미상무부산업안보국 BIS가 10월 20일(현지시간) 특정 국가에 해킹 툴 수출과 재수출을 억제하는 걸 목적으로 한 새로운 수출 규제 규정을 도입한다고 발표했다. 국내 사이버 보안 향상을 저해할 것이라는 우려 하에 몇 년 동안 보류되어 온 규칙을 도입하기 위해 당국은 의견 공모를 실시하고 있다.
상무부가 이번에 발표한 규칙은 악의적인 사이버 활동에 사용될 수 있는 특정 품목 수출, 재수출 또는 자국 내에서 이전을 규제하는 것이다. 이는 미국에서 무기 금수 조치를 받고 있는 국가와 국가 안보 우려 또는 대량 살상 무기를 보유할 것으로 의심되는 국가에 대상 품목을 수출할 때 라이선스가 필요하다.
보도에 따르면 라이선스는 예를 들어 이스라엘과 아랍에미리트, 사우디아라비아 등 정부에 특정 품목을 수출하려는 기업은 라이선스가 필요하지만 소프트웨어가 침입 탐지 테스트 등 사이버 보안 목적으로 사용되며 비정부 관계자에 판매되는 경우는 제외한다. 또 중국과 러시아에 수출되는 경우에는 어떤 경우든 라이선스가 필요하다고 적고 있다.
이 규칙 대상에는 이스라엘 보안 기업이 외국 언론인과 고위 관계자 스파이 활동을 위해 개발한 소프트웨어인 페가수스(Pegasus)도 포함되어 있다. 페가수스에 관해선 전 세계 언론인이 피해를 입은 것으로 언론인 단체와 보안 업체 등이 페가수스 공급 업체에 항의하며 정부에 단속을 요청했다.
보도에 따르면 상무부 고위 관계자가 이 규정은 미국 연주가 해외 연구자와 협력해 소프트웨어 결함을 발견하고 보안 업체가 해킹 등 사안에 대응하거나 하는 걸 방지할 수 없다고 말했다는 것. 이 규칙은 국내에서 사이버 분야에서 작업을 방해하는 것 아니냐는 우려에 의해 몇 년간 보류되어 왔다. 당국은 이번 도입에 즈음해 합법적인 사이버 보안 활동을 보장하면서 악의적인 사이버 공격자로부터 미국을 보호하기 위해 적절하게 조정된 접근 방식이라고 밝혔다. 또 당국은 10월 20일부터 45일 기한을 설정하고 이 규칙에 관한 의견을 모집하고 있지만 90일 이후 발효할 예정이다. 관련 내용은 이곳에서 확인할 수 있다.