세계 최대 보안업체 캐스퍼스키, ‘미국서 퇴출’

[애플경제 전윤미 기자] 글로벌 사이버 보안업체 ‘캐스퍼스키’(Kaspersky Lab)가 오는 9월부터는 미국 시장에서 퇴출된다. 캐스퍼스키는 국내에서도 바이러스 백신 등을 비롯, 많이 보급되어 있어, 우리와도 무관하지 않은 일이다. 미국 정부는 20일 캐스퍼스키 바이러스 백신의 자국내 판매를 금지하고, 이를 사용하는 사람들에게 속히 다른 업체 제품으로 바꿀 것을 요청했다.

美, 7월 이후 제품 구매․설치 ‘위법’

이는 러시아에 본사를 두고 있는 캐스퍼스키가 미국의 국가 안보에 해를 끼칠 수도 있다는 이유에서 내려진 조치다. 현지 외신을 종합하면 이날 미 상무부는 “러시아의 국내법상 캐스퍼스키가 러시아 정보기관에게 미국 등에서 수집된 정보를 제공하지 않을 수 없게 되어있다”고 이번 조치의 배경을 밝혔다. 지나 라이몬드 미 상무장관은 이날 언론 브리핑을 통해 “러시아는 미국인의 개인 정보를 수집하고 무기화하기 위해 캐스퍼스키와 같은 러시아 기업을 이용할 능력과 의도가 있음을 보여주고 있다. 이에 이번과 같은 조치를 취하지 않을 수 없게 되었다”고 밝혔다.

이같은 조치에 정작 캐스퍼스키 측은 “사이버 보안을 위한 본사의 그간 노력을 도외시한채 정치적, 지정학적 동기만으로 내려진 부당한 처사”라며 강한 불만을 표시하며, 법적 대응에 나설 태세다. 유진 캐스퍼스키가 창업한 이 회사는 현재 전 세계 사용자가 약 4억명에 달하며, 기업고객도 24만여 곳이 넘는 지구촌 최대 규모의 글로벌 사이버보안 기업이다.

그런 만큼 미국 정부의 이번 조치는 업계에서도 다소 의외로 받아들여지고 있고, 그 만큼 업계에 전해지는 충격도 적지 않다.

일단 이번 조치로 인해 캐스퍼스키는 오는 7월 20일부터 미국 내 소비자와 기업에게 백신 등 소프트웨어를 판매하는 것이 금지되지만, 9월 말까지 기존 고객에게 소프트웨어 및 보안 업데이트를 제공할 수는 있다. 그 후에는 모든 판매 행위가 금지되고, 이를 구매하거나 설치하는 사용자들은 법적 처벌을 받게 된다. 다른 브랜드로 캐스퍼스키 소프트웨어를 사용하는 ‘화이트 라벨’ 제품의 판매도 금지된다.

트럼프 행정부도 ‘금지령’ 전례 있어

미 상무부는 “이번 조치로 인해 사용자들의 소프트웨어와 서비스가 저하될 수 밖에 없다. 그러므로 즉시 캐스퍼스키의 대안을 찾을 것을 강력히 권장한다”고 밝혔다. 그러나 기왕에 이미 캐스퍼스키 제품이나 서비스를 계속 사용하거나 보유하고 있는 개인과 기업은 법에 저촉되지 않는다. 상무부는 그러나 “자신과 가족을 보호하기 위해 해당 소프트웨어 사용을 즉시 중단하고 다른 대안으로 전환할 것을 권장한다”고 촉구했다.

미 상무부는 이런 사실을 일반 시민과 사용자들에게 알리는 웹사이트를 개설하는 한편, “연방 사이버 보안 기관인 CISA가 캐스퍼스키 소프트웨어를 사용하는 기업들이 대안을 찾도록 도움을 줄 것”이라고 밝혔다.

캐스퍼스키에 대한 이런 조치가 이번이 처음은 아니다. 지난 2017년 9월에도 당시 트럼프 행정부는 캐스퍼스키가 러시아 정보 기관을 돕지 않을 수 없을 것으로 우려하고, 미국 연방 기관에 한해 카스퍼스키 소프트웨어 사용을 금지한 바 있다. 게다가 올해 초, 러시아 정부 해커들이 캐스퍼스키의 백신을 실행하고 있던 사용자의 가정용 컴퓨터에 저장된 미국 정부 기밀 문서를 훔친 사례가 전해지기도 했다. 이게 사실일 경우 캐스퍼스키 소프트웨어를 이용한 최초의 스파이 사건인 셈이다.

월스트리트저널에 의하면 이에 2023년 4월경부터 캐스퍼스키에 대한 금지 결정을 위한 작업이 진행되어 왔다. 이날 미 정부는 캐스퍼스키가 얼마나 많은 미국 내 사용자를 보유하고 있는지는 발히지 않았다. 다만 중요한 국가 인프라 조직을 비롯해, 각 주 및 지방자치단체와 공공기관을 포함해 상당한 규모에 이른 것으로만 알려져있다.

캐스퍼스키, “정치적 동기에 의한 처사” 격한 반발

이번 조치에 대해 캐스퍼스키는 격한 반응을 보이며, 반발하고 있다. 회사측은 “본사는 그 어떤 국가의 정부로부터도 독립성을 지켜왔고, 이미 미국에서도 이를 반복적으로 입증해왔다”고 밝혔다. 그러면서 이런 조치를 내린 미 상무부와, 이를 법제화하기로 한 미 의회에 대해 강한 불만을 토로하고 있다.

앞서 미 의회에선 캐스퍼스키가 러시아 정보 당국과 연결되어, 국가 안보 위험을 초래할 우려가 크다는 우려가 끊임없이 제기되었다. 그때마다 캐스퍼스키는 조목조목 의원들의 그런 주장을 반박하며, 무고함을 주장하곤 했다. 그러나 “러시아 법률 체제상 정부가 정보 수집 목적으로 이런 민간 회사를 강요하며 의존할 수 밖에 없는게 현실”이라는게 미 정부의 시각이다.

이에 캐스퍼스키는 여러 언론 매체에 보낸 성명서를 통해 “이러한 주장은 모두 ‘거짓’이며, 이번 미국 상무부의 본사 제품 금지 결정은 오로지 ‘정치적인 동기’에서 나온 것”이라고 강조했다. 캐스퍼스키는 “본사 제품의 보안 툴에 대해 신뢰할 수 있는 제3자에 의해 독립적으로 검증될 수 있는 포괄적인 평가를 제안했음에도 불구하고, 미 상무부는 이런 본사의 제안을 무시하고, 그저 지정학적 환경과 막연한 이론적 우려를 바탕으로 결정을 내렸다. 본사 제품과 서비스는 무결성을 생명으로 한다”고 주장했다.

이 회사는 또 “미국 국가 안보를 위협하는 활동에 결코 가담하지 않는다”면서 “오히려 그 동안 미국 정부나 기관을 표적으로 삼은 사이버 위협 행위자를 적발하고 공개함으로써 상당한 기여를 한 바 있다”고 주장했다. 카스퍼스키는 성명서에서 특히 “러시아 정부 등의 간섭이 없음을 보여주기 위해 다른 사이버 보안 업체들과는 비교할 수 없는 고도의 투명성 조치를 시행하고 있다”고 밝혔다.

“어떤 정부로부터도 독립적이고 투명해”, 법적 대응 예고

이에 캐스퍼스키는 “이번 금지령은 수많은 사용자들과 기업들에게 큰 피해를 끼칠 것”이라며 “본사는 이를 철폐하기 위해 법적으로 이용 가능한 모든 옵션을 추구할 계획”이라고 장기간의 ‘싸움’을 예고했다.

지난 2018년에 이 회사는 일부 사업장을 러시아에서 스위스로 이전할 계획을 발표했다. ‘글로벌 투명성 이니셔티브’(GTI)의 일부로 이루어진 이런 결정이 실행되는데 2년 이상이 걸릴 것으로 보인다. 회사는 당시 ‘중립 정책’ 때문에 스위스를 선택했다고 밝혔다. 그래서 더욱캐스퍼스키는 “미국의 금지령은 투명성을 높이려는 본사의 적극적인 노력을 부당하게 무시하고 있으며, 결국 그 피해는 고스란히 사용자들에게 돌아갈 것”이라고 비판했다.

나아가선 “금지령은 궁극적으로 사이버 위협 행위자에게 도움이 될 것이며 사이버 범죄에 맞서기 위한 국제적 노력에 해로운 영향을 미칠 것”이라며 “"이러한 조치로 득을 보는 것은 사이버 범죄자들이며, 맬웨어와의 싸음에서 가장 중요한 사이버 보안 전문가 간의 국제 협력도 제한될 수 밖에 없을 것”이라고 반발했다.

캐스퍼스키는 또한 “크고 작은 소비자와 기업들이 원하는 사이버 보안 기능을 선택할 자유를 빼앗음으로써, 수 년 간 자신이 선호하고 의존해 온 기술을 긴급하게 교체해야 하는 상황에 처하게 될 것”이라고 주장했다.