이원영 기자
디지털 증명서를 발행하는 인증국 중 엄격한 심사 하에 자신의 정당성을 증명할 수 있는 인증국이 루트인증국이다. 이 루트 인증 기관 중 하나로 알려진 트러스트코(TrustCor)는 미국 첩보 기관, 법 집행 기관과의 연결성이 있음을 지적하고 인증 시스템 남용이 있었을 가능성이 우려되고 있다.
파나마에 남겨진 기록 문서에 따르면 트러스트코는 스파이웨어를 개발하고 있던 미국 기업과 같은 임원, 에이전트, 파트너와 관련이 있는 것으로 나타났다는 것. 회사명은 밝혀지지 않았지만 회사 계열사로 패킷 포렌시스(Packet Forensics)라는 명칭이 올랐다. 이 회사는 네트워크 모니터링 기업으로 알려져 있으며 10년 이상 미국 정부 기관에 통신 차단 서비스를 판매해왔다.
또 트러스트코의 또 다른 파트너로 레이몬드 사우리노라는 인물이 보유한 기업이 있다고 지적됐다. 사우리노는 과거 패킷 포렌시스 홍보 담당자로도 활약하고 있으며 최근에는 미 국방부를 위해 1억 7,500만 이상 IP 주소를 관리하던 기업인 글로벌리소스시스템즈(Global Resource Systems) 홍보 담당으로 이름을 올렸다고 한다. 미 국방부가 왜 IP 주소 관리를 위탁했는지는 밝혀지지 않았지만 당시에는 잠재적 취약성 특정 등으로 설명되고 있었다.
보도에선 이와 같은 계열사와의 연결이 폭로되면서 이 결과는 트러스트코가 미국 감시 활동을 추진하기 위해 권력을 남용하는 게 아닐까 우려를 안게 하는 것이라고 밝히고 있다. 그 밖에 트러스트코는 한 파나마 기업(Measurement Systems)과도 연결되어 있다고 한다. 이 기업은 이전에 앱에 코드를 넣어 개인 정보를 채취하고 있었다고 보도된 곳으로 코드가 포함된 앱은 구글에 의해 삭제됐다.
보도에선 트러스트코 주소를 조사한 결과 트러스트코와는 무관한 기업인 것으로 밝혀졌으며 전화번호나 이메일 주소도 작동하지 않는다고 한다. 미 국방부는 의견 요청에 응하지 않았다. 한편 트러스트고 임원은 정부의 정보 요구에 협력한 것도 제3자 고객 감시를 실시하는데 협력한 적도 없다고 밝히고 있다. 이 보고서를 통해 모질라는 깊은 우려가 있다면서 다만 트러스트코에서 발급한 인증서가 악용됐다는 증거는 아직 없다면서 피해로부터 보호하기 위해 필요한 조치를 취할 것이라고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
