2024-03-29 17:15 (금)
서구 기술 회사들, 러시아의 소스 코드 검토 요구에 굴복
상태바
서구 기술 회사들, 러시아의 소스 코드 검토 요구에 굴복
  • 정원석 기자
  • 승인 2018.05.18 16:58
이 기사를 공유합니다

1.jpg
▲사이버 보안 이미지(출처=픽사베이)
시스코(Cisco), IBM, SAP 등 서구의 첨단기술 기업들이 보안 제품의 비밀에 접근할 수 있게 해달라는 러시아의 요청에 응했다.

러시아 당국은 서구 기술 기업에 방화벽, 안티 바이러스 애플리케이션 및 암호화가 포함된 보안 제품에 대한 소스 코드 검토 후 해당 제품을 수입 및 판매할 수 있게 해달라고 요청했다. 이런 요청은 2014년 이후 증가했는데, 이것은 외국의 스파이 기관이 러시아로 들어오는 시스템에 '백도어'를 숨기지 않았는지 확인하기 위한 것이다.

게다가 이런 검토를 거치면 러시아 측은 제품 소스 코드의 취약성을 발견할 수 있다.

수많은 미국 회사들이 러시아의 거대 기술 시장에 진입하기 위해 이런 요구를 받아들인 반면 소프트웨어 제조 업체 시만텍(Symantec)은 소스 코드 검토에 대한 협력을 중단했다.

시만텍은 자사 제품을 검사하는 연구소 중 한 곳이 러시아 정부로부터 충분히 독립적이지 않다고 말했다.

미 정부 관계자는 기업들에 러시아가 제품의 소스코드를 검토할 수 있도록 허가할 때는 그것이 사이버 공격에 사용될 수도 있다는 점을 고려해야 한다고 경고했다. 그러나 미국 정부로서는 해당 기술이 군대나 기타 중요한 국가 보안에 관련된 것이 아닌 이상 기업의 자율적인 행동을 규제할 수 없다.

기업들은 러시아의 요구를 받아들여야만 수익성 있는 시장에 진입할 수 있다고 말한다. 대신 기업들은 러시아가 소스 코드를 검토할 때 그것이 복사되는 것을 방지할만큼 안전한 시설에서만 검토할 수 있도록 하고 있다.

한편 미국 정부는 지난 2016년 미국 대선에 러시아가 개입했으며 그 이후 전세계적으로 발생한 랜섬웨어 공격의 배후 중 일부도 러시아와 연관이 있다고 생각하기 때문에 러시아를 견제하고 있다.

러시아 측에서는 이런 소스 코드 검토를 국가 기밀을 보호하는 러시아 방위청 FSTEC(Federal Service for Technical and Export Control)에서 수행할 것이라고 밝혔다. FSTEC에 의해 발행되고 로이터가 검토한 기록에 따르면 1996년부터 2013년까지 서구 기업의 13개 기술 제품에 대한 소스 코드 리뷰가 작성됐고 지난 3년 동안 이 기관에서 28개 제품의 리뷰가 작성됐다.

러시아가 2014년 크림반도를 합병한 이후 미국과 러시아의 관계가 악화됐기 때문에 이런 소스 코드 검토 요구가 급격히 증가했다. 러시아와의 거래에 익숙한 기업들은 이미 이런 요구에 응했다.

미국 기업의 러시아 시장 진출을 도와주는 변호사 로젤 톰슨은 소스 코드 공개 위험과 러시아 보안 서비스의 위험 사이의 균형을 잘 맞춰야 한다고 말했다.

그는 "일부 회사는 이런 소스 코드 검토 요청을 거절한다. 다른 회사는 러시아 시장의 잠재력을 보고 이를 승인하며 위험을 감수한다"고 덧붙였다.

기술 회사가 러시아의 소스 코드 요청을 거절하면 제품 승인이 무기한 연기되거나 부결될 수 있으며 그럴 경우 미국 회사는 러시아에 진출하지 못한다.

이런 소스 코드 검토 요청은 러시아에만 국한되지 않는다. 미국 또한 방위 계약 및 기타 민감한 정부 업무의 일환으로 소스 코드를 감시하는 경우가 있으며 중국은 소프트웨어의 상업적 수입을 위해 소스 코드 검토를 진행한다.

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★