사이버보안의 치명적 맹점, PE 투자사가 만든 '백도어'

119개 기업이 한 번에 뚫렸다

2021년 2월, 소프트웨어 기업 아이반티(Ivanti)가 발견한 것은 단순한 해킹이 아니었다. 중국 해커들이 자사 자회사 펄스 시큐어(Pulse Secure)의 VPN 소프트웨어에 비밀 백도어를 심어놨다는 사실이었다. 더 충격적인 건 그 다음이다. 이 백도어를 통해 같은 VPN 제품을 사용하는 119개 조직이 일제히 해킹당했다는 것이다.

블룸버그가 새롭게 보도한 내용에 따르면, 해커들은 수십 개 기업과 정부 기관에 VPN 장비를 공급하던 펄스 시큐어의 네트워크를 장악했다. 보안업체 만디언트(Mandiant)도 이 침해를 알고 있었으며, 해커들이 이 취약점을 악용해 유럽과 미국의 군사 계약업체들을 해킹했다고 아이반티에 경고했다고 전해진다.

PE 투자사의 '효율성'이 만든 보안 구멍

이번 사건에서 주목할 점은 해킹 자체가 아니라 왜 이런 일이 가능했는가다. 답은 의외의 곳에 있었다. 바로 사모펀드(PE) 투자사의 경영 방식이다.

2017년 PE 투자사 클리어레이크 캐피털(Clearlake Capital Group)이 아이반티를 인수한 후, 대규모 구조조정이 시작됐다. 특히 2022년 대량 해고는 제품과 보안에 대한 깊은 지식을 가진 핵심 인력들을 겨냥했다. 비용 절감이라는 명목 하에 보안의 최후 보루가 사라진 것이다.

이는 아이반티만의 문제가 아니다. 원격 접속 도구 제공업체 시트릭스(Citrix) 역시 2022년 엘리엇 인베스트먼트와 비스타 에쿼티 파트너스의 인수 후 대규모 정리해고를 단행했고, 이후 연이은 사이버보안 사고에 시달리고 있다.

'국가 비상사태' 수준의 연쇄 해킹

아이반티의 VPN 제품은 이후에도 최소 두 차례 더 대형 공격의 원인이 됐다. 2024년 초, 미국 사이버보안청(CISA)은 모든 연방기관에 아이반티 VPN 장비를 48시간 내 차단하라고 긴급 명령을 내렸다. 당시 아이반티도 모르는 취약점을 해커들이 실시간으로 악용하고 있었기 때문이다.

작년에는 또 다른 치명적 결함이 발견돼 기업 고객들이 해킹당하는 사태가 벌어졌다. 한 번의 실수가 아닌, 구조적 문제임을 보여주는 대목이다.

효율성과 보안, 양립할 수 없는 선택?

PE 투자사들의 논리는 명확하다. 중복 인력을 제거하고 운영을 효율화해 수익성을 높인다는 것이다. 하지만 사이버보안 분야에서 이런 접근은 치명적일 수 있다. 보안 전문가들은 단순히 '비용'이 아니라 조직의 집단 지성이기 때문이다.

특히 한국 기업들도 주목해야 할 대목이다. 국내에서도 PE 투자나 구조조정 과정에서 보안 인력이 우선적으로 정리되는 경우가 많다. 당장 눈에 보이는 매출 기여도가 낮아 보이기 때문이다.