[국제]"미국, 해외에 소스코드 노출된 SW 공개한다"..미軍 구매 막는 조치될 듯

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

미국 기술기업이 해외 정부가 미 국방부에 사용하는 소프트웨어 제품을 검토했는지 여부를 공개하도록 강제하는 법안이 미 의회를 통과했다고 2일(현지시간) 로이터 통신이 보도했다.

이 법안에는 미 국방부가 외국 정부 기관에 의해 검토된 SW인지 검색할 수 있는 데이터베이스를 만드는 것도 포함했다.

지난 주 미국 하원을 통과한 최종 수정안은 상원을 통과해 도널드 트럼프 미국 대통령의 서명만 남겨뒀다.

이는 지난해 미국 업체들이 러시아 정부에 자사 SW에 일종의 설계도 해당하는 소스코드 접근을 허용했다는 보도가 나오면서 불거졌다. 당시 휴렛팩커드엔터프라이즈, SAP, 맥아피 등의 IT회사들은 러시아 시장에 진출하기 위해 정부 요구에 응한 것으로 알려졌다.

러시아 당국은 보안 제품에 대해 소스코드 검토 후에 해당 제품 수입 및 판매가 가능하다고 했다. 러시아는 외국 스파이의 '백도어' 침입을 막기 위한 것이라고 설명했다.

하지만 이는 해당 제품의 보안 취약점을 찾을 수 있게 한다고 전문가들은 지적했다.

러시아 당국이 검토한 제품들은 미 국방부와 정보기관들을 포함해 미 정부 기관들이 사용하는 제품이기도 하다. 보안 취약점을 발견하게 되면 더 쉽게 미국 정부 시스템을 공격할 수 있다.

실제로 미국 정부는 지난 2016년 미국 대선에 러시아 스파이가 개입했으며, 전 세계적으로 발생한 랜섬웨어 공격 등 해킹사고 일부도 러시아와 관련이 있다고 생각하고 있다.

이 법안 초안을 작성한 진 샤힌 민주당 의원은 성명을 통해 “이러한 공개 권한은 연방 정부 조달 과정에서 중대한 보안 정보 격차를 해소하기 위해 필요하다”면서 “국방부와 다른 연방정부 기관은 해외 소스코드 노출과 우리 국가 보안 시스템을 취약하게 만들 수 있는 위험한 사업 관행을 알고 있어야한다”고 말했다.

업계 일각에서는 이 법이 미 국방부 등 정부기관의 해당 SW 제품 구매를 원천 차단하는 일종의 '사지마 리스트'를 만들 수 있다고 우려했다.

기술기업들이 미 국방부가 납득할 만한 수준으로 해당 제품의 소스코드 보안 위험을 해결하거나 경우에 따라 수출 계약을 파기해야 할 수도 있다는 것이다.

사실상 회사 기밀에 해당하는 내용을 공개하도록 하고, 데이터베이스화한다는 것은 이례적 조치라고 받아들였다. 미 국방부는 제품 구매 시 소스코드 검토 등을 요구하지 않는다.

미 소프트웨어연합의 토미 로스 정책 이사는 “이러한 법은 기업에 미국 시장과 해외 시장 중 하나를 선택해 판매하라고 강요할 수 있다”고 우려를 표시했다.

한편 맥아피는 작년에 더 이상 소스코드 검사를 허용하지 않는다고 발표했다. 휴렛팩커드엔터프라이즈도 자사 현재 SW 중 어떤 것도 이 과정을 거치지 않았다고 밝혔고, SAP는 회사 측의 철저한 통제 속에 소스코드 검토가 이뤄진다고 강조한 바 있다.

김명희기자 noprint@etnews.com