• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

지난해 제소된 솔라윈즈, 증권거래위원회의 전문성과 자격을 되묻다 2024.01.30

솔라윈즈가 증권거래위원회에 의해 제소됐는데, 솔라윈즈는 그때나 지금이나 억울하다는 입장이다. 이번에는 모든 혐의에 대한 반박을 상세히 기술하여 법원에 제출했다. 그러면서 오히려 위원회의 자질을 물었다.

[보안뉴스 문가용 기자] IT 업체 솔라윈즈(SolarWinds)가 법원에 새로운 문건을 제출했다. 증권거래위원회가 2020년 ‘솔라윈즈 사태’라고 하는 해킹 사고와 관련해서 솔라윈즈와 당시 CISO를 고소한 것이 권한 남용이라는 주장이 담겨 있었다. 증권거래위원회는 솔라윈즈가 보안 강화 조치를 제대로 취하지 않았다고 주장하는데, 이런 주장을 할 만큼 증권거래위원회가 전문성을 가지고 있는지도 의문이라고도 지적했다.

[이미지 = gettyimagesbank]


실제로 지난 2023년 10월 증권거래위원회는 솔라윈즈라는 기업은 물론 CISO인 팀 브라운(Tim Brown)을 같이 제소했다. 대규모 공급망 공격으로, 미국 정부 기관들에도 적잖은 영향을 미친 솔라윈즈 해킹 사건과 관련하여 피고가 사기를 저질렀으며, 내부 상황을 통제하는 데 실패했다는 게 주요 혐의 내용이었다. 무엇을 근거로 한 주장이었을까?

증권거래위원회에 의하면 솔라윈즈는 사건이 발생하기 전에 이미 자사 시스템과 소프트웨어 등을 보호하기에 충분한 보안 제어 장치를 가지고 있지 않았음을 알고 있었다고 한다. 그럼에도 제대로 대처하지 않았다는 게 위원회의 주장이다. 여기에 더해 브라운 등 솔라윈즈의 내부 인력들이 시스템 내에서 수상한 활동들이 탐지되고 있다는 것을 알고 있으면서도 일부러 고객들에게 알리지 않았고, 이를 통해 솔라윈즈의 주가를 방어했다고 주장하기도 했다. 실제로 브라운은 사건 전에 솔라윈즈 주식을 대량으로 매각했는데, 이를 통해 17만 달러를 번 것으로 알려져 있다. 이 역시 위원회가 문제 삼고 있다.

솔라윈즈, 따박따박 반박하다
솔라윈즈는 이 모든 혐의를 부인하는 입장이다. 그러면서 모든 혐의를 반박해 증권거래위원회가 틀렸음을 밝힐 거라고 말했다. 이번에 법원에 문건을 제출한 것도 바로 이것 때문이다. 위원회의 주장을 매우 상세하게 반박한 것이다.

“솔라윈즈는 사이버 공격이 실제로 발생하기 전과 후에 정확하고 적절하게 상황을 공개했습니다. 그렇기 때문에 위원회의 제소 자체가 성립되지 않습니다.” 솔라윈즈의 변호사가 블룸버그를 통해 밝힌 내용이다. “오히려 증권거래위원회는 사건의 본질을 호도함으로써 솔라윈즈라는 기업의 내부 보안 상태를 만천하에 공개하려고 하고 있습니다. 그렇게 됐을 때 얻을 것이 무엇인지도 의문이고, 보안 상황이 공개됨으로써 위험해지는 걸 어떻게 책임질 것인지도 의문입니다.”

솔라윈즈는 “증권거래위원회가 정확히 어떤 보안 제어 장치들이 잘못되어 있거나 규정을 벗어나는 건지 정확하게 판별할 수 없었다”고도 짚었다. “위원회가 말하는 내부 회계 통제라는 건 상장한 기업들의 사이버 보안 제어 장치를 통제하기 위해서 마련된, 지나치게 광범위한 규정 해석과 이론”이라고도 비판했다. 그러면서 “증권거래위원회가 기업의 보안 문제에까지 관여하는 게 맞는 것인지, 그것이 해당 기관에 주어진 권한에 포함되어 있는 것인지 묻고 싶다”고 썼다. 그러면서 “그럴 전문성이 있는지 역시 확인해야 한다”고 썼다.

솔라윈즈는 “브라운 CISO와 회사가 투명하고 적절하게 사건에 대응했다는 사실에는 변함이 없다”는 주장을 강력하게 이어가고 있다. “위원회의 주장 때문에 회사의 이미지는 물론 브라운 개인의 명성 역시 실추되었습니다. 이미 저희를 배신자 혹은 사기 집단으로 보는 곳들이 많습니다. 솔라윈즈는 해킹 공격에 당한 피해 기업임을 다시 한 번 강조합니다.”

3년이나 지난 일이지만 현재 유행하고 있을 뿐만 아니라 갈수록 정교해지고 있는 공급망 공격을 상징하는 사건이라 ‘솔라윈즈 사태’는 보안 분야에서 중요한 위치를 차지한다. 그리고 공급망 공격에 당한 피해 기업이 어떤 식으로 대처해야 하며, 어떤 위치에 서게 되는지를 보여줄 수 있는 판결이 될지 몰라 보안 업계는 이 사건과 관련된 법적 공방을 관심 있게 지켜보는 중이다.

3줄 요약
1. 지난 10월 증권거래위원회로부터 사기와 방만 혐의로 기소된 솔라윈즈.
2. 솔라윈즈는 억울하다며 반박문을 법원에 제출.
3. 그러면서 증권거래위원회가 뭔데 보안 문제로 기소하는가, 전문성은 있는가 문제 제기.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>