 정보기관이나 러시아 기관이 무엇을 하든지 상관없이 최신 악성코드와 사이버 첩보 행위에 대한 발견 사항들을 적극적으로 공유하고 있다. 미국에서 만들어졌다는 이유만으로 등급이 낮은 제품으로 전환하는 것은 기업 보안에 하등 도움이 되지 않는다.
미국과 러시아 정부간의 적대 행위로 인해 카스퍼스키랩에 대한 가혹한 처벌은 미국 보안업체가 다른 국가에서 유사한 보복 행위를 당하게 할 수 있는 큰 실수다. 스노우든을 계기로 많은 유럽 기업이 미국 클라우드 서비스를 사용하기를 꺼려했다. 그러나 미국 정부가 카스퍼스키랩을 적대시하는 상황이 지속된다면 잠재적으로 다른 국가들 또한 미국 기업에게 적대시할 수 있는 선례를 남기게 된다.
이제 미국 정부에 다음과 질문을 던진다. RSA 시큐리티(RSA Security)가 NSA와 비밀 계약을 맺고 결함이 있는 알고리듬을 암호화 제품에 통합한다고 주장한 보고서가 발표된 이후, RSA 시큐리티 제품 사용을 금지한 국가가 있었는가?
전세계 보안 전문가와 CISO는 미국 정부–NSA, FBI, 국방부, 미국사이버지휘부 등–가 왜 그토록 카스퍼스키를 싫어하는지 알고 싶어한다. 기업 보안은 매우 중요하다. 어린아이로 돌아가 조금 다른 아이에 대해 험담을 하는 것처럼 보안 기술에 대해 의사결정을 하는 것은 바람직하지 못하다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.