카스퍼스키 “투명성 센터 통해 기술 우위 증명한다”
상태바
카스퍼스키 “투명성 센터 통해 기술 우위 증명한다”
  • 김선애 기자
  • 승인 2022.06.21 15:34
  • 댓글 0
이 기사를 공유합니다

소스코드까지 공개하는 투명성 센터 운영하며 사이버 위협 대응 능력 입증
간수진 카스퍼스키 APAC 총괄 “정치적 이유로 고객의 선택 제한하면 안돼”

[데이터넷] 러시아-우크라이나 전쟁이 발발하자 미국과 독일 정부가 카스퍼스키 제품 사용 제한 조치를 내렸다. 이에 카스퍼스키는 객관적인 기술 검증 없이 무조건 사용 제한 조치를 취한데 대한 강한 유감을 밝히며 “이는 결국 고객의 피해로 이어질 것”이라고 반박했다.

카스퍼스키 아시아태평양 지역 정보업무 총괄 임원인 간수진(Genie Sugene Gan)은 21일 방한 기자 간담회를 열고 “카스퍼스키는 세상을 안전하게 만든다는 미션을 갖고, 세계 최고의 보안 전문성을 고객에게 전달하고 있다. 카스퍼스키는 글로벌 투명성 이니셔티브(GTI)를 운영하고 있으며, 세계 여러 지역에 투명성센터를 설립, 고객과 파트너들이 카스퍼스키 기술을 세밀하게 살펴볼 수 있도록 한다”며 “일부 국가에서 단지 정치적인 이유만으로 카스퍼스키 제품을 사용하지 못하게 한 것은 매우 잘못된 판단이다. 고객은 보안 수준이 떨어지는 다른 제품을 사용해 더 많은 보안위협에 노출될 수 있다”고 강하게 비판했다.

간수진 총괄은 “미국 FCC의 결정은 ‘정부 보조금을 사용해 카스퍼스키 제품을 사용하지 말라’는 것으로 그에 해당하는 기관은 극히 일부”라며 “스위스, 벨기에, 네덜란드, 이탈리아, 오스트리아 등 유럽 국가들은 오히려 카스퍼스키 제품에서 의심스러운 행위를 발견하지 못했다고 판단하고 카스퍼스키 제품 사용을 중단할 이유가 없다고 밝혔다”고 덧붙였다.

“정치중립적 사이버 보안 전문기업” 강조

▲간수진 카스퍼스키 APAC 총괄은 “단지 정치적인 이유만으로 카스퍼스키 제품을 사용하지 못하게 한 것은 매우 잘못된 판단이다. 고객은 보안 수준이 떨어지는 다른 제품을 사용해 더 많은 보안위협에 노출될 수 있다”고 강하게 비판했다.
▲간수진 카스퍼스키 APAC 총괄은 “단지 정치적인 이유만으로 카스퍼스키 제품을 사용하지 못하게 한 것은 매우 잘못된 판단이다. 고객은 보안 수준이 떨어지는 다른 제품을 사용해 더 많은 보안위협에 노출될 수 있다”고 강하게 비판했다.

카스퍼스키는 지난 2017년 러시아 정보기관과 결탁할 가능성이 있다는 의혹을 받고 미국 정부기관에서 퇴출된 바 있다. 카스퍼스키는 “정치적인 이유로 잘못된 결정을 했다”고 강하게 반박하면서 “사이버 범죄와 싸우는 활동을 계속 이어가겠다”고 밝혔다.

그러면서 카스퍼스키는 2017년 GTI를 출시하고, 스위스 취리히에 사이버 위협 관련 데이터 처리와 저장시설을 설치했다. 이를 통해 러시아 정보기관 연관성을 부인하며 글로벌 사이버 보안 전문기업의 정당성을 갖고자 노력했다.

이어 2018년 스위스에 투명성센터를 설립, 자사 솔루션이 사이버 범죄에 이용되거나 범죄조직과 결탁하지 않았다는 사실을 증명해왔다. 투명성센터는 지속적으로 확대, 현재 미국, 브라질, 스페인, 스위스, 일본, 말레이시아, 싱가포르 등에 설치됐다.

투명성센터에서는 카스퍼스키 제품의 모든 것을 검증할 수 있다. 검증 프로그램은 난이도에 따라 ▲카스퍼스키의 보안·투명성 모범사례를 검증하는 블루코스 ▲고객이나 규제기관 관계자가 직접 소스코드의 핵심 부분을 검증하는 레드코스 ▲소스코드 중 핵심 부분을 심층 종합 검토하는 블랙코스로 구성된다. 소스코드 검증은 상담 목적으로만 이용할 수 있으며, 엄격한 접근 정책이 적용된다. 보안 관련 우려가 있을 때 거부될 수 있으며, 소스코드 검토 시 읽기 전용 권한만 제공하고 코드 변조 가능성을 차단한다.

검토 대상은 카스퍼스키의 개인용·엔터프라이즈용 백신과 제어 콘솔이며, 모든 버전의 빌드·데이터베이스 업데이트를 공개한다. 카스퍼스키가 자체 개발한 소스코드 외에 타사 구성요소의 코드 품질까지 검증할 수 있도록 하며, 가상 소프트웨어 재료 명세(SBoM)을 공개해 오픈소스·써드파티 코드로 인한 공격 위협도 파악할 수 있도록 했다.

카스퍼스키는 ISO/IEC 27001:2013 인증, SOC2 감사를 통과하면서 탁월한 보안성과 투명한 기술에 대한 인증을 받았다.

버그바운티로 알려지지 않은 취약점 적극 대응

카스퍼스키는 버그바운티 프로그램도 운영, 치명적인 취약점을 발견한 사람·조직에게 최대 10만달러의 포상금을 약속하고 있다. 2018년부터 시행한 버그바운티에서 131건의 취약점이 신고돼 53건에 대해 포상했으며, 총 보상금은 7만5750달러였다. 지금까지 치명적인 취약점은 없었다.

더불어 카스퍼스키는 GTI를 통해 공개된 내용을 고객이 충분히 이해할 수 있도록 사이버 역량 구축 프로그램을 운영하고 있다. 정부·교육기관과 기업에서 사용하고 있는 제품에 대한 보안 평가 메커니즘과 기술을 개발하는데 도움을 준다.

또한 정부·사법기관에서 카스퍼스키에 요청하는 내용을 모두 공개하는 투명성 보고서도 6개월에 한 번씩 공개한다. 그러면서 사법기관에 절대 고객의 개인정보와 민감정보는 제공하지 않으며, 사용자의 데이터와 인프라에 접근은 금지한다고 강조했다. 관련 법과 절차를 준수하도록 보장하고, 사법기관의 모든 요청에 대한 법적 검증을 실시하며, 모든 내용은 문서로 남긴다고 강조했다.

간수진 총괄은 “사이버 공격 수사를 위해 카스퍼스키는 중요한 정보와 자문을 제공하고 있으며, 범죄조직 추적과 검거, 사이버 범죄 재발 방지를 위해 유로폴, 인터폴 및 각국 수사기관과 공조하고 있다. 수사기관은 카스퍼스키와의 협력관계를 존중하고 있다”고 역설했다.

▲카스퍼스키 투명성센터 홈페이지
▲카스퍼스키 투명성센터 홈페이지

“한국서도 경쟁사보다 높은 전문성 인정받아”

한편 미국·독일의 조치에 한국 고객들도 민감한 반응을 보이는 것이 사실이다. 미국·독일 등에 본사를 가진 한국지사나 이 지역에서 사업을 영위하는 기업의 경우 카스퍼스키 제품 사용에 제약을 받을 수 있다는 이유 때문이다.

강하라 카스퍼스키코리아 지사장은 “카스퍼스키 제품 사용 제한은 극히 일부에 해당하며, 대부분의 한국 고객에게는 영향이 없다. 오히려 카스퍼스키가 경쟁사보다 더 넓은 지역에서 전문적인 위협 정보를 제공한다는 점을 인정해 카스퍼스키 제품을 찾는 고객이 늘었다”며 “한국의 카스퍼스키 고객 중 10년 이상 사용해 온 고객도 상당수에 이른다. 충성도 높은 고객의 목소리를 다른 고객들에게도 전달하면서 고객 기반을 넓히고 있다. 더불어 지능화되는 사이버 위협으로부터 고객을 보호하기 위해 관계 기관과 적극적으로 협력하고 있다”고 말했다.

카스퍼스키의 지주회사는 영국 런던에 있으며, 한국지사를 포함한 전 세계 지사 및 사무소는 유한회사로 운영된다. 한국 지사는 싱가포르의 아시아태평양 헤드쿼터에 속해 있으며, 결제를 비롯한 모든 결정은 싱가포르에서 이뤄진다.

간수진 총괄은 “카스퍼스키 전체 매출의 80%가 러시아 이외의 국가에서 이뤄진다. 카스퍼스키는 특정 지역에 국한되지 않는 글로벌 기업으로, 전 세계 200개 이상 국가, 24만개 이상 기업, 4억명 이상 사용자를 보호하고 있다. 엔터프라이즈와 중요 산업시설, 정부·공공기관과 헬스케어, 금융, 오일·가스 등 전 산업에 제품을 공급하고 있다”며 “카스퍼스키는 지난 25년간 사이버 위협 대응을 위해 힘써왔다. 정치적인 환경에 영향을 받지 않았으며, 옳다고 믿는 것에만 집중해왔다. 사이버 보안에 대한 카스퍼스키의 의지는 GTI를 통해 충분히 검증할 수 있을 것”이라고 강조했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.