글로벌 트렌드 / 보안

미 정부, 카스퍼스키 제품 및 서비스 미국 내 판매 금지

Shweta Sharma | CSO 2024.06.24
미국 바이든 행정부는 러시아 모스크바에 본사를 둔 사이버보안 업체 카스퍼스키랩(Kaspersky Labs)이 러시아의 국가 사이버 공격과 밀접한 연관이 있다는 의혹에 대해 조사한 결과, 미국에서 카스퍼스키랩의 제품 및 서비스 신규 판매를 금지하기로 했다고 밝혔다.
 
ⓒ Getty Images Bank

미국 상무부 산업보안국(BIS)이 최근 발표한 성명에 따르면, 카스퍼스키랩은 더 이상 미국 내에서 소프트웨어를 판매하거나 이미 사용 중인 소프트웨어에 업데이트를 제공하는 등의 활동을 할 수 없다. 

BIS는 “신중한 조사 결과, 러시아 정부의 공격적인 사이버 역량과 러시아 정부가 카스퍼스키랩의 운영에 영향을 미치거나 지시할 수 있는 능력으로 인해 카스퍼스키랩이 미국에서 계속 영업하는 것은 국가 안보에 위험을 초래하며, 전면 금지하는 완화 조치가 아닌 이상 해결할 수 없다고 결정했다”라고 말했다. 

카스퍼스키랩의 미국 자회사에 적용되는 금지 조치는 계열사, 자회사 및 모화사에도 적용되며, 카스퍼스키랩이 전체 또는 일부를 개발, 제조, 공급하는 소프트웨어와의 통합된 거래가 모두 포함된다. 

BIS는 행정 명령 13873 및 15 C.F.R. 파트 7에 따라 카스퍼스키의 사이버보안 및 안티바이러스 거래를 검토했다. BIS 산하 정보 통신 기술 및 서비스 사무국(OICTS)은 이런 거래가 미국에 위험하다고 판단해 거래를 금지했다. 검토 시 고려된 위험 요소에는 러시아가 제기하는 위협, 카스퍼스키랩의 정보통신기술(ICTS) 제품이 미국 국가 안보 및 안전에 미치는 취약성, 러시아가 제시된 취약성을 악용할 경우의 결과 등이다. 

카스퍼스키랩과 같은 상용 보안 제품이 오히려 위험이 될 가능성에 대한 우려를 제기한다. 개리슨 테크놀로지(Garrison Technology)의 현장 CTO 아담 마루야마는 “미국에서 카스퍼스키랩 제품을 금지하려는 정부의 움직임은 네트워크와 시스템을 보호하는 데 사용돼야 할 권한이 보안 메커니즘을 파괴하고 맬웨어를 배포하고 데이터를 훔치는 데 사용될 수 있는 위험성을 강조한다”라고 말했다. 

카스퍼스키랩은 성명을 통해 이런 결정이 미국에서 사이버 위협 인텔리전스 제품 및/또는 교육을 판매하고 홍보하는 회사의 능력에는 영향을 미치지 않는다고 말했다. 회사 측은 “카스퍼스키는 신뢰할 수 있는 제3자가 카스퍼스키 제품의 보안을 독립적으로 검증할 수 있는 시스템을 제안했지만, 상무부가 카스퍼스키 제품 및 서비스의 무결성에 대한 종합적인 평가보다는 현재의 지정학적 환경과 이론적 우려에 근거하여 결정을 내렸다고 생각한다”라고 말했다.

카스퍼스키랩은 현재의 운영 및 관계를 유지하기 위해 법적으로 가능한 모든 옵션을 추구할 계획이다.


글로벌 법인도 미국 정부 블랙리스트에…

이번 금지 조치와 함께 BIS는 러시아 정부의 사이버 인텔리전스 목표를 달성하기 위해 러시아 군사 및 정보기관과 협력한 혐의로 AO 카스퍼스키랩과 OOO 카스퍼스키 그룹(러시아), 카스퍼스키랩 리미티드(영국) 등 외국 법인 3곳을 ‘엔티티 리스트(Entity List)’에 추가했다. 엔티티 리스트는 미국 정부가 국가 안보에 문제가 있다고 판단되는 외국 개인, 기업 및 단체를 정리해 특정 기술 및 상품에 대한 수출 제한 및 라이선스 요건을 적용하는 명단이다. 

BIS는 “카스퍼스키 소프트웨어를 사용하는 개인과 기업은 잠재적인 사이버보안 툴 부족으로 인해 개인 또는 기타 민감 데이터가 악의적인 행위자에게 노출되는 것을 제한하기 위해 새로운 공급업체로 신속하게 전환할 것을 강력히 권장한다”라며 “기존 카스퍼스키 제품 및 서비스를 계속 사용하는 개인과 기업은 최종 결정에 따른 법적 처벌은 받지 않지만, 카스퍼스키 제품과 서비스를 계속 사용하는 개인/기업은 사이버보안 및 관련 위험을 감수해야 한다”라고 덧붙였다. 


미국과 카스퍼스키랩의 오랜 싸움

미국과 카스퍼스키랩은 수년 동안 서로 표적 스파이 작전을 수행했다고 비난하며 대립해 왔기 때문에 이번 금지 조치는 그리 놀라운 일이 아니다. 

2023년 6월 러시아 연방보안국 FSB는 러시아에서 손상된 아이폰을 스파이 활동에 사용한 것으로 알려진 미국의 “오퍼레이션 트라이앵귤레이션(Operation Triangulation)”에 대해 시민에게 경고한 바 있다. 카스퍼스키랩은 조사 결과, 수십 명의 고위 직원과 고위 경영진이 작전의 일부로 표적이 되었다는 사실을 발견했다. 하지만 카스퍼스키랩은 이 공격이 특정 국가를 겨냥한 것이라고는 밝히지 않았다. 

플래시포인트(Flashpoint) 이사 앤드류 보린은 “카스퍼스키는 미국, 캐나다 및 기타 정부와 문제가 있었던 전력이 있으며, 특히 주/지방/시 단위의 민간 중요 인프라 범주에서 해당 인프라가 본질적으로 정부 소유이든 민간 소유 및 운영이든 관게없이 많은 경우 미국 보안을 위해 사용을 금지하는 것이 현명한 선택일 것”이라고 말했다. 

이번 금지 조치는 카스퍼스키랩의 글로벌 운영에 큰 타격이 될 것으로 보인다. 현재 카스퍼스키랩은 전 세계 31개국에 지사를 두고 있으며, 200여 개국에서 4억 명 이상의 사용자와 27만 개 이상의 기업 고객을 대상으로 서비스를 제공하고 있다. 
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.