미국 의회에서 정부의 사이버무기 보유를 억제하는 법안이 발의됐다. 국가안보국(NSA)의 윈도 운영체제(OS) 제로데이 취약점 보유 행태가 전세계를 휩쓴 랜섬웨어 '워너크라이(WannaCry)' 사태를 키운 배경으로 작용했다는 판단에서다.
미국 지디넷은 17일(현지시간) 몇몇 초당파 입법가들이 정부 소유 해킹툴의 대규모 유출을 막기 위한 법안을 발의했다고 보도했다. 제출된 법안은 정부가 공격적인 사이버무기를 감축하는(to scale back) 목표를 담았다고 설명했다.
법안 명칭은 약칭 패치법(PATCH Act), 풀어 보면 '해킹 대응력 보호법(Protecting Our Ability to Counter Hacking Act)'이다. 정부 감청 및 정보수집 활동을 위해 표적 컴퓨터와 네트워크에 사용할 목적으로 미공개 제로데이취약점을 수집하는 행위에 제동을 거는 성격이다.
기존 법은 정부 기관이 발견한 보안취약점을 해결할 수 있는 사람들에게 공개할만큼 충분히 심각한지를 판단하는 절차를 정의하고 있지만, 그 판단 규정은 대부분 비밀로 남겨 뒀다. 이 규정은 취약점을 첩보 목적으로 사용할지, 공개할지 여부를 비밀리에 결정하는 '취약점형평절차(VEP)'에 의해 관리되고 있다. 패치법은 VEP와 관련 절차의 투명성을 강화하는 내용을 담고 있다.
법안을 발의한 의원들은 비밀스러운 하드웨어 및 소프트웨어 취약점이 더 공개적으로 알려지고 수정돼야 한다는 데 뜻을 모았다. 더불어 이로써 미국의 전반적인 사이버보안 건전성이 강화될 것이라고 기대하고 있다.
법안을 발의한 위스콘신주 론 존슨 공화당 상원 의원은 "정부는 제로데이 보안취약점을 가능할 때마다 벤더에게 알릴 필요가 있으며, 패치법은 정부가 보안취약점 공개 필요성과 다른 국가안보이익의 즉각적인 균형을 맞출 것과 동시에 절차적으로 공공의 신뢰를 유지하기 위한 투명성과 책임성을 높일 것을 요구한다"고 설명했다.
법안은 하와이주 브라이언 샤츠 민주당 상원의원, 콜로라도주 코레이 가드너 공화당 상원의원, 캘리포니아주 테드 리우 민주당 하원의원, 텍사스주 블레이크 파렌솔드 하원의원의 지지를 받고 있다.
리우 하원의원은 성명을 통해 "지난주 NSA 맬웨어에 기반한 글로벌 워너크라이 랜섬웨어 공격은 공격적인 무기를 개발하기 위한 기술적인 보안취약점을 축적하는 것이 우리 경제와 국가 안보에 중대한 위험을 초래한다는 것을 상기시키는 계기가 됐다"며 "또한 현 정부가 소프트웨어 취약점을 언제 수집하고 언제 공개할지 결정하는 절차가 미국 국민들에게 불투명하고 무책임하다는 점도 드러냈다"고 덧붙였다.
보도는 전세계 컴퓨터를 대량 감염시킨 워너크라이 랜섬웨어에 사용된 사이버무기를 통제하지 못해 발생한 대규모 사이버공격 이후 입법가들이 국회에서 이 기회를 적극 활용하고 있다고 평했다. NSA가 국가안보를 명분삼아 소프트웨어에 침입할 수 있는 취약점을 찾고 수집해 왔으며 미국과 동맹국 정부가 이런 일을 하고 있다는 건 비밀이 아니라고 지적했다.
미국 지디넷은 NSA가 정부의 전자적 도청활동 대부분을 NSA가 수행하는 동시에 사이버보안 수호 책임을 지고 있으며, 이 기관은 과거에 10건 중 9건의 보안취약점을 공개하고 있다고 밝혔지만, 먼저 그걸 사용하는지는 밝히지 않았다고 지적했다. 또 전직 NSA 직원이었던 내부고발자 에드워드 스노든이 폭로한 기밀 문서에서도 이런 정부기관이 정보수집을 목적으로 보안취약점을 찾거나 구입해서 침입을 수행하고 있다는 내용이 있었다고 설명했다.
미국의 사이버보안업체와 민간조직은 이 법안 지지 의사를 밝히고 있다.
웹의 개방성과 인터넷 이용자의 프라이버시 보호를 강조하는 비영리재단이자 웹브라우저 파이어폭스를 개발하는 모질라는 공식 블로그를 통해 "VEP는 여전히 비밀로 가려져 있는데, 투명성, 책임성, 감독을 보장하기 위해 개정돼야 한다"면서 "패치법에는 투명성과 책임성을 높이기 위한 법의 성문화를 비롯한 많은 개정 사항이 포함돼 있다"고 평했다.
관련기사
- 랜섬웨어 사태…'보안 리터러시'도 문제다2017.05.18
- 워너크라이 랜섬웨어, 결제하면 복구될까2017.05.18
- 랜섬웨어 워너크라이 피해 현황은2017.05.18
- 랜섬웨어 공격 북한 배후설, 사실일까2017.05.18
사이버보안업체 맥아피, 마이크로소프트와 시만텍과 인텔 등을 대표하는 사이버보안정책법제연합, 민주주의와기술센터, 뉴아메리카의 개방기술연구소(OTI) 등에서도 법안 지지 의사를 밝혔다.
케빈 뱅스턴 OTI 디렉터는 "지난주 워너크라이 공격이 입증했듯이 정부가 널리 사용되는 소프트웨어 제품 관련 보안취약점 정보를 자체 사용 목적으로 비축할 때마다, 그 소프트웨어 사용자는 모두 다른 이들의 공격에 노출된다"며 "초당적인 패치법은 법집행 또는 정보수집을 위해 보안취약점을 사용할 때와, 개발업체에 그걸 패치할 수 있게 공개할 때를 저울질하는 정부의 결정이 행정부 재량의 즉흥적인(ad hoc) 절차에 달리지 않도록 보장할 것"이라고 평했다.