미국의 중요 감독 기관이 기업의 CISO 개인을 상대로 고소장을 제출했다. CISO와 회사 측은 싸우겠다고 하는데, 이미 전국의 CISO들이 크게 동요하는 중이다. 보안 업계의 중요한 법정 싸움이 시작될 예정이다.

[보안뉴스 문가용 기자] 미국 증권거래위원회(SEC)가 솔라윈즈(SolarWinds)라는 소프트웨어 개발사에 칼을 빼들었다. 심지어 그 구체적 대상은 솔라윈즈의 CISO인 팀 브라운(Tim Brown), 즉 한 개인이었다. SEC는 2020년에 발생한 그 유명한 공급망 공격과 관련하여 브라운이 사기를 저질렀으며, 내부 관리 실패에 대한 책임도 어느 정도 있다고 주장했다.


SEC의 이러한 움직임 때문에 미국 CISO들이 술렁거리는 중이다. 하지만 SEC가 문제 삼는 것은 2020년 말 발생한 솔라윈즈 공급망 공격에 관한 조사를 실시했을 때, 브라운을 비롯해 직원들이 내부적으로 공유한 내용과 외부 투자자들에게 알린 내용 사이에 차이가 있다는 것이다. 보안 사고에 대한 책임을 묻기 위한 게 아니다.

SEC가 확보한 정보에 의하면 오리온(Orion)이라는 플랫폼에서 취약점과 위협 행위자들의 공격이 처음 발견돼 시끌시끌할 때 솔라윈즈의 대응에는 거짓이 섞여 있었으며, 이를 내부 직원들도 잘 알고 있었다고 한다. 이는 내부에서만 전달되던 메모를 통해서도 확인이 된다고 SEC는 주장했다.

거짓말
SEC가 법원에 제출한 고소장에는 다음과 같은 내용이 포함되어 있다. “2020년 10월 보안 업체 B가 사이버 공격을 받았을 때, 브라운을 포함한 솔라윈즈 직원들은 미국 정부 기관 A에서 발생한 사건과 유사성이 있다는 것을 알아챘습니다. 하지만 B의 담당자가 솔라윈즈에 비슷한 일을 경험하거나 목격한 적이 있냐고 물었을 때, 솔라윈즈의 정보 보안 담당자 F는 고의적으로 ‘그런 적 없다’고 답했습니다. 그리고 F는 그러한 사실을 동료들에게 알리면서 ‘거짓말 했다’고 스스로 밝혔습니다.”

게다가 솔라윈즈의 보안에 문제가 있었던 것은 최소 2018년부터라고 SEC는 주장한다. “2018년 솔라윈드의 엔지니어 한 명이 자사의 원격 접근 설정에 문제가 있다는 내용의 보고서를 브라운에게 제출한 바 있습니다. 공격자가 이 문제를 발견할 경우 사실상 무슨 짓이든 할 수 있고, 솔라윈즈 쪽에서는 이를 알 수 없게 된다는 내용이었습니다. 하지만 브라운은 이를 무시했습니다.” 결국 CISO였던 브라운은 고의적으로 회사 시스템들을 불안전한 상태로 방치한 것이라는 게 SEC의 설명이다.

브라운, 솔라윈즈 주식 거래도 활발하게 해
브라운의 행동은 여기서 끝난 게 아니었다. 그는 솔라윈즈의 주식을 거래해 개인적인 수익을 거두기도 했다고 SEC는 주장했다. “솔라윈즈는 위와 같이 취약점을 감추고, 사건을 투자자들이나 고객사에 제대로 알리지 않았기 때문에 높은 주가를 유지할 수 있었습니다. 브라운은 그 상태에서 자신이 보유했던 주가를 팔았습니다. 정당하지 않은 가격, 즉 부풀려진 가격일 때 거래를 한 것입니다.”

브라운이 주식을 판매한 건 솔라윈즈 사태가 여러 매체의 헤드라인을 대대적으로 차지하기 직전의 시점이었다. 2020년 2월부터 8월 사이에 브라운은 9천 주를 판매해 17만 달러의 수익을 거두었다. 그 해 12월 사건이 온 세상에 알려지면서 솔라윈즈의 주가는 35% 하락했다. 이 하락세는 브라운에게 아무런 영향을 미치지 못했다.

솔라윈즈와 브라운, “싸우겠다”
이런 SEC의 주장을 솔라윈즈와 브라운은 수용하지 못하고 있다. “SEC의 주장에는 근거가 없으며, 오히려 러시아의 공격에 당한 미국 기업을 더 궁지로 몰아넣고 있습니다. 때문에 SEC의 이러한 행위는 오히려 국가 안보를 위협하는 결과를 초래할 것으로 우려됩니다. 저희는 이것이 SEC의 권한 남용의 전형적 사례라고 보고 있으며, 따라서 SEC의 감독과 규제 아래 있는 모든 기업들에 경고를 한다는 의미에서 법정 싸움을 이어가기로 했습니다. 진실이 올바로 밝혀지기를 소망합니다.”

술렁이는 CISO 커뮤니티
세부 내용이야 어찌됐든 대형 보안 사고가 일어난 회사의 CISO가 감독 기관에 직접적인 표적이 됐다는 사실 자체만으로 이미 CISO들 사이에서는 동요가 감지되고 있다. 암트랙(Amtrak)의 CISO인 제시 웨일리(Jesse Whaley)는 “법적 공방이 이제 막 시작된 상황에서 이 사건이 CISO라는 직책에 있는 사람들과 국가 안보에 미칠 장기적 영향을 논하기는 이르다”는 입장이다.

“하지만 어떤 방향으로 결정이 나든 아주 좋거나 아주 나쁘거나, 둘 중 하나가 될 거라고 봅니다. 앞으로 기업들의 보안이 강화되는 계기가 될 수도 있고, CISO들이 기피 직종이 되는 시발점이 될 수도 있겠지요. 다만 SEC가 브라운을 ‘고소’한 것이 맞는 건지는 잘 모르겠습니다. 왜냐하면 다른 C레벨 임원진들에게도 보안에 대한 책임은 분명히 있었을 텐데, 굳이 CISO 한 사람만 딱 짚어낸 것이 좀 찜찜합니다.”

위브(Weave)의 CISO인 제시카 시카(Jessica Sica)의 경우 “CISO라는 직책을 꺼려하는 사람들이 늘어날까봐 두렵다”는 의견이다. “재판이 진행되고 더 많은 사실들이 공개되어야 정확히 판단이 되겠지만, 지금으로서는 CISO가 된다는 게 얼마나 무서운 것인지가 강조되는 느낌입니다. 사실 이미 CISO는 보안 사고 발생 시 첫 번째로 해고되는 사람이라는 이미지가 강한데 말이죠. 우버 사건에서 CISO가 고소 당하고, 솔라윈즈 사건에서도 CISO가 고소를 당했다는 것 자체로 CISO가 가진 막중한 책임이 부담스럽게 각인되고 있습니다.”

그러면서 시카는 “브라운이 CISO로서 역할을 완벽히 수행할 수 있을 만한 권한과 자원을 보유하고 있었는지도 SEC가 같이 조사하기를 희망한다”고 덧붙인다. “침해 사고에 대해 CISO가 책임을 져야 한다면, 그 만큼 권한도 많이 가져가야 한다고 생각합니다. 하지만 현실은 그렇지 않죠. 아직 CISO는 조직 내에서 그렇게까지 높은 위치에 있는 사람이 아니며, 따라서 권한의 한계 때문에 보안 강화를 제대로 하지 못할 때가 많습니다.”

그렇다고 브라운의 모든 행위가 정당하다는 건 아니라고 시카는 강조한다. “CISO라면 상황이나 이유가 어쨌든 항상 진실만을 말해야 한다고 생각합니다. 실제로 SEC가 주장하는 대로 브라운이 거짓된 행동을 했다면 그에 대한 책임을 져야 할 겁니다.”

3줄 요약
1. 2020년 발생한 솔라윈즈 사건, SEC이 이번 주 솔라윈즈 CISO를 고소.
2. 단순히 사고가 났기 때문에 고소한 것은 아닌 것으로 보임.
3. 그러나 이미 트라우마를 가진 CISO들은 술렁술렁.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>