카스퍼스키랩, 소스코드를 공개해도 '스파이 활동' 의문을 해소하지 못한다

CSO
카스퍼스키랩(Kaspersky Lab)은 독자적인 확인과 검증이 가능하도록 소스코드를 공개하는 '투명성' 이니셔티브를 발표했다. 월스트리트저널과 뉴욕타임즈가 러시아 해커들이 카스퍼스키 제품을 이용해, NSA 계약업체 컴퓨터에서 민감한 자료를 훔쳤다고 보도한 직후 나온 발표다. 카스퍼스키는 러시아 정부와 어떤 형태로도 협력하고 있지 않으며, 앞으로도 계속 그럴 계획이라면서 보도 내용을 부인했다.

카스퍼스키랩은 보도 자료에서 업데이트와 탐지 규칙을 포함한 소프트웨어 소스코드를 자유롭게 독립적으로 확인할 수 있도록 공개하는 투명성 이니셔티브를 추진한다고 설명했다. 이 이니셔티브는 이해 당사자가 코드의 신뢰도, 카스퍼스키 내부 프로세스와 비즈니스 운영 측면의 신뢰성을 검증하고 확인할 수 있도록 만드는 데 목적이 있다.

그러나 NSA의 부대표를 지낸 릭 레제트는 이런 이니셔티브가 좋은 출발점이 될 수는 있지만, 진짜 문제를 해결하지는 못한다고 지적했다. 바이러스 백신 소프트웨어는 고객 컴퓨터의 모든 파일에 액세스할 수 있도록 설계되어 있다. 이번 경우 NSA 계약업체가 고객이었다. 카스퍼스키 소프트웨어는 파일을 스캔하고, 서명이 일치할 경우 파일을 수집해 추가 분석할 수 있도록 만들어져 있다.

레제트는 "카스퍼스키는 고객 컴퓨터에 대한 적법한 관리자 액세스 권한을 사용, 악성코드가 아닌 파일을 식별해 수집한다는 혐의를 받고 있다. 유진 카스퍼스키는 "전문가들이 바이러스 백신 코드를 분석할 수 있도록 소스코드를 공개하겠다는 제안을 했지만, 이는 이런 혐의와 관련이 없다. 코드가 앞서 언급한 작업을 하도록 개발되어 있기 때문이다. 또 돈을 내고 이를 이용하는 고객의 기대 사항과도 어긋난다. 코드가 아니라, 코드 사용 방법이 문제다"고 말했다. 전문가들은 "코드가 원래 하도록 되어 있는 작업을 하고 있다는 점을 발견하게 될 것이며, 유진 카스퍼스키 또한 이런 사실을 알고 있다"고 말했다.

이러 이유로 최초 제기된 질문이 다시 제기된다. 카스퍼스키랩이 의도적으로 액세스 권한을 공유했는가? 아니면 카스퍼스키 또한 피해자인가? 최초의 기사부터 그리고 지금까지의 업데이트를 살펴보자.

2017년 10월 10일 업데이트
뉴욕타임즈는 10월 10일 2015년 카스퍼스키랩 데이터 침해 사고와 이스라엘 첩보 활동을 연결시키는 기사를 보도했다. 이 기사에 따르면, 이스라엘은 첩보 활동 동안 카스퍼스키 네트워크에서 NSA 도구들을 발견하고, 이를 NSA에 통보했다. NSA는 즉시 조사를 시작했고, 그 결과 카스퍼스키의 숨겨진 검은 비밀이 드러났다.

카스퍼스키랩은 성명을 통해 일체의 관여 사실을 부인하고, 뉴욕타임즈 기사에 설명된 정보 수집 활동을 모른다고 주장했다. 카스퍼스키랩은 미리 준비한 성명을 통해 "카스퍼스키랩은 문제의 상황에 전혀 관여하지 않았으며, 이에 대해 알지도 못한다. 제품의 '무결성'은 사업의 근간이며, 카스퍼스키랩은 찾거나 보고된 모든 취약점을 패칭하고 있다"고 설명했다.

또한 카스퍼스키랩은 미국 정부 당국과 협력해 제품과 시스템에 제기된 우려를 다룰 의지가 있으며, 조기에 조사를 시작할 수 있도록 관련있는 정보, 검증 가능한 정보를 정중히 요청한다고 언급했다. 또한 카스퍼스키랩은 어떤 국가 정부의 사이버 첩보 활동도 지원한 적이 없으며, 앞으로도 그러지 않을 것이라고 강조했다.

이후 업데이트
이 소식이 보도된 후, 본지는 유진 카스퍼스키의 블로그 포스트를 보도했다. 카스퍼스키랩은 월스트리트저널 보도와 관련, "우리는 다른 사이버보안업체들처럼, 고객을 보호하는 동안 컴퓨터 상태를 확인한다. X-선과 비슷하다. 보안 솔루션은 거의 모든 것을 볼 수 있다. 문제를 파악하기 위해서다. 그러나 이를 특정 사용자에 연결시킬 수 없다. 내가 강조하고 싶은 부분은 '우리 기술이 의심스러운 모든 것을 탐지할 수 있고, 여기에서 악성코드를 식별할 수 있어야, 모든 장소의 모든 고객을 위협으로부터 보호할 수 있다는 것'이다"고 강조했다.

카스퍼스키는 카스퍼스키 제품이 해킹 당했다는 주장과 관련해, "보도된 내용대로 해킹 당한 것이 사실이라고 가정하자. 러시아 해커들이 사용자 PC에 설치된 우리 제품의 취약점을 공격했다고 가정하자. 국가 안보를 책임진 정부 기관들이 이와 같은 사실을 알고 있다면, 우리에게 알려주지 못할 이유가 무엇인가? 우리는 수시간 이내에 대부분의 버그를 패칭한다. 우리에게 취약점을 알려줘야 세상이 더 안전해진다. 이를 알려주지 않는 윤리적인 근거가 무엇인지 모르겠다"고 언급했다.

최초 기사
월스트리저널은 러시아 정부를 위해 일하는 해커들이 NSA 계약업체의 컴퓨터에서 민감한 문서를 훔쳤다고 보도했다. 보도에 따르면, 카스퍼스키 바이러스 백신 소프트웨어가 파일을 발견한 후, 계약업체가 표적이 되었다. 이는 미국 정부가 소유 시스템에서 카스퍼스키 제품을 금지시키려는 이유를 설명해준다.

월스트리트저널은 "이 문제를 잘 아는 관계자에 따르면, 해당 정보 탈취 사건은 최근 수년 간 가장 중대한 보안 침해 사고 가운데 하나와 관련이 있다. 정보기관 관계자들은 러시아 정보기관이 미국을 대상으로 한 스파이 활동을 위해 널리 보급된 상용 소프트웨어의 취약점을 악용하고 있다고 생각한다. 사고는 2015년에 발생했다. 그러나 지난 해 봄에야 이와 같은 사실이 발견됐다"고 보도했다.

이 보도가 사실로 입증된다면, NSA는 자신의 해킹 도구로 초래된 3번째 데이터 침해 사고의 피해자가 된 것이다.

이 데이터 침해 사고와 카스퍼스키의 관련성과 관련, 월스트리트저널은 미국의 수사 기관들은 이름이 공개되지 않은 계약업체가 카스퍼스키 안티 바이러스(KAV)를 사용하는 과정에 러시아 해커들에게 파일의 존재가 드러난 것으로 판단하고 있다고 보도했다.

또한 "전문가들에 따르면, 소프트웨어가 악성코드를 찾는 과정에 계약업체가 NSA에서 삭제한 데이터 샘플을 발견했을 수 있다. 그러나 바이러스 백신 시스템이 어떤 식으로 이를 식별했는지 불확실하다. 카스퍼스키 기술진이 NSA 정보를 가리키는 특정 파라미터를 찾도록 소프트웨어를 프로그래밍 했는지도 알 수 없다. 또한 카스퍼스키 직원들이 러시아 정부에 이를 알렸는지 역시 알 수 없다"고 보도했다.

답을 찾을 수 없는 또 다른 중요한 의문 가운데 하나는 KAV가 이런 파일을 찾도록 만드는 것이 무엇인지 하는 것이다. 파일이 이퀘이션 그룹(Equation Group)과 관련이 있다면 놀라울 것이 없다. 카스퍼스키 소프트웨어는 알려진 파일을 스캔, 추가 분석을 위해 여기에 표시를 하기 때문이다. 미국을 포함, 모든 바이러스 백신 업체가 이렇게 한다.

2015년, 카스퍼스키는 자신의 네트워크를 대상으로 한 국가 수준의 공격(Duqu 2.0)에 대한 정보를 공개했다. 당시 공격자들은 APT와 국가 수준의 공격과 관련된 부분에 초점을 맞췄다. 여기에는 이퀘이션 그룹과 레진(Regin)도 포함되어 있다. 시간대를 감안했을 때, 두쿠(Duqu) 2.0은 계약업체 시스템을 침해하는 일종의 보복 공격이었다. 그러나 이는 추측에 불과하다.

기타 중요한 질문
러시아 해커들은 어떤 방법으로 KAV에서 정보를 가져올까? 이 또한 확실한 답을 알 수 없는 100만 달러짜리 의문이다.

러시아 정보기관이 KAV 설치 기반을 악용하기 위해 카스퍼스키 네트워크를 침해했다는 주장이 있다. 이는 아주 설득력 없는 주장은 아니다. 카스퍼스키를 포함, 그 누구도 국가 수준의 공격을 계속해 저지할 수 없기 때문이다. 결국은 목적을 달성하게 될 것이다. 그러나 이런 상황이 실제 발생했다는 증거는 없다.

카스퍼스키가 러시아 정부에 액세스 권한을 넘겨줬을까? 가능성도 낮지만, 이를 증명하는 증거 역시 없다. 또한 카스퍼스키랩은 정보 기관과의 협력을 부인하고 있다. FBI는 민간 부분을 대상으로 한 브리핑에서 카스퍼스키 제품을 버릴 것을 촉구했다. 그러나 이와 관련된 세부 정보는 공개하지 않았다. "키스퍼스키는 나쁘다. 나머지는 좋다"고 말했을 뿐이다.

미국 정부가 카스퍼스키 제품을 조사하게 된 계기는 분명하지 않다. 하지만 월스트리트저널의 기사는 조금 더 도움이 되는 정보를 제공하고 있다. NSA 계약업체를 침해하는 도구로 소프트웨어를 사용한 것으로 판단된다.

이 기사는 해커와 관련해서도 중요한 의문을 제기한다. '이들이 러시아 정부와 협력하고 있고, 러시아 정부를 위해 일한다는 증거가 있는가?'라는 질문이다. 카스퍼스키 소프트웨어를 사용하고 있다는 것이 유일한 연결고리이다. 그러나 아주 약한 연결고리이다.

카스퍼스키랩은 소프트웨어 업체다. 취약점에서 자유롭지 않다는 의미다. 2015년, 카스퍼스키는 타비스 오르먼디(Tavis Ormandy)와 협력을 해야 했다. 카스퍼스키 바이러스 백신 사용자의 시스템을 붕괴시킬 수도 있는 여러 소프트웨어 취약점을 없애야 했기 때문이다.

외부 공격자가 이런 취약점이 패칭되기 전, 소프트웨어와 계약업체의 파일을 침해했을 가능성도 있다. 그러나 이 또한 추측에 불과하다.

가장 큰 '사건'은 NSA 해킹 도구의 3번째 데이터 침해 사고라는 점이다. 계약업체 직원이 민감한 정보를 집에 가져가면서 시작이 된 사고다. 카스퍼스키랩을 생각하지 말자. 이런 데이터를 집 같은 위험한 장소로 가져가는 것은 절대 좋은 생각이 아니다.

기업의 관리자들은 바이러스 백신을 선택할 때 이런 부분을 고려해야 할까? 러시아기 위협 모델에 포함되어 있다면, 카스퍼스키랩은 최상의 선택이 아닐 것이다.
동시에 카스퍼스키랩이 평판이 높은 이유가 있다. 카스퍼스키는 자사가 해야 할 일을 잘한다.

그러나 개별적으로 위험을 가중 평가해야 한다. 특정 기업이나 기관에 효과가 있지만 다른 기업이나 기관에 효과가 없을 수 있다. 보도에 따르면, 누군가 카스퍼스키 제품을 해킹, 분석용으로 분류된 파일에 액세스할 수 있었던 것으로 판단된다. 이를 사실로 가정할 경우, NSA의 3번째 데이터 침해 사고는 파일을 집에 가져간 계약업체 직원, 보안 업체를 해킹한 범죄 집단에 책임이 있다.

러시아 정보 기관에 책임이 있다면, 카스퍼스키랩은 '정치적 볼모'에 불과할 수도 있다. 월스트리트저널은 NSA가 자신의 도구와 계약업체를 통제하는 것이 얼마나 힘든지 보여주고 있다. 러시아와 미국의 좋지 않은 관계가 카스퍼스키랩을 '표적'으로 만들었다. 또 현재 보도되고 있는 기사들은 카스퍼스키랩에 전혀 도움이 되지 않고 있다. editor@itworld.co.kr