미국 시장 포기하지 않겠다는 의지로 분석...효과에 대해선 의견 분분
보안 소프트웨어는 기능성 외에 신뢰성과 무결성 역시 시장에 입증해야

[보안뉴스 문가용 기자] 카스퍼스키 제품을 통해 러시아의 사이버 스파이들이 미국 NSA의 기밀들을 훔쳐갔다는 보도가 나오면서 카스퍼스키의 입지가 좁아지고 있다. 이에 카스퍼스키는 독립적인 제3자에게 소스코드와 내부적인 사업 운영 프로세스를 전부 공개하겠다고 발표했다. 카스퍼스키의 CEO인 유진 카스퍼스키(Eugene Kaspersky)가 이전부터 결백을 증명하기 위해 소스코드를 공개할 의향이 있다고 밝혀왔는데, 이것이 허세가 아님이 드러났다.

카스퍼스키는 현재 ‘러시아와의 공조 관계’ 의혹을 절대적으로 부인하고 있는 입장이다. 최근 확인된 NSA 해킹 사건(러시아 스파이가 카스퍼스키 제품을 통해 NSA 직원의 집 컴퓨터에 침투해 기밀을 훔쳐간 사건)에 대해 전혀 알지 못했다고 한 결같이 주장하고 있으나 미국 측은 “의도적으로 도운 것이 아니더라도 문제”라는 반응이다. 베스트바이(Best Buy)라는 쇼핑몰에서도 카스퍼스키 제품을 판매 중지했다.

카스퍼스키가 소스코드와 내부 사정까지 공개하겠다고 밝힌 것은 정치적인 외압에도 미국 시장을 포기할 수 없다는 의지로 해석된다. 카스퍼스키는 자신의 소스코드와 내부 사정을 공개할 ‘독립적인 제3자’를 특별히 지목하지는 않았다. 다만 “소프트웨어와 보장성 평가에 경험과 전문성을 갖춘 곳을 찾고 있다”고 밝혔다. “기술 감사, 코드 평가, 취약점 평가, 구조적인 위험 분석, 개발 프로세스 보안 평가를 받을 생각을 하고 있습니다. 한 단체가 아니라 여러 단체로부터 검사를 받을 의향이 있으며 관심이 있으시다면 transparency@kaspersky.com으로 연락 주시기 바랍니다.”

카스퍼스키는 이 프로젝트를 세계 투명성 이니셔티브(Global Transparency Initiative)라고 명명했다. 이 프로그램의 첫 단계에서는 먼저 소스코드를 검사받을 예정으로 2018년 1사분기까지 완료할 계획이다. 그 후로는 업데이트 및 위협 탐지 규칙들에 대한 검사를 받는 스케줄이다. 동시에 1사분기 내에 자사의 보안 개발 프로세스와 소프트웨어, 공급망에 대한 분석 역시 따로 진행할 예정이다.

그것뿐만이 아니다. 외부 협력 업체나 전문가와 손을 잡고 카스퍼스키 자체의 데이터 처리 과정에 대한 추가 통제 장치를 개발할 것이라고 하며, 투명성 센터(Transparency Center) 세 곳 중 하나를 처음으로 건축 완료할 계획이다. 투명성 센터는 카스퍼스키가 선정한 ‘신뢰할만한 파트너’들이 코드, 소프트웨어 업데이트, 위협 탐지 규칙을 평가할 수 있도록 마련할 공간이다. 아시아, 유럽, 미국에 한 곳씩 2020년까지 완성할 것이라고 한다. 버그바운티 상금 역시 최대 10만 달러로까지 올린다.

보안 업체이며 소스코드 분석을 전문으로 하는 베라코드(Veracode)의 CTO인 크리스 와이소팔(Chris Wysopal)은 이번 카스퍼스키의 결단에 대해 “좋은 소식”이라고 말한다. 그러면서 “막다른 골목에 몰린 카스퍼스키뿐만 아니라 모든 보안 소프트웨어 업체들이 해야 할 일”이라고까지 의견을 개진했다. “보안 소프트웨어는 다른 소프트웨어와는 다릅니다. 왜냐하면 시스템 내에서 높은 권한을 가져간다는 특성이 있어 소비자의 큰 신뢰를 얻어내야 하기 때문입니다. 이런 투명한 조치들이 소비자와 보안 업계 간 신뢰 문제를 회복시켜 줄 것으로 보입니다.”

또한 와이소팔은 “카스퍼스키가 업데이트까지도 검사 대상에 포함시켰다는 것에 주목해야 한다”고 강조했다. “소프트웨어를 검사받겠다고 한다면 마땅히 업데이트도 검사받아야죠. 주기적인 업데이트를 내놓는 것이 소프트웨어 업체들의 관행으로 굳어져 가는 때이기 때문에 업데이트 검사를 자청한 것이 더 깊은 의미를 갖습니다. 또한 소프트웨어가 어떻게 공급되는지, 어떤 식으로 관리할 것인지에 대한 검사를 통째로 받겠다는 의미가 되기 때문에 소비자의 신뢰를 얻어내는 데에도 큰 도움이 됩니다.”

결국 신뢰를 잃어가는 카스퍼스키가 핵심을 정확히 찔렀다는 게 와이소팔의 의견이다. 이번 카스퍼스키 평가 업체로서 등록하겠냐는 질문에 와이소팔은 아직은 정확히 말할 수 없다고 답했다. 베라코드는 비밀 계약을 맺고 클라이언트와 작업하는 것으로 유명하다.

반면 또 다른 보안 업체인 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 존 밤베넥(John Bambenek)은 카스퍼스키의 투명성 프로그램에 대해 “큰 도움이 될는지 잘 모르겠다”는 의견이다. “대담한 결정이긴 합니다. 북미 시장에서 그냥 물러나지 않겠다는 의지도 잘 알겠고요. 하지만 카스퍼스키가 신뢰를 잃어가는 부분은 보편적인 보안 제품의 본질과 맞물려 있습니다. 러시아 스파이들도 카스퍼스키 제품의 높은 권한을 통해 기밀을 찾아낸 것입니다. 단순히 내부 사정과 코드를 공개한다고 해결이 될까 모르겠어요. 오히려 보안 제품을 만드는 업체 모두가 큰 틀에서 변화를 해야 합니다. 카스퍼스키의 위기에 누가 처해도 이상하지 않은 상태입니다.”

즉, 이미 보안 업계 전체가 이미 했어야 하는 일을 뒤늦게야 카스퍼스키가 진행하고 있다는 것으로, 밤베넥은 현 상태를 보고 있는 것이다. “신뢰를 처음부터 쌓아가는 것보다, 잃은 신뢰를 다시 회복하는 게 수십 배는 더 어려운 일이죠.”

베라코드의 와이소팔도 어느 정도는 동의한다. 특히 소스코드를 공개하고 신뢰를 회복한다고 해서 국가적인 사이버 스파이들이 소프트웨어를 악용하지 않을 거라는 보장이 없다는 점에서 “별 다른 효과를 기대하기 힘들다”고 말한다. “결국 소프트웨어나 업계 공급망 자체가 가지고 있는 잠재적 위험성은 줄어들지 않을 겁니다. 이건 그냥 시장성 회복을 위한 프로그램일 뿐입니다. 기술적으로는 크게 도움이 되지 않을 거예요.”

카스퍼스키는 “각국이 사이버 공간에서 치열하게 경쟁하는 지금 상황에서 모든 IT 보안 업체들은 정치적인 상황에 휘말리지 않고 독립적으로 자신이 개발한 제품들의 무결성과 보장성을 꾸준히 입증해야 한다”며 “이는 기능성을 강조하던 지난 몇 년 동안 우리가 잊고 있었던 것”이라고 말한다. “지난 20년 동안 보안 분야에서 활동해온 사이버 보안 업체로서 카스퍼스키는 이번 ‘세계 투명성 이니셔티브’를 시작하며 ‘뛰어난 기능을 가진 솔루션’을 제공하는 것을 넘어 ‘신뢰할 만한 솔루션’을 시장에 출시하기로 합니다. 진심으로 고객들을 보호하고자 하는 회사로 거듭날 것입니다.”

유진 카스퍼스키는 이번 이니셔티브의 시작으로 회사가 지향해왔던 ‘개방성’과 ‘투명성’을 드러낼 수 있게 되었다고 말한다. “숨길 게 아무 것도 없습니다. 이번 이니셔티브로 인해 카스퍼스키에 대한 오해와 논란, 불신이 잠식될 것이라 기대합니다. 더 나아가 사이버 보안이 한 국가만의 문제가 아니라는 것도 이번 기회를 통해 드러내고 싶습니다. 사이버 보안은 전 세계 공통의 문제이며, 따라서 다양한 국가들의 다양한 기관이 한 데 뭉쳐야만 제대로 기능을 발휘할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>