2024 ?? ???? ??? 10?? ???? ???, ????? ????? ??? ?? ?? ???? ??????? ??? ???? ??? 미국 정부가 지난 6월 하고 을 제재 대상으로 지정했다. 이 제재는 몇 년 전 시작된 미국 연방 기관 내 소프트웨어 사용 금지 조치에 대한 후속 조치다. 리투아니아, 네덜란드 등의 연방 기관에서도 유사한 금지 조치가 확산되고 있다. 이번 조치는 러시아 정보기관과 기업의 잠재적 협력 가능성이 미국의 국가 안보를 위협할 수 있다는 이유에서 이뤄진 것으로 전해졌다. 미국 상무부와 재무부가 협력한 결과인데, 상무부 산업안보국(BIS)이 먼저 카스퍼스키의 제품군 판매 금지 조치를 내렸고, 재무부 해외자산통제국(OFAC)이 임원 12명을 제재 대상으로 지정했다. OFAC이 제재를 가한 임원 명단에는 회사 설립자인 가 포함되지 않았다. 회사 자체나 자회사 전체를 명시한 것도 아니었다. 대신 인사 책임자, 여러 부사장, 최고기술책임자(CTO)의 이름이 담겼다. 카스퍼스키에 대한 미국의 첫 제재는 2017년 시작됐다. 이때 카스퍼스키는 주요 기업 데이터 센터를 모스크바에서 스위스로 이전했고, 그 이후로 전 세계에 12개의 ‘’를 개설해 소스코드와 위협 탐지 방법을 파트너, 정부 기관 및 고객과 공유했다. 일부 데이터 처리는 여전히 모스크바에서 이뤄지고 있는데, 이러한 점이 미국 규제 당국을 긴장하게 해 6월 제재 조치를 제정하는 데 일조했다. 수많은 기업의 가상 CISO를 맡고 있는 그렉 샤퍼는 “연방 정부가 처음 정부 기관 내 카스퍼스키의 사용을 금지했을 때, 고객사들이 경쟁업체로 이동하기 시작했다. 잠재적인 악용 사례에 대한 증거를 보지 못했지만 이번 사용 금지 조치는 신중하게 내린 결정이라고 본다”라고 말했다. 미국의 금지 조치에 대한 카스퍼스키의 대응카스퍼스키는 이번 조치에 대해 “정당하지 않고 근거가 없다”라며 했다. 또한 사이버 위협 인텔리전스(TI), 사고 대응 및 디지털 포렌식에 대한 광범위한 이 규제에서 제외된 것처럼, 비즈니스 운영 부분은 국가 안보 문제와 관련이 없기 때문에 금지 대상에서 면제돼야 한다고 말했다. 카스퍼스키는 또한 모든 위협 인텔리전스 제품이 예외 적용돼야 한다고 주장했지만, 이 기능은 많은 제품에 포함돼 있으며 관리형 탐지 또는 엔드포인트 탐지 도구에서 쉽게 분리되지 않는다. 향후 상무부 명령에 따라 금지 제품 및 서비스에 포함되는 항목과 그렇지 않은 항목을 두고 소송이 벌어질 가능성도 있다. CISO가 지금 해야 할 일카스퍼스키는 27만 기업 고객을 보유하고 있다고 밝혔지만, 분명하게는 전 세계 모든 고객을 포함하는 수치다. 이전의 고객 중 상당수는 이미 다른 보안 제품으로 마이그레이션한 상황인 만큼, 아직 카스퍼스키 소프트웨어를 사용하고 있는 미국 내 고객이라면 지금 계획을 세워야 한다. 샤퍼는 “ 문제가 발생하기 때문에 전환 시기를 10월까지 기다려선 안 된다. 지금이 바로 위험을 평가하고 인프라의 어떤 부분이 손상되고 교체가 필요한지 파악해야 할 때”라고 지적했다. 리서치 및 자문 기업인 아보아(Avoa)의 설립자 팀 크로포드도 즉각적인 조치를 취해야 한다고 했다. 그는 “업데이트하지 않은 시스템은 완전히 취약해지고 해커의 공격 대상이 될 수 있기에 10월 마감일에 가까워질 때까지 기다리지 말고 신속히 움직여야 한다”라고 설명했다. 문제는 멀웨어 방지 제품이 OS와 네트워크 인프라에 얼마나 깊숙이 파묻혀 있는가다. 머큐리 리스크앤컴플라이언스의 CISO인 매튜 로젠퀴스트는 “이런 유형의 제품을 교체하는 데는 많은 시간과 노력이 필요하다. 영향을 받는 API, 전송되는 원격 분석, 및 기타 관리되는 위협 피드와 같은 다른 보안 도구와의 호환성 등을 파악하는 데 시간이 걸리며, 이 모든 것을 제대로 테스트하는 데도 시간이 걸린다”라고 말했다. MIT 슬론 스쿨의 연구 컨소시엄 CAMS의 전무 이사인 케리 펄슨은 카스퍼스키로부터의 전환을 ‘의 또 다른 형태일 뿐’이라고 보는 것이 한 가지 전략이 될 수 있다고 언급했다. 그는 “하지만 이번에는 침해로 인해 발생한 사고가 아니라 새로운 규칙으로 인해 발생한 사고다. 회복 탄력성에 대한 사고방식을 가진 CISO는 이번 사고를 조직의 회복 탄력성을 보여주는 또 다른 사례로 인식할 수 있다. 특정 벤더의 기술 사용을 금지하는 새로운 지침에 따라 CISO는 이제 새로운 기술로 전환할 방법을 찾아야 한다. 기술은 잘 작동하는 것 같지만 새로운 규정으로 인해 사용을 중단해야 하는 상황이다”라고 설명했다. 펄슨은 기술 스택을 고려할 때 회복 탄력성 관점을 고려해야 한다면서 “CISO는 대응해야 한다. 대응은 신속하고 효율적이며 효과적이어야 한다. 새로운 벤더의 새로운 기술로 전환하는 데는 시간이 걸릴 수 있지만, 반드시 그렇게 해야 한다”라고 말했다. 또한 그녀는 회복 탄력성의 관점에 이전까지 신뢰했던 벤더의 교체도 포함돼야 한다며, “솔직히 오늘날에는 운영에 지장을 줄 수 있는 중단 사고가 불가피하다”라고 지적했다. 일부에서는 이번 사건이 빙산의 일각에 불과하며 상황이 더 악화될 수 있다고 봤다. IT 컨설턴트인 존 크로닌은 “사이버 보안에 대해 훨씬 더 진지하게 생각해야 한다. 러시아는 사이버 공격의 주요 발원지 중 하나이자 데이터 수집의 주요 행위자다”라고 말했다. 로젠퀴스트 역시 “러시아는 계속해서 자국에 유리하도록 기업을 조종할 것이다. 현재 완벽하게 안전한 제품이라도 순식간에 바뀔 수 있다. 우리는 공격자들이 어떤 이점도 갖지 않기를 바란다”라고 말했다. 기가옴(GigaOm)의 애널리스트 하워드 홀튼에 따르면 지금처럼 국가 문제가 상거래 문제보다 우선시되는 경우가 있다. 그는 “근본적인 수준의 자산에 접근할 수 있고 상당한 리스크를 초래할 수 있는 보안 도구이기 때문에, 이는 명백한 공급망 보안 문제다. 미국이 이 정도의 조치를 취한 것은 이번이 처음이다. 전 세계가 이에 귀를 기울일 필요가 있다. 위협은 실재하며 금지 조치는 가볍게 내려지지 않았다”라고 조언했다. 리셀러에게 미칠 영향이번 조치의 새로운 사항은 금지 범위가 확대됐다는 점이다. 카스퍼스키 파트너 및 리셀러가 10월부터 소프트웨어 업데이트를 비롯해 카스퍼스키 제품과 서비스를 계속 판매할 경우 거래 제재뿐만 아니라 형사 기소 대상이 될 수 있다. 카스퍼스키는 B2B 판매의 상당 부분을 파트너를 통해 진행하고 있다. 로젠퀴스트는 “이는 폭스바겐과 같이 대규모 중요 인프라를 운영하는 고객사에게 어느 정도 압박이 될 전망이다”라고 말했다. 카스퍼스키 매니지드 서비스 제공업체였던 L3네트웍스의 공동 설립자 스티브 그리핀은 몇 년 전 제품 판매에서 손을 뗐다고 밝혔다. 그는 “미래가 어떻게 될지 알 수 없기 때문에 여전히 리셀러로는 등록돼 있다. 여러 벤더와의 관계를 유지하고 교체해야 할 경우를 대비해 대체 벤더를 확보하는 것을 선호한다. 다른 벤더로 전환할 수 있어야 한다. 우리는 특정 벤더에 너무 많은 공을 들여 얽매이고 싶지 않으며, 스스로를 보호해야 한다”라고 설명했다. L3는 풀서비스 관리형 SOC 및 NOC 서비스를 운영하며 아르메니아에 있는 데이터센터를 활용하고 있다. 카스퍼스키가 표적이 된 3가지 쟁점한편 미국이 국외 서비스를 금지하는 것은 이번이 처음이 아니다. 앞서 중국의 와 에 대한 금지 조치도 있었는데, 이에 대해 전문가들은 엇갈린 반응을 보였다. 크로닌은 “이런 상황에서는 정책이 실제 위협에 근거한 것인지 아니면 누군가 러시아나 중국을 싫어해서인지 알기 어렵다”라고 말했다. 하지만 카스퍼스키의 상황이 다른 이유는 보안 소프트웨어 자체에 관한 문제이기 때문이다. 샤퍼는 카스퍼스키에 대한 이런 조치의 이면에 있는 3가지 쟁점 중 첫 번째를 언급했다. 그는 “문제는 모든 안티 멀웨어 소프트웨어가 최신 바이러스 시그니처와 행동 패턴을 확인하기 위해 자국과 내통할 가능성이 있다는 점이다. 즉 양방향 통신과 공격의 가능성이 있다”라고 말했다. 사이버 보안 컨설턴트이자 강사인 래리 디츠는 중국이나 러시아에 기반을 둔 벤더가 실제로 어떤 일을 하는지 여부와 관계없이 더 의심하게 되는 경향이 있다고 언급했다. 카스퍼스키는 지금까지 러시아 발원 공격을 식별하고 미국의 이익을 보호하는 데 상당한 기여를 해왔다고 밝히며 러시아 연루설을 불식시키려고 했지만, 미국 정부에게 이런 점은 고려되지 않은 것으로 보인다. 이번 조치의 또 다른 쟁점으로는 멀웨어 방지 소프트웨어가 기본 윈도우 또는 맥OS 운영 체제와 긴밀히 작동해야 하기 때문에 활성 멀웨어 취약점 공격의 일부가 될 경우 작동을 추적하기가 어렵다는 점을 꼽을 수 있다. 보안 컨설턴트인 데이비드 굿맨은 “이런 도구는 본질적으로 OS에 깊숙이 침투한다”라고 경고했다. 세 번째 쟁점은 모든 최신 보안 소프트웨어가 업데이트 측면에서 지속적인 관리와 공급이 필수인데, 상무부가 이를 특히 규정에서 금지했다는 점이다. 업데이트가 이뤄지지 않는 보안 제품은 이전 버전을 노리는 취약점 공격에서 여러 번 확인됐듯 공격자의 표적이 되기 쉽다. dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????