미 법원이 솔라윈즈(SolarWinds) 소송에서 미국 증권거래위원회(SEC)가 제기한 혐의 대부분을 기각했다. 그러나 핵심 쟁점이었던 회사와 최고정보보안책임자(CISO)에 대한 증권 사기 혐의는 유지됐다. 이번 판결의 주요 내용과 이에 대한 전문가들의 분석을 살펴보자.
보안 기업 솔라윈즈가 지난주 호재와 악재를 동시에 맞았다. 2020년 선버스트 사이버 공격 이후 제기된 SEC 소송에서 대부분의 혐의가 기각되는 성과를 거둔 것이다. 그러나 회사와 CISO를 상대로 제기된 증권 사기(securities fraud) 혐의는 재판에 회부될 예정이다. SEC는 솔라윈즈가 자사의 보안 체계에 대해 허위 주장을 함으로써 현재 주주와 잠재적 투자자를 기만했다고 보고, 이를 근거로 증권 사기 혐의를 제기했다.
이번 재판을 담당한 판사 폴 엥겔마이어는 107페이지 분량의 판결문을 통해 솔라윈즈에 비판을 가했다. 엥겔마이어는 “솔라윈즈의 보안 관련 성명서 내용은 사실상 허위이며 오해의 소지도 담고 있다”라고 지적했다. 또한 판사는 “솔라윈즈의 보안 태세가 일반적인 수준에 미치지 못했다”라고 평가했다. 판사는 솔라윈즈의 보안 관련 주장 중 다수가 ‘명백한 거짓’이라고 언급했다.
엥겔마이어는 “솔라윈즈가 보안이 중요한 소프트웨어 제품을 판매하는 기업이라는 점에서 이들의 허위진술은 매우 심각한 사안”이라며 “내부 비밀번호 관리 정책이 엄격하다고 주장한 보안 관련 공지 사항은 오해의 소지가 있거나 명백한 허위 진술에 해당한다”라고 설명했다.
법원은 또한 솔라윈즈 CISO 티모시 브라운에 대해서도 언급하며 “브라운은 솔라윈즈의 외부에 해명한 사이버 보안 관행이 사실과 다르다는 충분한 증거를 알고 있었음에도 불구하고, 과장된 보안 성명서를 승인하고 배포했다”라고 밝혔다.
기각된 많은 혐의
법원은 증권 사기 혐의에 대해서는 재판을 진행하라고 명령했지만 다른 혐의는 모두 기각했다. SEC는 솔라윈즈의 내부 보안 관행에 대한 허위 진술이 일종의 회계 오류로 간주될 수 있다고 주장했으며, 보도자료와 블로그 게시물에 발표한 내용이 투자자를 오도했다고 표현한 바 있다. 법원은 해당 내용을 모두 기각했다.
브라운은 솔라윈즈 승인 하에 보도자료, 블로그 게시물, 팟캐스트를 통해 여러 발언을 했는데, 법원은 이에 대해 법적 책임을 물지 않았다. 법원은 “해당 발언은 일반 투자자가 진지하게 받아들이기에는 너무 모호하고 실현 불가능한 일종의 기업 홍보성 성격의 표현이었다”이라고 설명했다.
또한 SEC는 솔라윈즈의 공시에 결함이 있다고 주장했는데, 이에 대해 법원은 “SEC의 지적은 솔라윈즈가 보안 위험을 더 상세히 공시해야 한다는 것이다”라며 “그러나 판례법은 그 이상을 요구하지 않는다. 기업이 사이버 보안 조치의 잠재적 취약점을 더 구체적으로 명시할 필요는 없다”라고 설명했다. 법원은 “이번 판결에서도 확인된 바와 같이, 사기 방지법은 주의 사항을 극도로 상세하게 명시할 것을 요구하지 않는다”라고 밝혔다.
법원은 SEC의 회계 관련 혐의도 기각했다. 법원은 “법령의 구조상 SEC의 해석은 타당하지 않다. 법률 문구에서 ‘내부 회계 통제 시스템’이라는 용어는 일반적으로 기업의 재무 회계를 의미한다. SEC는 자신들의 해석을 뒷받침할 만한 사전적 정의를 제시하지 못했다”라고 밝혔다.
솔라윈즈의 보안적 결함
법원은 판결문에서 솔라윈즈의 여러 보안 문제를 지적하기도 했다. 법원은 “솔라윈즈는 높은 보안성을 갖춘 암호를 설정하지 않고, 내부 암호 정책을 지속적으로 준수하지 않았다”라고 표현했다. 판결문에 따르면 솔라윈즈에서 이용하는 일부 제품의 비밀번호는 ‘password’였다. 2019년 11월, 한 외부 보안 연구원은 솔라윈즈에 중요한 보안 문제를 알리기도 했다. 고객에게 소프트웨어 업데이트를 배포하는 아카마이(Akamai) 서버의 비밀번호가 노출된 것이었는데 해당 서버의 비밀번호는 ‘solarwinds123’이었다. 내부 비밀번호 정책을 명백히 위반한 상태였다.
CISO에게 주는 시사점
전 SEC 수석 변호사를 포함한 세 명의 전직 정부 검사는 이번 판결이 CISO와 기업 경영진에 대한 규제 환경을 크게 변화시키지는 않을 것이라고 평가했다.
전 법무부 검사 마크 라쉬는 현재 보안 문제 전문 변호사로 활동하고 있다. 라쉬는 보안 임원들이 많은 혐의가 기각됐다고 기업 및 CISO가 너무 안심해선 안 된다고 표현했다. 동시에 그럼에도 불구하고 솔라윈즈에 대한 혐의 기각은 분명 긍정적인 결과라고 평가했다.
라쉬는 “일부가 기각되더라도 여전히 남아있는 혐의가 유죄 판결이 나면 치명적인 결과를 맞을 수 있다”라며 “사실 머리에 열 발의 총알을 맞는 것과 두 발을 맞는 것은 큰 차이가 없지만, 그럼에도 기업 및 CISO 입장에서 두발만 맞는 편이 낫다”라고 표현했다.
라쉬는 “이번 사건을 통해 배울 점은 CISO는 이사회와 고위 경영진에게 보안 위험성을 더 알리려고 노력해야 하며, 제3자와 투자자에게 전달하는 자료에도 이런 보안 위협 정보가 정확히 반영해야 한다는 것이다”라고 강조했다.
전직 연방 검사이자 현재 컨설팅 기업 EY의 사이버 보안 전략 총괄 상무이사인 브라이언 레빈도 라쉬의 의견에 동의했다. 레빈은 “솔라윈즈 입장에서는 좋은 결과가 아니었다”라며 “법원이 심각한 혐의인 증권 사기 연루 사실을 확인했기 때문”이라고 설명했다.
그러나 레빈은 이번 판결이 솔라윈즈에게 좋은 소식이라기보다는 SEC에게 불리한 결과라고 해석했다. 레빈은 “SEC와 같은 기관은 대부분 소송을 제기하고 패소하는 일에 익숙하지 않다”라며 “법원이 SEC의 주장 중 상당수를 과도하거나 부적절하다고 판단한 것은 이례적이다. SEC 내부에서는 앞으로 검증되지 않은 이론을 얼마나 공격적으로 사용할지 재고하게 될 것”이라고 전망했다.
레빈은 이번 판결이 기업 보안 책임자들에게 작은 교훈을 줄 것이라고 보았다. 레빈은 “현명한 CISO라면 외부에 공개적으로 밝히는 자료에서 더 신중하게 발언하려고 노력할 것”이라며 “보안에 대해 공개적으로 언급할지에 대한 결정도 보다 신중히 고민해야 한다”라고 조언했다. 특히 레빈은 보안과 관련된 공개 발언이 부정적인 결과를 초래할 수 있다고 경고했다.
워커 뉴웰은 5년간 SEC의 수석 변호사로 일하다 2020년에 퇴임한 인물이다. 현재는 보험 중개 및 컨설팅 회사 우드러프 소여(Woodruff Sawyer)의 소송 및 집행 담당 부사장으로 재직 중인 뉴웰은 이번 판결이 기업들에게 보안 관련 주장에 대한 경각심을 줄 것으로 보았다.
뉴웰은 “이번 판결은 정부의 증권 사기 혐의를 강력히 뒷받침하는 것”이라며 “솔라윈즈와 CISO가 약식 판결에서 혐의를 기각받기는 어려울 것”이라고 전망했다. 뉴웰은 “이번 판결로 인해 상장 기업들은 사이버 보안 관련 공개 발표와 외부 자료를 SEC 신고서만큼 신중하게 작성해야 한다는 점이 분명해졌다”라고 강조했다.
뉴웰은 또한 “보안 책임자는 법무팀 및 커뮤니케이션 팀과 긴밀히 협력해야 한다. 회사의 보안 태세에 대한 외부 설명과 실제 보안 상황 사이의 불일치가 없는지 면밀히 검토해야 한다”라며 “사이버 보안 통제에 대해 회사가 법적으로 요구되지 않는 발언을 할 때, 해당 발언이 나중에 보안 침해 사건이 발생했을 때 회사에 불리하게 사용될 수 있다는 점을 미리 인지하고 있어야 한다”라고 밝혔다.
dl-ciokorea@foundryco.com
