[디지털데일리 김보민기자] 사이버 보안 기업 카스퍼스키가 한국에 신규 '투명성 센터(Transparency Center)'를 설립했다. 러시아에 고객 정보를 넘긴다는 의혹으로 미국 시장에서 철수 수순을 밟은 가운데, 국내 고객을 대상으로 신뢰도를 제고하고 경쟁력을 이어간다는 계획이다.

9일 카스퍼스키랩코리아는 서울 한국지사에 투명성 센터를 개소해 고객, 사업 파트너, 사이버보안 규제당국 관계자들이 자사 제품과 서비스를 경험할 수 있도록 하겠다고 밝혔다.

카스퍼스키는 2018년 스위스에 첫 센터를 설립한 이후 스페인, 네덜란드, 이탈리아, 사우디아라비아, 일본, 싱가포르, 말레이시아, 르완다, 브라질에 영역을 넓혔다. 올해 4월 튀르키예에도 센터를 열었다.

카스퍼스키 투명성 센터는 데이터 검토부터 소스코드 평가까지 사이버 위협과 관련된 내용을 살펴볼 수 있는 공간이다. 서울 센터를 방문하는 이들은 일반적인 각자 필요한 보안 깊이에 따라 검토 옵션을 선택할 수 있다. 대표적으로 ▲카스퍼스키 제품 및 서비스 보안 개발 프로세스와 데이터 관리 관행을 검토하는 '블루 피스트' ▲카스퍼스키 스페셜리스트 도움을 받아 소스코드의 중요 측면을 분석하는 '레드 피스트' ▲카스퍼스키 전문가 도움을 받아 포괄적 소스코드 검토를 수행하는 '블랙 피스트' 등이 있다. 한국에서는 이 세 옵션을 모두 제공한다.

이번 센터 개소는 카스퍼스키에게 남다른 의미가 있다. 카스퍼스키는 미국 정부가 국가 안보를 이유로 자사 백신 프로그램 등 제품 사용을 전면 금지하면서 사실상 현지 시장에서 철수 수순을 밟았다. 러시아 보안업체인 카스퍼스키가 러시아 정부 요청이 있으면 언제든 미국 고객 정보를 수집해 넘길 수 있다는 이유에서다.

어느 때보다 투명성을 강조해 신뢰를 회복할 필요가 커진 것이다. 이효은 카스퍼스키랩코리아 지사장은 6일 취재진을 만나 "(미국의 판매 금지 조치는) 제3자 기관의 평가에 의한 기술적 측면의 결정이 아니다"라고 말했다. 미국과 러시아 간 국가적 문제이지, 카스퍼스키 단일 기업의 잘못이 있었던 것이 아니라는 취지다. 이 지사장은 "미국이 판매 금지 조치를 내린 제품 목록을 보면 위협 인텔리전스(TI)가 빠져 있다"며 "2011년부터 10억개 이상 기기(디바이스)를 보호한 카스퍼스키 없이 북한, 중국, 이란 등 나라에서 오는 정보를 알 수 없다는 점을 방증하는 부분"이라고 강조했다.

러시아 데이터법에 따라 정부가 고객 데이터에 접근할 구멍이 있다는 일부 외신 보도에도 반박했다. 본사에서 정부 업무 및 공공정책을 담당하는 간수진(Genie Sugene Gan) 총괄은 "사실이 아니다"라고 선을 그었다. 간 총괄은 "사이버 공격을 할 수 있는 법집행기관이나 정부로부터 접근에 대한 요청을 받은 적이 있냐고 질문하면 '그렇다'고 답할 수 있지만, 실제 이를 허용하지 않는다"고 부연했다.

카스퍼스키는 '믿을 수 있는 보안기업'으로 자리매김하기 위해 그간 이어온 투명성 전략을 고도화할 계획이다.

대표적으로 글로벌 투명성 이니셔티브(GTI)를 통해 광범위한 정보보안 커뮤니티 및 기타 이해관계자가 제품, 내부 프로세스, 비즈니스 운영 신뢰성을 확인하는 데 참여하도록 지원하고 있다. 또한 보안 문제를 해결하고 있음을 증명할 수 있는 책임 매커니즘을 실현 중이다. 회사의 소스코드, 소프트웨어 업데이트 및 위협 탐지 규칙에 대한 외부 검토와 보안 개발 수명주기에 대한 독립적 검토도 가능하다.

유럽, 북미 및 중남미, 중동, 아시아태평양 지역의 고객을 위해 위협 관련 데이터를 저장하고 처리하는 거점을 스위스로 이전하기도 했다. 간 총괄은 "스위스는 중립성 측면에서 정평이 나 있고, 유럽의 기준을 부합하는 세계에서 가장 엄격한 제도를 운영하고 있다"며 "업계 표준을 준수하는 시설을 갖춰 최고 수준의 보안을 보장한다"고 설명했다.

외부 검토를 위해 소스코드를 공개적으로 제공하기도 한다. 대표적으로 고객과 파트너가 소프트웨어자재명세서(SBOM)를 사용할 수 있도록 공개한 바 있다. 투명성 센터를 통해 카스퍼스키의 내부 프로세스와 데이터 관리 관행을 살펴볼 수 있고, 데이터 보호에 대한 확신 또한 확인할 수 있다고 간 총괄은 부연했다. 이어 "카스퍼스키가 유명한 셰프라고 가정한다면, 레시피를 공개한 것과 마찬가지"라고 강조했다.

카스퍼스키는 독립 평가와 인증을 받을 수 있었던 것 또한 제품 경쟁력의 일환이라고 자신한다. 2019년부터 서비스조직제어(SOC)2 감사를 수행하고 있고, 지난해 바이러스 백신 데이터베이스 개발 프로세스를 보호하기 위한 포괄적 감사를 통과하기도 했다. 정보보안관리 시스템 국제 표준인 ISO27001 인증에도 이름을 올린 바 있다.

이효은 지사장은 "카스퍼스키와 같이 소스코드를 오픈한 뒤, 의심 있는 고객을 초청해 평가를 하게 하는 벤더사는 없다"며 "국내에서도 인텔리전스 사업이 순항 중이며, 관심도 뜨거워지고 있다"고 자신했다.