글로벌 칼럼 | 미국 정부는 카스퍼스키랩과 러시아 정부와의 관계에 대해 증거를 제시하라

CSO
카스퍼스키랩이 미국 첩보 당국의 십자포화를 맞고 있다. 그러나 정작 첩보 당국에서 내놓는 주장은 연기만 풀풀 날 뿐 화재로 이어지진 않는다.

직업의 성격상 보안 전문가는 회의적이거나 지나치게 의심을 많이 하는 경향이 있긴 하지만, 좋은 사람이라면 자신이 결정내리기 전에 증거의 무게를 재는 것이 좋다. 그래서 모스크바 소재 보안업체인 카스퍼스키랩이 러시아 정부와 함께 부적절한 관계를 맺고 있다는 소문이 떠돌고 있지만 이에 대한 증거가 없어 너무나 혼란스러운 상황이다.

수개월 전 발표된 보고서에서 카스퍼스키랩 경영진과 러시아 정부 간의 관계에 대해 우려하는 미국 정부의 다양한 수치가 공개됐다. 지난 봄, 미국 정보 기관인 NSA와 중앙 정보국(CIA)을 비롯한 5개 미국 정보 기관과 미연방 수사국(FBI) 책임자들은 미 상원 정보 위원회에 참석해 카스퍼스키 랩 소프트웨어를 미국 상원에서 사용하는 것을 권장하지 않는다고 전했다.

미 정부, 증거 제시 없이 카스퍼스키 제품 사용 금지
올해 여름, 카스퍼스키랩은 미 연방 관료용 공급 승인 업체 목록에서 제외됐다. 미 상원은 국방방어법(National Defense Authorization Act) 초안에서 국방부가 카스퍼스키랩 제품을 사용하는 것을 금지하고 있으며, 이 조항은 법안의 최종안에도 포함될 것으로 예상된다.

현재 백악관 사이버보안 조정관 롭 오이스는 "카스퍼스키랩 소프트웨어를 사용하지 않는다"고 말했으며 "소비자들은 이 안티 바이러스 제품 사용을 피해야 한다"고 말했다.

부정적인 표제로 장벽을 치는 것은 카스퍼스키랩에 있어 나쁜 소식에 불과하지만 이 보고서는 전세계 기업이 시스템을 보호하기 위해 카스퍼스키 랩 제품에 의존해야 하는지 여부를 결정할 때 치명적이다. 문제는 카스퍼스키랩이 합당한 증거도 없이 왜 의심을 받아야 하고, 이것이 기업들의 구매 결정에 영향을 미친다는 것이 핵심이다.

다시 말하면, 미 정부는 카스퍼스키 랩 제품에 백도어가 숨겨져 있을지 모른다는 점을 우려했다. 러시아 정보기관이 전세계 사용자에 대한 중요한 정보를 수집하는데 카스퍼스키랩의 안티 바이러스 소프트웨어를 사용하거나 혹은 이 업체의 경영진이 러시아 정부에 취약점을 제공할 지 모른다는 것이다.

미국 정부가 무엇을 알고 있으며, 이를 공유하지 않는 이유는 무엇인가? 미 정부가 자체적으로 발견한 사항을 공개하지 않기 때문에 이유조차 모른다. 지난 주 미국 국토안보부(Department of Homeland Security, DHS)와 FBI는 북한 정부의 사이버 행위자들이 전세계에 분산 서비스 거부(DDoS) 공격을 하는데 사용한 악성코드에 대한 IP 주소와 설명을 발표했다.

올해 초, DHS는 정보 기관들이 러시아의 악의적인 사이버 활동을 지적한 자료를 발표했다. 이 코드의 이름은 그리즐리 스텝(Grizzly Steppe)이다. 그러나 카스퍼스키랩에 대한 미국 정부의 지속적인 주장은 교활한 행위로 보인다.

미 국방 정보국(DIA) 국장 빈센트 스튜어트는 지난 봄 상원 정보위원회 청문회에서 "DIA가 카스퍼스키와 그들의 소프트웨어를 추적하고 있다"고 밝혔다. NSA 국장 마이클 로저스는 개인적인 의견임을 내세워 "NSA 당국에서 카스퍼스키 랩의 코드를 조사해왔다. 그래서 이들 당국이 발견한 것은 무엇인가? 내가 아는 한 아무것도 없었다"고 말했다.

카스퍼스키랩 설립자이자 CEO 유진 카스퍼스키는 자신의 회사가 러시아 정부와 부적절한 관계라는 주장에 대해 거듭 부인했다. 카스퍼스키는 올 여름 자신의 블로그를 통해 "개인 회사인 카스퍼스키랩과 나는 어떤 정부와도 아무런 관계가 없으며 전세계 어떤 정부의 사이버 첩보 활동을 돕고 있지 않다. 오히려 카스퍼스키 랩은 사이버 첩보 행위와 싸우고 있는 중이다"고 토로했다.

카스퍼스키는 또한 미국 정부가 감사할 수 있도록 소스코드를 제출할 것을 자청했지만 미국 정부가 그 제안을 받아들였는 지는 알려지지 않았다.

많은 기업과 소비자가 카스퍼스키 랩 제품을 사용하고 있기 때문에 미국 정부는 의심스러운 이유 또는 확실한 이유가 있다면 이를 공유해야 한다. 미국 정부가 그렇게 하지 않았다는 사실은 이 주장이 모두 지정학적 정치 주장일 가능성이 높다. 모든 러시아인들을 불신하고 러시아 정부에 대해 불신을 퍼붓는 것이다.

불신의 태도는 좋은 정치적 전략일 수 있지만, 보안 전문가들에게는 끔찍한 일이다. 특히 보안 기술을 구매하는 것은 제품 또는 서비스의 기술적인 장점을 평가하고 관련 비즈니스 요구 사항을 고려해 이런 요구 사항을 충족시키는 기술을 배포하는 것이다. 소문이나 비난의 여지가 없으며 그렇게 되어야 한다. 전세계 독립적인 테스트 기관에서는 카스퍼스키 랩의 제품에 높은 점수를 지속적으로 부여하고 있다. 사용자를 보호하는데 최고의 기술을 원하지 않을 이유는 무엇인가?

증거, 들어맞지 않다
지난 수년간 러시아와 카스퍼스키에 대한 소문이 퍼지고 있었음에도 불구하고 아무도 스포킹 건(smoking gun)이 될만한 증거를 갖고 있지 못하다는 사실이다. 블룸버그 비즈니스 위크는 최근 카스퍼스키랩이 러시아정보기관인 FSB와 이전에 인정한 것보다 긴밀한 관계를 맺고 있음을 증명하는 이메일을 유출했다고 주장했다. 그러나 모든 이메일은 서비스 제공업체가 분산형 서비스(DDoS) 공격을 사용하기 위한 도구로 설계했으며, 법 집행 당국은 공격자를 식별하는 데 도움이 될 것이라고 밝혔다.

이 이메일을 올바른 것이라고 가정한다면 문제를 바로보기 어렵다. DDoS 방지 기술을 개발하는 것은 사용자를 보호하기 위해 보안 업체가 하는 일이다. 보안업체는 심지어 미국에 있는 회사일지라도 정기적으로 법 집행 당국과 협력해 사이버 범죄자들을 추적한다. 그것과는 별개로 법 집행 당국과 보안 연구원들은 지난 수년 동안 전세계에서 가장 큰 봇넷을 해체하기 위해 많은 부분들을 협력해왔다.

유진 카스퍼스키는 블룸버그 기사에 대한 응답으로 "카스퍼스키랩과 경영진은 러시아 정부와의 부적절한 관계를 맺고 있다는 가설과 거짓 이론이 사실에 부합하는 지와는 상관없이 퍼지고 있다. 자사는 정기적으로 사이버 범죄와 싸우기 위해 전세계 정부와 법 집행 당국과 협력한다"고 전했다.

카스퍼스키는 레딧(Reddit) AMA(Ask-Me-Anything)에서 "미국 상원의 청문회에 참석해 증언을 하고 어떤 질문에도 답할 용의가 있다. 나는 이번 일이 정치적인 이유라고 생각한다. 우리가 어떤 잘못을 저지른 이유나 증거없이 시장에서 최고의 엔드포인트 보안을 사용할 기회를 박탈당했다"고 말했다.

유진 카스퍼스키가 과거 냉전 시대의 KGB에서 특히 전자신호 정보 부문에서 훈련받았다는 사실이 또다른 증거라고 제기된다. 하지만 이는 카스퍼스키의 의무 복무기간이었기 때문에 정부와의 관련성을 규정짓기에는 약하다. 그 세대 러시아 남성들은 군대에 의무적으로 복무해야 했다. 이스라엘이 의무적인 군 복무를 실시하고 있지만 아무도 현재 이스라엘 벤처 기업들을 모사드(Mossad)와 연결시키지 않는다.

카스퍼스키랩의 많은 직원은 전직 공무원이었다. 이는 전세계 경쟁력을 갖춘 보안업체, 심지어 미국에 있는 보안업체들도 첩보, 법 집행당국, 군대 경력을 가진 직원을 채용하고 있기 때문에 큰 문제는 아니다.

파이어아이 CEO인 케빈 맨디아는 미국 공군의 컴퓨터 보안 책임자였다. 키이스 알렉산더 장군은 사설 컨설팅 업체를 설립하기 전에 NSA 책임자이며, 미국 사이버 지휘부(US Cyber Command) 지휘관이었다. 크라우드스트라이크 서비스 및 CSO 사장 숀 헨리는 미국 FBI의 사이버부 부책임자였다.

특히 다른 국가들이 전 정부 관리를 고용한 미국 업체와의 계약을 금지하기로 결정한다면 특히 부당행위에 대한 증거가 없는 경우, 미국 정부는 정당하게 분노할 것이다.

카스퍼스키랩이 미국 업체였다면
백악관 사이버보안 조정관 조이스는 "정부가 내린 결정을 살펴보고 스스로 결정을 내려야 한다고 생각한다"고 말했다. 정보 기관은 정치적 함의를 고려해야 하기 때문에 그들이 내린 결정은 다른 이들이 해야 하는 것과는 항상 다를 것이다.

시장에서 의사 결정을 내리는 데에 정치적인 것을 배제하고서라도 FUD(Fear, Uncertainty and Doubt)면 충분하다. 조직은 자사의 요구를 가장 잘 충족시키는 기술 배포에 중점을 둬야 한다. 카스퍼스키는 우수한 정보 기술과 최고의 정보보안 팀을 갖추고 있다. 이 팀은 미국 정보기관이나 러시아 기관이 무엇을 하든지 상관없이 최신 악성코드와 사이버 첩보 행위에 대한 발견 사항들을 적극적으로 공유하고 있다. 미국에서 만들어졌다는 이유만으로 등급이 낮은 제품으로 전환하는 것은 기업 보안에 하등 도움이 되지 않는다.

미국과 러시아 정부간의 적대 행위로 인해 카스퍼스키랩에 대한 가혹한 처벌은 미국 보안업체가 다른 국가에서 유사한 보복 행위를 당하게 할 수 있는 큰 실수다. 스노우든을 계기로 많은 유럽 기업이 미국 클라우드 서비스를 사용하기를 꺼려했다. 그러나 미국 정부가 카스퍼스키랩을 적대시하는 상황이 지속된다면 잠재적으로 다른 국가들 또한 미국 기업에게 적대시할 수 있는 선례를 남기게 된다.

이제 미국 정부에 다음과 질문을 던진다. RSA 시큐리티(RSA Security)가 NSA와 비밀 계약을 맺고 결함이 있는 알고리듬을 암호화 제품에 통합한다고 주장한 보고서가 발표된 이후, RSA 시큐리티 제품 사용을 금지한 국가가 있었는가?

전세계 보안 전문가와 CISO는 미국 정부–NSA, FBI, 국방부, 미국사이버지휘부 등–가 왜 그토록 카스퍼스키를 싫어하는지 알고 싶어한다. 기업 보안은 매우 중요하다. 어린아이로 돌아가 조금 다른 아이에 대해 험담을 하는 것처럼 보안 기술에 대해 의사결정을 하는 것은 바람직하지 못하다. editor@itworld.co.kr