미군과 질병 관리 센터에서 사용되는 앱들에 푸시우시라는 푸시 알림용 코드가 포함되어 있는 경우가 많다. 그런데 이 푸시우시 코드의 개발사가 러시아 회사라는 고발이 나왔다. 푸시우시는 아니라고 주장하지만 아직 근거가 없는 상황이다.

[보안뉴스 문가용 기자] 이번 주 외신 로이터 통신에서 충격적인 보도가 나왔다. 푸시 알림 전문 업체 푸시우시(Pushwoosh)가 미국 기업인 것처럼 스스로를 소개하고 있지만 실제로는 러시아 기업이라는 내용이다. 푸시우시가 개발한 푸시 알림 코드는 미국 질병 관리 센터와 미군이 개발한 앱 여러 개에서 사용되고 있다.


로이터가 추적한 바에 의하면 푸시우시는 러시아 정부에 등록된 사업체이며, 러시아 정부에 세금을 낸다고 한다. 이러한 사실은 이전까지 미국의 그 어떤 기관에도 공식적으로 알려진 바가 없다. 하지만 이 기사가 나오자마자 푸시우시 측은 자사가 러시아 회사라는 사실을 부인하는 입장문을 발표했다. “푸시우시는 러시아 정부에 등록된 적도 없고, 한 번도 러시아 개인이나 단체에 의해 소유된 적도 없습니다.” 하지만 푸시우시는 근거를 제시하지는 않았다.

출신 성분 따지기?
기업들 중 태생지를 분명하게 밝히지 않거나 속이는 곳들이 종종 존재한다. 첩보 분석 전문 회사인 쓰레트쿼션트(ThreatQuotient)의 시장 분석 전문가 니겔 휴튼(Nigel Houghton)은 “여러 가지 이유로 그런 결정을 내리는 기업들이 있다”고 설명한다. “미국이나 여러 서방 세계의 제재를 피하기 위해서일 수도 있고요. 미국 기업이라고 하면 세계 시장에서 신뢰도가 높아지죠. 러시아 정부와 관련이 있는 기업이라고 하면 신뢰도가 반대로 급락하죠.”

푸시우시의 경우 태생지를 왜 속였느냐는 그리 큰 문제가 아니다. 만약 정말로 러시아 기업인 게 사실이라면 중대한 국가적 안보 상황과도 연결이 될 수 있기 때문이다. “물론 서드파티 코드와 앱을 사용하는 것 자체에 리스크가 존재하는 게 사실입니다만, 푸시우시가 실제로 러시아 기업이라는 걸 적극적으로 숨겨온 것이라면 그 리스크의 크기 자체가 엄청나게 달라집니다.” 푸시우시 코드는 질병 관리 센터와 미군 외에도 수많은 기업에서 사용되는 것으로 알려져 있다.

사이버 보안 리스크 관리 전문 기업 인버전6(Inversion6)의 CTO 크리스토퍼 프루잇(Christopher Prewitt)은 “기업들보다 정부 기관에 더 치명적으로 문제가 될 수 있는 이야기”라고 말한다. “정부 기관들은 정보 통제와 자산 보호에 더 큰 가치를 두고 있고, 기업들은 가치 창출과 출시 속도에 더 집중하죠. 즉, 푸시우시가 가진 리스크에 대해 알려졌을 때 기업은 빠르게 대처할 수 있지만, 기업은 그러기 힘들다는 겁니다.”

하지만 사안이 사안인지라 질병 관리 센터와 미군 측은 푸시우시 코드의 사용을 즉각 중지했다. 두 기관 모두 “보안 문제” 때문에 푸시우시를 배제하기 시작했다고 발표했다. 사이버 보안 업체 넷라이즈(NetRise)의 CEO 토마스 페이스(Thomas Pace)는 “만약 푸시우시 코드를 통해 누군가 질병 관리 센터의 앱을 조작하고, 그래서 지금과 같은 때엪 잘못된 보건 정보를 전파한다면 사회적인 혼란이 극심해질 것”이라고 설명하며 “보안 문제라는 설명이 충분히 납득이 간다”고 말한다.

데이터 보안 문제?
푸시우시 코드가 가진 위험성이란 건 정확히 뭘 말하는 걸까? 첫 손에 꼽히는 건 데이터 보안이다. 로이터에 의하면 아직까지 푸시우시 코드로 누군가 데이터를 조작하거나 빼돌린 정황이 발견되지는 않고 있다고 한다. 하지만 푸시우시가 적극적으로 태생지를 숨긴 게 확실하다면 데이터 조작이나 유출에 대한 의심이 더욱 짙어질 수밖에 없다.

“예를 들어 푸시우시가 모바일 애플리케이션에 사용된다고 합시다. 그런데 그 모바일 애플리케이션이 모바일 장비에 대한 접근 권한을 어느 정도 가지고 있다고 하면 어떨까요? 푸시우시도 그러한 권한을 자동으로 갖게 될 가능성이 높습니다. 그렇다면 권한을 사용하여 장비 바깥으로 데이터를 전송하는 것도 가능하게 된다는 뜻입니다. 모바일 장비의 위치 정보를 누군가에게 계속해서 전송할 수도 있고, 장비 사용자가 누구와 어떤 연락을 주고 받았는지도 알릴 수 있습니다. 통화 내용, 문자 내용도 당연히 유출될 수 있고요. 그런데 그 장비 주인이 군 요원이다? 국가적인 비상 사태죠.” 휴튼의 설명이다.

푸시우시도 이런 염려를 인식해서인지 성명문을 통해 “그 어떤 고객 정보도 미국과 독일로부터 다른 나라로 유출된 적이 없다”고 주장했다. 하지만 프루윗은 “푸시우시를 사용하고 있는 조직이나 기업이라면 코드 분석을 해볼 필요가 있다”는 의견이다. “푸시우시가 불필요한 행동 패턴을 보인 적이 있는지, 어떤 데이터에 수상하게 접근하고 있는 건 아닌지 꼼꼼하게 확인하는 게 좋습니다. 너무 정치적인 현안에 휩쓸리는 것도 좋지 않지만, 너무 무신경한 것도 안전과는 거리가 멉니다.”

푸시우시 사태, 이것만이 아니다
페이스는 푸시우시 사태가, 푸시우시에만 국한된 유례없는 상황인 것은 아니라고 강조한다. “현대 소프트웨어들은 여러 하위 소프트웨어와 애플리케이션, 스크립트들로 구성되어 있죠. 마치 건물들이 수많은 벽돌들로 건축되는 것과 비슷합니다. 그런데 그 벽돌 하나하나의 출처와 작업자 이름을 다 조사하지 못하잖아요? 소프트웨어 요소들도 그런 상황이죠. 가져다 쓰는 데는 익숙한데, 출처를 조사하는 데는 그렇지 않습니다.”

그렇기 때문에 서드파티 코드를 가져다 쓴다는 것 자체가 이미 어느 정도 리스크를 내포할 수밖에 없는 행위라는 게 그의 설명이다. “이번 사태를 통해서 코드 개발사의 태생지까지 확인하는 게 얼마나 중요한지가 다시 한 번 업계 종사자들에게 각인되기를 바랍니다. 요즘처럼 투명성이 강조되는 때에 태생지를 애써 숨기는 회사가 만든 코드를 굳이 사용할 이유가 없습니다. 대체할 코드가 얼마든지 있거든요.”

3줄 요약
1. 미국 정부 기관에서 사용하던 앱 개발용 서드파티 소프트웨어의 출처가 러시아로 밝혀짐.
2. 해당 소프트웨어 개발사는 이를 부인하는 중이지만 증거는 대지 못함.
3. 정부 기관들은 이 소프트웨어의 사용을 즉각 중단함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>