우크라이나-러시아 전쟁으로 인해 기업은 러시아제 보안 및 IT 제품 사용을 중단해야 하고, 계속 사용하는 것이 왜 위험한지 의문을 제기한다. 본지는 보안 책임자, 연구원, 분석가들과 러시아제 보안 및 IT 제품이 기업에 미치는 영향에 대해 논의했다.
엔비지움(nVisium) 연구원이자 인프라 책임자인 숀 스미스는 “도덕적 관점에서만 봐도 기업은 러시아제 보안 및 IT 제품 사용을 중단해야 한다. 하지만 보안 측면에서는 훨씬 암울하다”며, “세상에는 항상 분쟁이 있고, 이런 상황에 대비해 늘 준비를 해야 하지만, 러시아제 제품은 한달 전보다 안전하지 않다”라고 주장했다.
유니온디지털은행 CISO 도미닉 그룬덴은 러시아제 제품과 서비스 사용 중단을 적극 지지했다. 그룬덴은 "도덕적, 인권 관점에서 생각해보자. 기업이 보안 및 IT 제품을 제공하는 러시아 업체에 대가를 지불하면 그 업체는 러시아에 세금을 낸다. 이는 우크라이나를 침공해 사람을 죽이는 러시아 정부와 군대를 직접 지원하는 셈이다”라고 설명했다.
또한 그룬덴은 러시아에 부과된 전 세계 경제 제재를 언급하면서 기업은 소속 국가에서 러시아제 보안 및 IT 제품을 사용하는 것이 법을 위반하지 않는지 확인해야 한다고 조언했다.
DNS필터(DNSFilter) 수석 보안 연구원 피터 로위에 따르면, 기업이 하루빨리 러시아제 보안 제품에서 벗어나야 하는 이유는 러시아와 접속을 차단하는 주요 인터넷 백본을 포함해 현재 러시아에서 철수하는 기업의 수가 증가하고 있기 때문이다. 로위는 “러시아 소재 서버를 사용하는 IT 제품이 간단히 사라질 수 있으며, 이는 서비스 유형에 따라 치명적일 수 있다”라고 설명했다.
대조적으로 싸이웨어(Cyware) 위협 정보 전문가 닐 데니스는 러시아제 제품을 전면적으로 제거할 필요는 없지만, 러시아제 제품이 기업에 미치는 영향은 매우 부정적이라고 말했다. 데니스는 “러시아 IT 업체는 이미 다양한 방면으로 추악한 이력을 갖고 있다”라고 말했다.
러시아제 제품 사용이 위험한 이유
러시아제 제품을 계속 사용하는 위험과 관련해 고려해야 할 중요한 요소가 있다. 그룬덴은 “러시아제 보안 및 IT 제품을 사용한다면 러시아가 해당 기업, 고객, 데이터에 접속하고 잠재적으로 악의적인 목적으로 사용할 수 있다"라고 경고했다.
현재 러시아 법에 따르면, 기업 및 고객 데이터는 보호받지 못한다. 그리고 러시아의 국가 보안 및 사이버보안에 관한 법률은 러시아 정부가 러시아인 보안 서비스를 위해 러시아에서 운영되는 IT 업체를 강제할 법적 근거를 제공한다. 그룬덴은 진짜 위협은 러시아가 기업 내에서 발견된 취약점을 악용하거나 백도어를 통해 접근하는 것이라고 우려했다.
스미스는 러시아인이 개발한 모든 제품과 서비스에 대한 강화된 정밀 조사가 진행되면서 또 다른 문제를 만들고 있다고 말했다. 러시아인이 개발한 플랫폼이 수개월 전보다 안전성이 약화된 것은 아니지만, 조사가 강화됨에 따라 많은 취약점이 발견되고 있다.
가장 큰 보안 위험은 소프트웨어에서 취약점이 발견되더라도 현재 상황으로 봐서는 패치 속도가 매우 느릴 수 있다는 것이다. 기업 입장에서는 긴박하지 않을 때 이전하는 것이 발등에 불이 떨어진 이후에 움직이는 것보다 훨씬 안전할 수 있다.
그룬덴은 기업들이 러시아제 제품 및 서비스 사용을 중단해야 한다고 주장하면서도 기업이 피해를 본다는 점도 인정했다. 러시아제 보안 제품 및 서비스 사용을 즉시 중단하면 기업은 사이버 위협 및 보안 사고를 식별, 보호, 탐지, 대응 및 복구하는 능력이 약화될 수 있다. 그룬덴은 “기업이 보안 또는 기술 제품 및 서비스를 교체하는 데 즉각적으로 자체 비용과 노력이 발생할 것이며, 이는 현재 보안 인력 부족을 고려할 때 상당히 해로울 수 있다”라고 설명했다.
또한 양사간 계약을 해지하면 기업의 신용 등급에 악영향을 줄 법적 결과를 초래할 수도 있다. 최고의 제품 또는 서비스를 선택하는 기업의 능력을 제한하는 것 또한 우려 사항이다.
그룬덴은 "최근 러시아의 우크라이나 침공은 애플, 마이크로소프트, 구글, 아마존, SAP 등과 같은 대기업이 러시아 내 사업을 중단케 하면서 러시아 관련 보안 제품 및 서비스 시장에 즉각적으로 영향을 미치고 있다"라고 말했다.
로위는 "러시아 기업은 가치있는 IT 서비스 및 제품을 많이 제공했다. 초기에는 각 지역에서 사용 가능한 서비스가 줄어들고 러시아 IT 제품을 구매하려는 이들은 정부의 간섭을 받게 될 것이다. 러시아 위협 인텔리전스도 어려움을 겪을 것이다"라고 예상했다.
데니스는 “이로 인해 더 많은 기업이 독립적인 연구를 좀 더 심각하게 받아들이고 빅데이터 공급업체의 정보에만 의존하지 않고, 자체 인텔리전스 역량에 OSINT와 오픈소스 연구를 효과적으로 포함시킬 방안을 모색하게 될 것이다”라고 말했다.
그러나 더 넓은 산업군에 걸친 장기적인 파급 효과에 대해서는 예측하지 않았다. 스미스는 “보안 영역이 워낙 크기 때문에 이번 러-우 전쟁이 보안 제품 시장에 큰 변화를 주지 않을 것이다. 일부 전문가는 러시아 제품에서 다른 국가의 제품으로 바꿀 것이며, 일부는 그렇지 않을 것이다. 또한 일부 중소기업들은 매장을 닫거나 다른 국가로 이전할 지도 모른다. 결국 보안 시장을 크게 보면, 통상적인 비즈니스와 다를 바 없을 것이다"라고 예측했다.
editor@itworld.co.kr