지난 8월 30일 이동 중에 들은 소식이다. 사실이라면 공급망 공격으로 미국을 떠들썩하게 만들었던 솔라윈즈나 카세야 사태의 재발이기에 깜짝 놀랐다. 이후 취재 결과 처음 들었던 것과 달리, 개발사의 실수로 생긴 문제였다. 그런데 헤프닝이라기엔 피해 규모가 너무 크다.
사태의 주인공은 국산 백신 프로그램 ‘알약’의 무료 버전인 공개용 제품이다. 소프트웨어(SW) 기업 이스트소프트가 개발했다. 이스트소프트는 알약을 비롯해 압축 프로그램 ‘알집’ 등으로 익숙한 기업이다. 2016년 보안사업 부문을 분할하며 설립한 이스트시큐리티가 제품 개발 및 업데이트를 맡고 있다.
이스트시큐리티는 8월 30일 알약 업데이트 과정에서 실수로 정상 프로그램을 랜섬웨어로 잘못 인식하도록 설정했다. 그 결과 최신 패치를 적용한 사용자들은 컴퓨터가 ‘먹통’이 됐다. 안전모드로 진입한 후 알약을 제거하는 것으로 해결할 수 있지만, 컴퓨터에 익숙지 않은 다수의 사용자들은 발만 동동 굴렀다.
사건이 발생한 30일과 31일, 노트북 서비스센터는 문전성시를 이뤘다. 서비스센터 직원은 31일 “어제(30일)부터 내방객이 굉장히 늘었다. 대부분이 알약으로 인해 장애를 호소한 이들”이라고 말했다. 알약으로 인해 컴퓨터가 먹통이 돼 서비스센터를 방문한 최 모 씨는 “수리비가 1만7000원이 나왔다. 알약에 책임을 물을 수 있는지 궁금하다”고 전했다.
이스트시큐리티는 사건 당일 사과문을, 또 지난 5일에는 재발방지방안을 홈페이지에 게재했다. 같은 일이 발생하지 않도록 프로세스를 강화하고, 정보보안 전문가 양성 및 보안 교육 프로그램 운영 등 이윤 일부를 사회에 환원한다는 내용을 담았다.
다만 회사가 내놓은 안은 돌아선 소비자들의 마음을 달래기엔 역부족으로 보인다. 이스트시큐리티에 따르면 알약 사용자는 1600만명에 달하는데, 그중 일부만 피해를 입었다고 하더라도 엄청난 규모다.
이스트시큐리티를 변호할 만한 내용도 있다. 우선 공개용 제품의 경우 비영리 목적의 사용자가 설치하는 제품이다. 직장인들이 업무용 컴퓨터에 알약을 설치하는 것 자체가 문제의 소지가 있다. 설치시 회사는 책임을 지지 않는다는 라이센스 계약 내용도 있다.
그러나 이런 말들로 사태를 무마하기에는 피해 규모가 너무 크다. 우선 무료 버전에서만 문제가 발생했다는 점도 소비자들의 불만을 키웠다. 운영체제(OS) 윈도를 쓴다면 굳이 다른 백신 프로그램을 사용할 필요가 없지 않냐는 목소리도 팽배하다.
제품 설치시 필수적으로 동의해야 하는 라이선스 계약내용에 제품의 문제로 피해가 발생하더라도, 회사는 그 책임을 면피하는 조항이 정당한지도 논쟁거리다. 공개용 제품이라고 하지만 이스트시큐리티는 광고를 통해 수익을 거두고 있기에 마냥 ‘베푸는’ 입장이라고 보기는 어렵다.
알약 사태는 보안업계 전반에 영향을 미치는 중이다. 국산 보안 제품에 대한 신뢰를 흔들만한 대형 사건인 탓이다. ‘국산 보안 제품 무용론’이 나올 수도 있다. 국내 보안기업 모두 몸을 사리는 이유다.
무엇보다 2024년 상장을 계획 중인 이스트시큐리티의 타격이 크다. 이스트시큐리티가 그간 악성코드 분석, 북한발 위협 추적 등으로 쌓아온 공든 탑이 무너질 위기에 처했다.