Photo Image
게티이미지뱅크

보안 솔루션 공급사 에버스핀과 보안 컨설팅 기업 티오리가 제품 취약성을 두고 공방을 벌이고 있다.

지난달 초 보안 컨설팅을 제공하는 박세준 티오리 대표는 국제 해킹·보안 콘퍼런스 'POC 2019'에서 '에버세이프'를 비롯한 주요 보안 솔루션을 분석해 발표했다. 보안 솔루션별 한계점을 소개하고 어떻게 우회가 가능한지 소개하는 내용이다. 티오리는 해커가 악용할 수 있는 취약점을 발견한 것은 아니었기 때문에 각 기업과 발표 전 소통하진 않았다.

에버스핀은 티오리 발표 내용을 받아들이기 어렵다는 입장이다. 에버스핀은 해당 발표 후 해외 고객사에서 항의를 받았다. 에버스핀은 고객사로부터 티오리가 분석한 '에버세이프' 제품이 왜 해킹에 취약하다는 평가를 받았는지 해명을 요구 받았다.

하영빈 에버스핀 대표는 “'에버세이프'가 다른 솔루션에 비해 우회하기 쉽다는 건 받아들이기 어렵다”면서 “소프트웨어(SW) 품질성능 평가시험(BMT)에서 '에버세이프'보다 낮은 평가를 받은 제품이 '하드(어려운)' 또는 '미디엄(중간)' 등급을 받은 반면, 에버세이프에는 '이지(쉬운)' 등급으로 구분됐다”고 토로했다.

에버스핀은 이 일로 해외 사업에 영향을 받고 있다. 에버스핀은 업체별 솔루션을 비교해 실명을 그대로 공개하는 발표에 앞서 티오리가 자사와 소통하지 않은 점을 문제 삼았다. 공정성에 의문을 제기했다. 에버스핀은 티오리와 2년 전 비슷한 사안으로 한차례 갈등을 겪었다.

에버스핀측은 이번에는 강력 대응을 시사했다. 에버스핀은 티오리에 허위사실 유포로 인한 명예훼손 경고장을 보냈다. 에버스핀은 티오리에 대화와 시정을 요구했는데 답변을 받지 못했다고 주장한다.

에버스핀은 '에버세이프'가 해킹된 것이 아니라 '온·오프' 기능이 적용된 서버가 '오프'였을 때, 즉 '에버세이프'가 가동되지 않았을 때 애플리케이션(앱)이 해킹된 것이라고 해명한다. '에버세이프' 자체에 대한 보안성 평가는 이뤄지지 않았다는 것이다.

이에 대해 박세준 티오리 대표는 허위사실을 유포한 사실이 없고 2년 전에도 각사가 입장을 밝힌 후 정리한 사안이라고 일축했다. 티오리는 에버스핀 측 해명이 결국 에버스핀 고객사 앱이 해킹됐다는 것을 스스로 인정한 것으로 본다.

박 대표는 “중요한 건 에버세이프 고객사가 이런 위험에 실제로 노출이 되어있다는 점”이라면서 “이 부분은 에버스핀 측에서도 직접 시연해 증명해버린 상황”이라고 말했다. 이어 “POC 2019 발표는 앱 자체를 해킹한 것이 아니라 앱에 적용된 보안 솔루션 한계점을 발견, 우회가 가능하다는 점을 보이고 필요 기술과 난도를 공유한 것”이라면서 “제보 후 수일 내 정정될 수 있는 취약점과 달리 솔루션 구조나 설계 자체에 대한 한계점이기 때문에 발표 전 전달하는 것으로는 수정을 계획하는데 큰 도움이 되지 못한다고 생각했다”고 부연했다.

이와 함께 티오리는 “당시 검증한 고객사 앱에 적용된 에버스핀 솔루션이 여전히 우회가 가능하며 필요시 공인 기관 또는 콘퍼런스 운영진 중재를 통해 다시 시연해 증명할 수 있다”고 반박했다.


업계에선 이번 분쟁이 보안성 점검과 공개를 둘러싼 법적 선례를 마련할지 주목한다. 한 업계 관계자는 “현재로선 서로 간 핵심 쟁점을 건드리지 않는 '섀도우 복싱' 같은 모습이 연출되고 있다”면서 “양측엔 고통스러운 일이겠지만, 흐지부지 되지 않고 법정에서 사실관계를 명확히 따져보고 판례를 마련하는 것이 보안업계 발전을 위해 도움이 될 것 같다”고 말했다.


오다인기자 ohdain@etnews.com