• 미연방정부는 러시아기업 카스퍼스키사의 보안SW가 연방정보시스템을 침해하여 국가 안보의 위협이 될 수 있다며 연방정부기관 내 동 사의 모든 제품퇴출을 결정
  • 백도어로 인한 보안문제는 국가 안보문제로 확대되어 가는데 국내에선 이에 대한 대비가 미흡하여 법제도 측면의 보완이 필요함

퇴출법 제정으로까지 이어진 카스퍼스키 백도어 사태1

  • 러시아 보안SW기업인 카스퍼스키사의 SW에서 백도어가 발견되자 트럼프 정부는 해당 기업의 모든 제품을 연방정부기관으로부터 퇴출시키는 조치를 시행
    • 미국 국토안보부(Department of Homeland Security)는 강제력이 있는 운영지침(Binding Operational Directives)2을 통해 카스퍼스키사의 모든 제품을 퇴출시킴
    • 미국 연방의회에선 카스퍼스키사의 모든 제품을 연방정부기관에서 금지하는 국방수권법(National Defense Authorization Act) 개정안3을 통과시킴
<참고> 카스퍼스키사의 백도어

백도어(Backdoor)란 시스템의 보안이 제거된 비밀통로로 유지·보수 편의를 위해 시스템 설계자가 고의적으로 만들어 놓은 것을 의미하며 악용될 경우 보안시스템에 큰 취약점이 된다. 문제가 된 카스퍼스키사의 보안·안티바이러스 SW는 바이러스 점검 및 위험감지를 위해 시스템에 대한 높은 권한과 수집한 정보를 카스퍼스키 본사로 보내는 기능을 가지고 있는데 백도어를 통하면 이러한 기능을 통해 시스템에 저장된 기밀정보를 편취하는 것이 가능하다.

※ 출처 : TTA 정보통신용어사전 / The New York Times(2017.10.10.), How Israel Caught Russian Hackers Scouring the World for U.S. Secrets

  • 위헌적 조치 혹은 정치·외교적 조치라는 반발에도 카스퍼스키사의 제품은 퇴출되고 있고 연방지방법원도 연방정부와 의회의 결정을 지지함
    • 카스퍼스키사는 운영지침과 개정 국방수권법이 모두 위헌이라 주장하며4 소를 제기 하였으나 연방지방법원은 이를 모두 각하함
    • 카스퍼스키 백도어 사건은 국가안보차원의 문제로 다뤄지고 있고 이러한 인식은 유럽으로 넘어가 현재 진행 중임
<표 1> 카스퍼스키 사건 경과
일시 내용
2017년 초 미국 FBI는 카스퍼스키와 러시아 정부와의 관계 조사
2017.09.13. 국토안보부는 운영지침을 통해 각 연방정부기관에 90일 이내 카스퍼스키사의 제품 사용을 중단하고 이를 제거할 세부계획을 수립하라고 발표
2017.09 카스퍼스키사는 이에 대해 즉각 반발하며 러시아 정부 및 세계 모든 정부와 관계를 부정
2017.12.12 미국 상원에서 통과된 카스퍼스키 퇴출법안에 트럼프 대통령 승인
2017.12 카스퍼스키사는 워싱턴 D.C. 연방지방법원에 운영지침을 취소하는 소와 자신의 권리침해에 대한 예비적 금지명령을 신청
2018.02. 카스퍼스키사는 국방수권법 역시 헌법에 위배된다고 주장하며 별도의 추가 소를 제기
2018.05.30. 워싱턴 D.C. 연방지방법원은 카스퍼스키사의 위 두 소를 모두 각하(Dismissed)함
2018.06.13. 유럽의회(European Parliament)는 EU 기관에서 카스퍼스키사의 제품을 퇴출할 필요가 있다는 내용이 언급된 정보보안에 관한 보고서5를 채택6

끊이지 않는 국내외 백도어 사례

  • 국내외에서 백도어 사고가 계속되고 있는 가운데 해외에선 백도어 사고가 국가안보문제로 확대되는 경향을 보임7
    • 외산 제품에 의한 백도어 사고의 경우 증거 수집이 어렵고 제조기업들의 해명이 불분명한 경우가 많아 배후에 대한 의혹이 제기되는 경우가 많음
    • 카스퍼스키, Lenovo와 같이 대형 기업 제품의 백도어 사고의 경우 피해 규모가 상당하고 정부기관에 공급되는 제품도 많아 국가 차원의 문제로 확대됨
    • SW 및 ICT제품의 공급망 구조가 복잡해지면서 공급사슬공격(Supply Chain Attack8)이 증가되는 점도 백도어 사고 증가에 한 몫을 함9
  • 국내 백도어 사고의 경우 개인정보 및 사생활 유출에 관한 사안이 많으며 피해의 정도가 심각함
    • 중국산 IP-Camera, CCTV의 백도어 사건의 경우 개인에게 있어 심각한 사생활 침해 피해를 발생시킬 우려가 존재함
    • 옥션 개인정보 유출사고의 경우 1,081만 명의 ID, 비밀번호 및 일부 사용자들의 거래내역 등이 유출되어 2차 피해 가능성도 발생함
<표 2> 국내외 백도어 사례
기업 사건 내용
Shanghai Adups Technology10

(경위) 상해에 본사를 두고 있는 SW기업으로 미국 저가 스마트폰 브랜드인 BLU에 SW를 공급. 이후 BLU 스마트폰에서 백도어가 발견

  • BLU社는 고의가 아니었다고 해명하며 업데이트를 통해 즉각 이를 삭제하였으나 Adups사는 구체적인 해명을 하지 않음
    • 백도어 사고에 대하여 사후적인 책임규명이 어려움을 보여주는 사례. 해당 기업은 중국의 여러 스마트폰 업체들에 SW를 공급하는 것으로 알려짐
Lenovo11

(경위) 2013년 영국 정보기관에 의해 Lenovo사 PC제품 내 반도체칩에서 백도어가 발견, 2015년엔 Lenovo사 제품에서 애드웨어(Adware)12가 발견되어 결국 미국 연방 거래위원회로부터 350만 달러의 과징금을 부과4

  • 최대주주가 중국 정부기관인 기업으로 중국정부와의 연관성으로 보안성의 의심을 받아오던 중 실제 백도어가 발견
    • 이미 2013년 이전부터 영국과 미국의 주요기관에선 Lenovo사 제품사용을 금지하여 피해를 최소화
Juniper Networks14

(경위) 미국 네트워크HW 기업으로 네트워크 보안장비에서 도·감청에 악용될 수 있는 백도어가 발견

  • 발견사실이 알려진 후 Juniper Networks사는 긴급 업데이트를 통해 백도어를 제거하였으나 이미 3년 동안 백도어가 노출
    • 3년 동안 보안 취약점이 노출되었음에도 피해규모나 피해사실도 확인하기 어려움
TP-Link, D-Link15

(경위) 각각 중국, 대만 기업으로 해당 기업에서 제조한 IP카메라와 CCTV에서 백도어가 발견. 해당 기업들의 제품들은 국내에서도 판매 중

  • 해당 기업들의 제품에서 백도어를 발견해낸 국내 연구진(NSHC, KAIST)의 보고서에 따르면 백도어를 통해 영상정보 저장·전송은 물론 제품이 설치된 내부망의 다른 시스템에도 침투가능
    • IT카메라 같은 영상 장비의 백도어는 심각한 사생활 침해로 이어질 수 있음에도 아직도 저가의 중국산 IP카메라들이 판매 중
    • 미국·영국 등에선 중국산 IP카메라의 보안 취약점을 인식하고 있으며 미국 연방 조달청에선 중국산 IP카메라를 공급금지 품목으로 규정16
옥션 개인정보유출 사고17

(경위) 2008년 1월 중국인 해커들이 옥션의 WAS서버에 침입 백도어 프로그램을 설치하여 이를 통해 가입자들의 개인정보를 유출

  • 본 사건은 해커에 의한 백도어 설치 사례이나 1,081만 명의 개인정보가 유출되어 대규모 피해가 발생한 사건
    • 한편 옥션 측에 대한 보안책임을 근거로 정보유출 피해자들이 제기한 민사상 손해배상 청구소송은 옥션 측 승소로 확정
      • 대법원은 옥션이 법률·계약상 또는 사회통념상의 보호조치를 다한 것으로 보아 옥션의 손해배상책임을 부정

백도어 위협이 커지는 국내 시장

  • SW 및 ICT제품의 글로벌화로 인하여 공급사슬공격을 통해 백도어가 설치된 제품이 국내로 쉽게 유입
    • 공격의 대상이 되는 주요 기관들의 정보보안수준이 높아지자 상대적으로 보안이 취약한 공급·개발단계를 표적으로 삼는 공급사슬공격이 급증18
    • 글로벌 SW, ICT제품의 경우 공급망을 투명하게 확인하는 것이 어렵기 때문에 백도어 사고가 발생하여도 누구의 소행인지 분간이 어려움
  • 중국발 백도어 사건이 많이 증가하는 가운데 중국 ICT제품의 글로벌시장 점유율이 높아지고 있는 점도 유의
    • 중국의 경우 국가안보를 위해 자국민들의 개인정보를 수집하고, 비상 시를 대비 ICT기기에 백도어를 설치19해두기도 하는바, 중국 내수용 제품의 경우 상대적으로 보안이 취약할 수 있음
    • 중국의 경우 아직 개인정보보호에 대한 의식이 낮은 점도 제품의 보안성 약화에 원인이 됨
<표 3> 중국의 ICT부문별 세계 수출점유율 추이 (단위 : %)
구 분 2001 2005 2010 2013 2014 2015 2016
정보통신방송기기 6.1 15.9 24.6 29.9 29.6 31.0 32.1
정보통신방송기기 전자부품 4.0 11.1 17.8 24.6 22.1 24.0 23.0
컴퓨터/주변기기 6.5 24.6 38.4 42.7 42.1 40.4 43.3
통신/방송기기 5.6 15.5 33.3 42.7 44.3 46.5 51.7
영상/음향기기 13.7 28.4 28.9 32.4 34.2 36.7 39.7
ICT응용기반기기 6.3 11.0 16.9 20.2 21.1 22.7 23.7

※ 세계 ICT 품목별 수출 총량에서 중국의 점유비중

※ 출처 : 중국의 ICT부문별 글로벌 수출점유율 추이(2017, IITP)

  • 공공부문 역시 SW와 ICT제품의 국산화가 충분히 되어있지 않아 백도어 위험에서 안전하다고 보기 어려움
    • 공공부문에 도입된 ICT제품 중 국산제품의 비율은 HW가 28%이고 SW가 42%임
    • 공공부문의 주요 기관에서 외산 장비를 도입하는 것은 신중해야 한다는 의견이 있음20
<표 4> 하드웨어 유형별 국산화 현황 (단위 : 개, %)
하드웨어 유형 국 산 외 산 합 계
수량 비율 수량 비율 수량 비율
서 버 7,415 (10.29) 64,617 (89.71) 72,032 (100.00)
스토리지 448 (4.25) 10,096 (95.75) 10,544 (100.00)
백업장비 34 (1.28) 2,628 (98.72) 2,662 (100.00)
정보보호 22,094 (91.07) 2,166 (8.93) 24,260 (100.00)
통신장비 25,151 (28.66) 62,598 (71.34) 87,749 (100.00)
기 타 2,754 (45.60) 3,285 (54.40) 6,039 (100.00)
전 체 57,896 (28.48) 145,390 (71.52) 203,286 (100.00)
<표 5> 소프트웨어 유형별 국산화 현황 (단위 : 개, %)
소프트웨어 유형 국 산 외 산 합 계
수량 비율 수량 비율 수량 비율
운영체제 600 (1.40) 42,170 (98.60) 42,770 (100.00)
DBMS 1,674 (9.27) 16,379 (90.73) 18,053 (100.00)
WEB/WAS 8,595 (38.10) 13,934 (61.90) 22,559 (100.00)
백업 2,386 (22.36) 8,285 (77.64) 10,671 (100.00)
정보보호 22,956 (96.30) 881 (3.70) 23.837, (100.00)
관제 11,927 (90.92) 1,191 (9.08) 13,118 (100.00)
기 타 20,990 (63.38) 12,127 (36.62) 33,117 (100.00)
총합계 69,128 (42.12) 94,997 (57.88) 164,125 (100.00)

※ 출처 : 2018 공공부문 정보자원 현황 통계 보고서(행안부, 한국정보화진흥원)

백도어에 대한 국내 예방규정 미비

  • 과거 백도어 문제가 발생했던 제품 혹은 제품의 제조 기업에 대해 제재 혹은 감시·감독을 할 수 있는 법적 근거 불분명
    • ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에서 정보통신망침입죄를 규정21, 백도어를 악용하여 정보통신망에 침입한 자 또는 그 미수범을 처벌할 수는 있음
    • 그러나 제조사가 악의적인 목적으로 백도어를 설치했다 하여도 ‘설치’만을 이유로 이를 처벌하기에는 해석상 한계가 존재하여 비난가능성이 있는 행위는 발생하였으나 이를 처벌하거나 제재할 수 있는 근거규정이 없는 공백(이른바‘법의 흠결’)이 발생할 우려가 있음22 23
      • 예비죄를 처벌하는 규정을 포함할 경우 이를 처벌할 수 있는 근거가 될 수 있으나 현재 정보통신망침입죄의 예비범 처벌규정은 없음
      • 공급망 공격에 따른 백도어 사고 발생 시 제조사가 이를 인식하면서도 적극적인 조치를 취하지 않은 경우엔 제조사를 방조죄로 처벌은 가능
  • 조달청 지침인‘네트워크 장비 구축·운영사업 추가특수조건’24에선‘백도어’를 명시적으로 언급하고 있으나, 조달 과정에서의 주의 및 시정의무만을 부과
    • 해당 규정 위반 시 계약 해제·해지 및 부정당업자로 입찰참가자격 제한처분을 내리는 것이 가능
    • 그러나 법률에 따른 처벌규정이 아니기에 제재 수위가 낮고 사전 대응의 법적 근거가 되기 어렵다는 한계점 존재

시사점

  • 국제적으로 백도어 보안문제는 개인정보보호는 물론 국가 안보의 문제로 중요하게 다뤄지고 있음
    • 보호주의에서 비롯된 혹은 정치·외교적 고려가 개입된 조치라는 비판도 있으나, 백도어 사고 발생 시 중대하고 회복할 수 없는 피해를 초래
    • 미국과 유럽이 카스퍼스키 제품에 대해 향후 어떤 식으로 대응해 나가는지를 유의 깊게 참고하여25 우리나라도 정보보안 관련 법제도를 정비할 필요가 있음
  • 경제·외교적 문제가 까다롭게 얽혀 있는 만큼 특정 국가 혹은 기업에 대한 제재는 어려울 수 있으나 사후적으로 사고를 수습하는 것은 한계가 있으므로 국내외에서 백도어로 인한 보안 이슈 발생 시 신속히 대응할 수 있는 제도와 이를 위한 법적 근거 구비가 필요
<참고 1> 미국 국토안보부의 운영지침 17-01(Binding Operational Directives 17-01) 발표

<미국 국토안보부의 운영지침 17-01 중 일부 내용>

 

운영지침은 부서 및 기관에 대해 30일 이내에 그들의 정보시스템상 카스퍼스키 제품의 사용 또는 존재를 확인할 것을 요청하고, 이후 60일 이내에 현재 사용 중인 또는 사용할 예정인 제품을 제 거·중단할 세부계획을 세울 것을 요청한다. 그리고 국토안보부의 새로운 정보에 기초한 지시가 없 는 이상 본 지침의 90일 후부터 정보시스템상 제품의 사용중단 및 이를 제거하는 기관 계획의 실행에 착수한다.

 

해당 조치는 연방 정보 시스템상의 카스퍼스키 제품사용에 따라 발생하는 정보보안위험에 기초한다. 카스퍼스키 안티바이러스 제품 및 솔루션은 광범위한 파일 접근 및 SW가 설치된 컴퓨터에서 권한 상승을 제공하는 데, 이는 악의적인 사이버 공격자에 의해 정보시스템을 침해하는 데 악용될수 있다.

 

국토안보부는 카스퍼스키 관계자와 러시아 정보기관이나 다른 정부기관 사이의 유대관계, 그리고 러시아의 정보기관이 카스퍼스키에게 협조를 요청·강제하거나 러시아 네트워크를 통과하는 통신을 감청하는 것을 허용하는 러시아 법의 요건 대해서 우려하고 있다. 러시아 정부가 독자적으로 혹은 카스퍼스키와 협력하여 제품에서 제공되는 접근권한을 이용하여 연방정보와 정보시스템을 위태롭게 만들 수 있다는 점은 미국 국가안보의 위험을 암시한다.

※ 출처 : 미국 국토안보부(2017.09.13.) www.dhs.gov/news/2017/09/13/dhs-statement-issuance-binding-operational-directive-17-01

<참고 2> 국방수권법(NDAA, National Defense Authorization Act) 섹션 1634의 내용

<섹션 1634> 카스퍼스키 랩으로부터 개발되거나 생산된 제품과 서비스의 사용 금지(Prohibition on Use of Products and Services Developed or Provided by Kaspersky Lab)내용 중 일부

 
  • (a) 금지 - 다음에 기재된 자가 개발하거나 제공하는 모든 하드웨어, 소프트웨어 또는 서비스의 전부 혹은 일부분에 대하여 부서, 기관, 조직 또는 다른 연방 정부의 요소(Element)는 직접적으로 또는 함께 또는 다른 부서, 기관, 조직, 다른 연방 정부의 요소를 위해 사용할 수 없다.
    • (1) 카스퍼스키 랩(또는 모든 승계인)
    • (2) 카스퍼스키 랩을 지배하거나, 카스퍼스키 랩의 지배 아래 있거나 카스퍼스키 랩의 공동지배를 받는 모든 자
    • (3) 카스퍼스키 랩이 과반수의 지분을 보유하고 있는 모든 자
  • (b) 발효일 - (a)항의 금지는 2018년 10월 1일부터 효력이 있다.
<참고 3> 국내‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’내용 중 일부

제48조(정보통신망 침해행위 등의 금지)

  • ① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.

제71조(벌칙)

  • ① 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다.
    • 9. 제48조제1항을 위반하여 정보통신망에 침입한 자
  • ② 제1항제9호의 미수범은 처벌한다.

제75조(양벌규정)

법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조부터 제73조까지 또는 제74조제1항의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.

<참고 4> 네트워크 장비 구축·운영사업 추가특수조건(조달청 지침 제527호 제정 2016. 1. 22) 내용 중 일부

제4조(계약상대자 정보보안 준수 의무)네트워크 장비 구축 또는 네트워크 장비 운영사업의 계약 상대자는 다음 각 호를 따라야 한다.

  • 1. 국가정보원「국가 정보보안 기본지침」,「수요기관 보안업무규정및 세부 지침」등을 준수해야 한다.
  • 2. 네트워크 장비에 대해 제안요청서에서 요구된 세부 보안요구사항을 충족하기 위해 필요한 모든 조치를 취해야 한다
  • 3. 네트워크 장비에 대해 계약기간(하자보증기간 포함) 내에 백도어 등 모든 기능상 보안취약점 등의 결점에 대해서는 개선 조치하여야 한다.
  • 4. 네트워크 장비 내에 백도어 등이 설치 및 운영되지 않도록 보안대책을 마련하여 주기적으로 점검하여야 하며, 점검결과 결점이 발견될 경우에는 계약담당공무원 또는 수요기관에 즉시 신고하고 신속히 개선 조치하여야 한다.

제5조(위반자에 대한 벌칙)제4조를 위반할 경우 민사상 손해배상 외에「국가를 당사자로 하는 계약에 관한 법률」제27조 등 관계 법령에 따라 부정당업자로 입찰참가자격 제한처분을 받을 수 있고, 용역계약일반조건제29조 및 물품구매(제조)계약일반조건 제26조에 따라 당해 계약을 해제 또는 해지할 수 있다.

  • 1 1997년 유진 카스퍼스키 등이 설립한 다국적 바이러스백신, 보안SW 회사로 그 본사를 러시아 모스코바에 두고 있다.
  • 2 Binding Operational Directives(운영지침, BOD) : 미국 국토안보부가 연방정보보안관리법(Federal Information Security Modernization Act)에 따라 작성·감독하는 강제지침으로, 정보 보안 위협, 취약성으로부터 연방 정 보와 정보 시스템을 보호할 목적으로 만들어지며 연방정부기관은 모두 이를 준수하여야 한다(해당 운영지침 의 내용에 관해선‘참고1’).
  • 3 해당 국방수권법 내용에 관해선‘참고2’.
  • 4 카스퍼스키사는 국토안보부가 기술적인 증거없이 매체의 보도들에 기해 운영지침을 발표하였고 이 과정에 서 사전고지나 증거를 다투는 절차가 없어 공정한 기회 제공받지 못했기 때문에 국토안보부의 운영지침발표 는 연방헌법에 위배되는 것이라 주장하였다.(카스퍼스키사의 예비적 금지명령 신청서 참고)
  • 5 유럽의회 회원보고서(MEPs Report)는 법적인 구속력은 없다. 다만 유럽의회가 특정 기업에 대한 제재를 고려하고 있다는 점에서 논란이 되고 있다.
  • 6 Security Week(2018.06.14.), European Parliament Votes to Ban Kaspersky Products
  • 7 국민일보(2018.03.12.),“국민 개인정보 지켜라”미·중 치열한‘안보전쟁’… 한국은?
  • 8 해커가 특정 기업, 기관 등의 HW 및 SW 개발, 공급과정 등에 침투하여, 제품의 악의적 변조 또는 제품 내부 에 악성코드 등을 숨기는 행위(출처 : 한국인터넷진흥원)
  • 9 SPRi(2015.12.22.), SW 공급망 사슬 위험 관리
  • 10 KISA 인터넷보호나라(2016.11.28.), 미국 BLU 안드로이드 스마트폰에서 중국서버로 정보를 전송하는 백도어발견
  • 11 디지털타임스(2013.07.30.), 영국 정보기관, 중국산PC 퇴출 왜?
  • 12 애드웨어는 특정 소프트웨어를 실행할 때 또는 설치 후 자동적으로 광고가 표시되도록 하는 SW를 의미한다. 단순 애드웨어는 악성SW로 분류되진 않으나 Lenovo의 애드웨어인‘슈퍼피쉬(Super Fish)’는 PC의 보안시스템을 급격히 약화시키는 것으로 알려짐.
  • 13 보안뉴스(2017.09.08.), 레노버 노트북에 악성코드가 있다?
  • 14 DNet Korea(2015.12.19.), 일부 주니퍼 장비, 3년 전부터 백도어에 노출
  • 15 KAIST SysSec Lab & Red Alert(2015), 외산 CCTV 및 IP-Camera의 긴급 보안 위협 보고서
  • 16 동아일보(2017.11.06.), 공공시설 보안 위협하는 중국산 IP카메라
  • 17 대법원 2015. 2. 12 선고 2013다43994 판결 손해배상(기)ㆍ손해배상(기)
  • 18 전자신문(2017.10.17.), [이슈분석] 공급망(Supply Chain)이 위험하다.
  • 19 KISA 인터넷보호나라(2015.04.23.), 중국, 사회 보안 보안 체계 강화를 목표로 국민 개인정보 수집 강화 계획
  • 20 디지털타임즈(2015.05.10.), [사설] 국가재난망, 외산장비 도입 신중해야
  • 21 구체적인 내용은‘참고3’
  • 22 백도어의 악의적 설치를 정보통신망침입죄의 미수로써 처벌할 수 있다는 견해로「최호진, 정보통신망침입죄에서 정보통신망 개념과 실행의 착수, 2016」단, 이 경우는 정상적인 시스템에 악의적인 공격자가 침입 후 백도어를 설치하는 것으로 차이가 있음.
  • 23 최호진, 새로운 해킹기법과 관련된 형법적용의 흠결과 해결방안, 형사정책연구, 통권 제72호, 2007
  • 24 구체적인 내용은‘참고4’
  • 25 다만 미국의 연방수권법 사례와 같이 입법을 통해 특정한 기업에 대해 제재를 가하는 것은 우리나라에선 현실적으로 기업의 기본권을 과도하게 박탈하고 이의제기 절차를 제공하지 않아 위헌이 될 가능성이 높다.

보안 카스퍼스키 백도어 월간SW중심사회 2018년 7월호