posted by 알짜 정보 岳岩 2019.08.17 06:59

정부 기관에 납품하던 제품의 취약점을 제보한 내부자 해고시킨 시스코
내부 고발 관련 소송이었으나, 부정청구금지법으로까지 판이 커져


[보안뉴스 문가용 기자] 보안 및 네트워크 강자 시스코 시스템즈(Cisco Systems)가 미국 현지 시각으로 7월 31일 미국 부정청구금지법(US False Claims Act) 위반으로 860만 달러의 합의금을 내는 데 동의했다. 시스코는 자사 영상 감시 제품군을 미국 정부 기관에 계속해서 납품하면서 취약점 패치를 제대로 진행하지 않았다고 한다.

[이미지 = iclickart]


시스코는 그 동안 연방 정부 기관, 주 정부 기관 등에 장비를 판매해왔다. 그러다가 2009년 시스코의 영상감시관리자(Video Surveillance Manager) 제품에서 문제가 발견됐다. 당시 보안 컨설턴트였던 제임스 글렌(James Glenn)이라는 인물이 시스코의 파트너로 근무하다가 찾아낸 것이었다. 글렌이 문제를 제기하자 시스코는 그를 해고했고, 제품은 계속해서 여러 정부 기관들에 납품했다고 한다. 여기서부터 오랜 법정 공방이 시작됐다.

법정에 제출된 서류에 의하면 “시스코는 해당 제품을 정부 기관에 특별히 어울리는 제품이라고 광고하고 있고, 실제로 정부 기관을 주요 고객으로 두고 있다는 것을 알고 있으면서도, 정부 기관에서 사용하기에 적절하지 않은 치명적인 보안 오류들을 해결하지 않았다”고 한다. 

오랜 공방 끝에 860만 달러라는 적지 않은 금액을 내게 된 건, 사이버 보안과 관련된 문제가 발생했을 때 기업들이 내야 하는 벌금이 크게 올라간 것과 흐름을 같이 하고 있다. 유럽에서는 7월에 GDPR 위반과 관련해 가장 큰 벌금형이 나왔고, 미국도 이 흐름을 좇아가고 있다. 

또한 보안 솔루션이나 장비에 대한 패치도 판매 기업의 책임이라는 것을 이번 사건은 천명하고 있다. 미국의 로펌 콘스탄틴 캐논(Constantine Cannon)의 변호사 앤 하트만(Anne Hartman)은 “부정청구금지법은 원래 정부 기관이 잘못된 제품을 사게 되는 것을 막기 위해 마련된 법”이라고 설명한다. “이 법에 의해 사업체들이 벌을 받는 건 늘 있어왔던 일입니다. 다만 사이버 보안과 관련해서 이 법이 발동된 건 처음입니다.”

부정청구금지법이 있어서 시스코가 결국 860만 달러를 내게 된 것이라고 법 전문가들은 말한다. 법정 공방의 시작은 위에 설명했듯, 제임스 글렌이라는 인물의 ‘내부 고발’로부터 시작된 것이었다. 이 사건을 맡았던 변호사단이 ‘국가 기관까지도 위험에 처할 수 있는 문제’라고 판단해 판을 키웠고, 그래서 부정청구금지법 위반이라는 혐의까지 적용된 것이다. 시스코는 정부에 일부 금액을 환불하기로 했으며, 이는 860만 달러에 포함되지 않는다. 다만 860만 달러의 20%는 글렌의 몫이다. 

콘스탄틴 캐논의 또 다른 변호사인 매리 인만(Mary Inman)은 “이런 판결은 부적절한 행위를 은폐하려는 기업의 내부자들이 고발을 더 활발하게 할 수 있도록 해줄 것”이라고 말했다. “지금은 모든 사람들이 기술 기업들에 대한 의존도가 높은 생활 패턴을 유지하고 있는 때입니다. 그러므로 기술 기업의 내부자로부터의 더 많은 고발이 필요합니다.”

시스코는 일부 잘못을 인정하고 있지만, “취약한 소프트웨어에 대한 개념이 지난 몇 년 동안 크게 바뀐 것이 큰 요소”라고 주장하고 있다. 시스코의 수석 법무 책임자인 마크 챈들러(Mark Chandler)는 “우리는 항상 세상보다 한 발을 앞에 딛기 위해 노력한다”며 “이번 사건 역시 ‘기본’ 혹은 ‘표준’이 어떤 식으로 변했는지를 잘 드러낸다”고 블로그에 썼다. “그 때는 괜찮았던 게, 지금은 괜찮지 않은 게 됐습니다.”

법정 공방이 8년이나 지속됐는데 합의금 860만 달러로 마무리 된 거면, 그리 큰 금액이라고 볼 수 없다는 의견도 있다. 그러나 시스코는 “문제가 됐던 제품의 시장성이나 수익성을 고려하면 결코 작지 않은 금액”이라는 입장이다. 글렌은 “기업이라면 외부로부터나 내부로부터 자기가 출시한 제품이나 서비스의 단점과 문제점에 대한 이야기를 경청할 줄 알아야 한다”고 말했다.

“보안 전문가들을 ‘문제만 일으키는 부류’로 보는 시각이 존재합니다. 요즘 말로 ‘프로 불편러’ 취급하는 경향이 있죠. 하지만 보안 전문가들 역시 일반 개발자나 사업 경영진과 같은 목적을 가지고 일합니다. 서비스나 제품의 품질을 높이는 것이 바로 그것입니다. 다만 그 목적을 이루기 위한 접근 방식이 조금은 다를 수 있습니다.”  보안뉴스

3줄 요약
1. 8년 동안 진행된 시스코의 법정 공방, 결국 시스코가 860만 달러를 내는 것으로 결론.
2. 원래는 내부 고발자를 해고한 것에서 시작된 다툼. 부정청구금지법으로까지 이어짐.
3. 시스코는 “사업 내 표준에 대한 인식이 바뀐 것”이라고 이번 사건 평.

댓글을 달아 주세요