• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미군, “구매 금지 소프트웨어 목록 작성하고 있다” 2018.07.31

러시아와 중국산 코드가 미군 시스템에 침투하는 걸 막으려는 시도
러시아와 중국은 미국 기술 기업에 소스코드 요구...일부 실제 응하기도

[보안뉴스 문가용 기자] 미군이 국방 관련 조직들이 사면 안 되는 소프트웨어의 목록을 작성 중에 있다고 발표했다. 대부분 러시아와 중국과 관련이 있는 것들이다. 미군이 이렇게 일부 소프트웨어를 ‘구매 금지’라고 낙인찍는 이유는 바로 보안이다.

[이미지 = iclickart]


지난 금요일 미국의 국방 차관인 엘렌 로드(Ellen Lord)는 기자 회견 자리에서 “지난 6개월 동안 ‘구매 금지’ 목록을 만들어왔다”고 발표했다. 미국의 국방과 관련된 조직들이 중국과 러시아에서 만들거나 양국과 관련이 있는 자가 만든 코드를 구매하는 걸 막기 위해서라고 설명했다. 누군가 원격에서 미국 국방 사정을 염탐하는 걸 사전에 막겠다는 것이다.

이 구매 금지 목록은 항공우주산업협회(Aerospace Industries Association), 국방산업협회(National Defense Industrial Association), 전문서비스위원회(Professional Services Council) 등 미국 국방 계약 기업 혹은 조직들이다.

로드는 “여러 가지 문제들이 있음을 발견했고, 그 때문에 이러한 조치를 취했다”고 밝혔다. “러시아나 중국으로부터 나온 소프트웨어를 미군이 돈을 주고 살 수 없도록 하는 것이 이 프로젝트의 목적입니다. 지주회사의 이름이 대놓고 러시아나 중국이 아닌 경우가 많아 얼른 봐서는 구분하기가 힘들기 때문에 이 목록이 도움이 될 것이라고 봅니다.”

미국 정부는 외국의 첩보 기관들이 취약점이나 백도어를 삽입하려는 걸 막기 위해 미국 내로 수입되는 기술들의 공급망을 차단하기도 했다. 가장 유명한 사례는 최근 러시아 보안 소프트웨어 업체인 카스퍼스키(Kaspersky)의 제품을 정부 기관 내에서 사용 금지시킨 것이며, 중국의 하드웨어 공급 업체인 화웨이 역시 ‘우려가 된다’고 지목된 바 있다.

일각에서는 엘렌 로드의 배경을 언급하며 ‘순수하게 국가 안보 때문에 금지 물품 목록을 작성한 것인가?’라는 의문을 제기하고 있다. 로드는 30년 동안 미국 국방 산업에서 종사해온 인물로, 벨 헬리콥터스(Bell Helicopters)를 소유하고 있는 텍스트론(Textron)에서 마지막으로 근무했었다. 때문에 미국 국방 산업을 위한 보호주의가 발동되고 있는 것 아니냐는 의심들이 나오는 것.

국가 안보를 이유로 기술 기업들에 대한 조치를 취하고 있는 건 미국 정부만이 아니다. 러시아 정부는 미국의 기술 기업인 시스코(Cisco), IBM, HP, 맥아피(McAfee), SAP 등에 소스코드와 블루프린트를 제출하도록 요구했다. 백도어나 악성 코드의 존재 유무를 러시아 정부가 파악해야만 러시아에서 사업을 할 수 있도록 허용한다는 것이었다. 일부 보도에 의하면 이 회사들은 실제로 러시아 정부의 요구에 응했다고 한다.

하지만 미국의 기술 기업들이 러시아에 소스코드를 제출했다는 것은 미국의 국가 안보에 커다란 문제가 될 것이라고 전문가들은 보고 있다. 이들은 미국의 국가 기관에도 여러 가지 서비스를 제공하는 곳이기 때문이다. 소스코드를 제출했으니 러시아의 사이버 스파이들의 일을 더 쉽게 만들어준 꼴이 되었다는 게 보안 전문가들의 주장이었다. 그래서 이 보도가 나온 후 적잖은 파장이 일기도 했다.

중국 역시 기술 기업들에 비슷한 요구를 한 바 있다. MS와 IBM, 인텔은 아직까지 이에 응하지 않았다고 공식적으로 발표하고 있다. 그러나 거대한 시장을 가진 중국인지라 이들의 이런 굳건한 입장이 언제까지 유지될지는 아무도 장담할 수 없다.

한편 중국과 러시아는 미국의 주요 소프트웨어 회사의 지분을 공격적으로 구입하고 있다. 지주 회사나 명의만 있는 회사를 다른 나라에서 차리기도 한다. 코드의 출처를 최대한 숨기고 가리기 위함이다. 그러므로 미국 국방부가 만든 ‘구매 금지’ 목록이라고 하더라도 제대로 판별하기가 쉽지 않을 것으로 예상된다.

아직 목록의 내용은 공개되지 않고 있다.

3줄 요약
1. “구매하면 안 되는 소프트웨어” 목록을 미군에서 직접 작성하고 있다.
2. 사실은 중국과 러시아산 코드를 가진 소프트웨어를 지정하기 위한 것.
3. 중국과 러시아 정부는 기술 기업의 소스코드를 제출하라고 요구.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>