2024년 7월 20일(현지 시각), 미국 상무부는 모스크바에 본사를 둔 소프트웨어 기업 카스퍼스키 랩스(Kaspersky Labs)의 인기 바이러스 방지 소프트웨어 판매 금지 정책을 새로이 시행할 예정이다. 카스퍼스키 랩스의 소프트웨어 판매 금지는 조 바이든 대통령이 중국 모기업과의 분리가 이루어지지 않을 때 미국 내 틱톡 서비스를 금지한다는 규정이 명시된 법률에 서명한 지 두 달 만에 발표되었다. 미국 정부는 2017년, 연방 차원의 카스퍼스키 소프트웨어 방지 프로그램 사용 금지 정책을 시행했다. 그러나 미국과 러시아 관계 악화와 러시아 정부가 러시아 기술 분야를 대상으로 더 엄격한 통제를 시행하여 미국 관료 사이에서는 러시아 정부가 카스퍼스키의 소프트웨어를 무기로 삼을 것이라는 우려가 남아있었다.
미국 정부는 국가 안보를 문제로 카스퍼스키의 소프트웨어를 금지하려 하지만, 사용자가 접근하고자 하는 정보와 소프트웨어 선택 측면에서 자유로운 공개 인터넷 원칙을 저해하는 선례를 남기고 있다.
미국 상무부는 2024년 6월 24일(현지 시각), “이번 최종 결정으로 다루는 미국 국가 안보 위협 요소는 카스퍼스키 제품의 바이러스 및 기타 멀웨어 식별 효과 때문이 아닌 미국에 전략적으로 해를 가하는 데 악용될 가능성에서 비롯되었다”라고 작성한 내용의 공식 성명을 발행했다. 다음날 지나 러몬도(Gina Raimondo) 상무부 장관은 취재진에게 미국 상무부의 사이버 보안 제품 금지 첫 사례라고 전했다.
카스퍼스키 측이 미국 상무부가 카스퍼스키 제품과 서비스의 무결성 종합 평가가 아닌 현재의 지정학적 분위기와 이념적 우려를 바탕으로 결정했다고 주장하면서 상무부의 결정에 맞선 것은 자연스러운 일이다. 카스퍼스키 측은 “카스퍼스키는 미국 국가 안보 위협 활동에 일절 가담하지 않는다. 사실, 미국의 국익과 미국 우방국을 겨냥한 다양한 위협 활동을 보고하고 위협 요소에 맞서 보호하는 데 크게 이바지했다”라고 추가로 발표했다.
반면, 틱톡은 미국 정부를 제소하면서 조건부 금지 정책이 수정헌법 제1조를 위반한다고 주장했다. 틱톡은 소송을 통해 미국 국회의원이 구체적인 증거는 일절 언급하지 않고, 추후 틱톡이 악용될 가능성이라는 가정을 바탕으로 틱톡의 중국 모기업인 바이트댄스(ByteDance)를 대상으로 틱톡을 미국에 본사를 둔 기업에 매각하도록 강요한다고 지적했다.
[사진=Unsplash]
틱톡과 달리 SNS 앱은 다양한 대화의 장이 되도록 개발되어 무료로 다운로드할 수 있다. 반면, 카스퍼스키의 바이러스 방지 소프트웨어는 고객의 기기와 네트워크를 살펴볼 깊은 시스템 접근 권한을 부여하는 유료 소프트웨어이다. 틱톡의 소프트웨어는 틱톡 앱을 운영하는 모바일 운영체제를 포함하지만, 카스퍼스키의 바이러스 방지 소프트웨어와 같은 기기 스캔 프로그램은 초기 설계 단계부터 사용자 기기를 무료로 통제할 권한을 얻는다는 점도 사이버 보안 우려를 더한다.
장시간 맥 보안 연구원으로 활동하는 패트릭 와들(Patrick Wardle) 연구원은 “틱톡과 카스퍼스키 바이러스 방지 소프트웨어는 근본적으로 다르다”라며, “사용자가 기기에 카스퍼스키 바이러스 방지 소프트웨어와 틱톡을 모두 설치했다면, 카스퍼스키 소프트웨어가 제기하는 사이버 보안 문제가 더 심각할 수도 있다. 개발사가 거부할 수 없는 기기 접근 권한을 얻기 때문이다. 앱 샌드박스에서 운영하는 틱톡과 같은 앱은 연락처 등 사용자가 부여한 특정 데이터 접근 권한을 벗어난 범위에서는 많은 권한을 얻지 못한다”라고 설명했다.
스탠퍼드대학교 정치 연구원 리아나 페퍼콘(Riana Pfefferkorn)도 와들 연구원과 같은 이유로 미국 정부가 단순히 시민을 위한다는 이유로 앱을 금지할 것이 아니라 카스퍼스키의 소프트웨어를 금지하는 이유를 두고 대중에게 구체적이면서도 설득력이 있는 정보를 제공해야 할 필요가 있다고 생각한다. 마찬가지로 여러 행정부 관계자와 조건에 따라 백악관과 미 의회도 틱톡의 미국 국가 안보 위협 요소 관련 증거를 제시하거나 구체적인 의혹을 제시해야 한다.
페퍼콘 연구원은 와이어드에 “틱톡 금지 규정이 명시된 법률 통과 당시 정부가 탐탁지 않게 여기는 테크 기업을 마구 규제 대상으로 겨냥하는 것처럼 보인다. 만약, 실제로 금지 정책을 펼칠 정도로 상황이 심각하다는 점을 합리화하고자 한다면, 정부가 양해를 구하고 대중이 기대할 만한 강력한 증거를 풍부하게 제공해야 한다”라고 주장했다.
중국과 같은 미국의 적국이 거짓 정보를 유포하거나 영향력이 있는 핵심 유명 인사를 상대로 영향력을 행사할 위험성이 있는 틱톡과 같은 일부 SNS 플랫폼과 달리 카스퍼스키와 같은 기업의 바이러스 방지 소프트웨어는 데이터 탈취 공격에서 직접 악용 대상이 되거나 공격 표적이 된 기기 자체를 통제할 수도 있다. 카스퍼스키가 지난 몇 년간 교묘한 해킹 작전 여러 건을 퇴치한 사실은 외국 정보기관이 카스퍼스키가 접근하는 정보를 결정하기를 간절히 원할 수도 있음을 시사한다. 그러나 소프트웨어 금지가 돌이킬 수 없는 수준으로 확산되는 것이 중요하지 않다는 의미는 아니다.
페퍼콘 연구원은 “연방 정부가 보안과 프라이버시 우려를 바탕으로 자체 네트워크에서 허용하거나 금지하는 소프트웨어를 결정할 자유를 행사하는 것은 정당하다. 그러나 적용 대상이 대중이라면, 외국 소프트웨어만이 아닌 모든 소프트웨어에 적용할 기본 프라이버시와 사이버 보안 요구사항을 지정하는 데 더 훌륭한 접근 방식이 필요하다. 특히, 데이터 중개 기관이 미국인의 데이터를 외국 정부에 자유롭게 판매할 수 있는 상태가 유지된다면, 매우 중요한 부분이다”라는 견해를 피력했다.
끊임없는 소프트웨어 공급망 공격 위협으로 드러난 바와 같이 강력한 보안 방어와 프라이버시 보장은 궁극적으로 특정 금지보다는 더 지속적이면서도 포괄적인 보호 방식이 될 것이다. 한편, 로이터는 바이든 행정부와 상무부가 차이나 모바일(China Mobile), 차이나 텔레콤(China Telecom), 차이나 유니콤(China Unicom)이 자사 클라우드 및 인터넷 경로 서비스를 통해 미국 데이터에 접근한 문제를 조사 중이라고 보도했다. 틱톡과 카스퍼스키 단속으로 미국의 디지털 고립 수준이 갈수록 커지는 추세를 엿볼 수 있을 것이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202407/5663_7291_335.jpg)
뉴스레터 신청