404 Media • 54일 전

데이터센터 로비스트들, '국가 안보' 핑계로 수리권 법안 축소 시도

IMP

8/10

핵심 요약

시스코(Cisco)와 IBM 등 주요 기술 기업의 로비스트들이 국가 안보와 데이터센터 보호를 명분으로 콜로라도주의 '수리권(Right to Repair)' 법안을 대폭 축소하려는 움직임을 보이고 있습니다. 이들이 추진 중인 법안은 '주요 인프라'라는 매우 모호한 기준을 도입해 제조사가 거의 모든 기기를 수리권 예외 대상으로 지정할 수 있도록 허용하고 있습니다. 보안 전문가들은 오히려 수리권 제한이 취약한 기기를 방치하게 만들어 사이버 공격 위험을 키울 수 있다고 반박하고 있습니다.

번역된 본문

시스코(Cisco)와 IBM 같은 주요 기술 기업들의 로비스트들이 국가 안보와 데이터센터를 보호한다는 명목 하에 콜로라도주에서 혁신적인 '수리권(Right to Repair)' 법안을 대폭 축소하려는 입법을 추진하고 있습니다. 목요일 콜로라도주 상원 위원회를 통과한 이 법안은 하드웨어가 '주요 인프라로 간주되는 경우' 기존 수리권 법의 적용을 면제해 줄 것입니다. 이 법안의 문제점 중 하나는 '주요 인프라'의 정의가 매우 광범위하여 사실상 모든 것을 포함할 수 있다는 것입니다. 실제로 이 법이 시행되면 미국에서 가장 중요한 수리권 법 중 상당 부분이 사실상 폐지될 수 있습니다.

수리권 전문가이자 인기 유튜버인 루이스 로스만(Louis Rossmann)은 목요일 법안 청문회에서 “이 법안은 광범위하고 모호한 정의에 의존하여 제조사 스스로 자사 장비가 주요 인프라용인지 여부를 지정할 수 있도록 허용합니다”라고 증언했습니다. “그래서 노트북 제조사가 펜타곤이 자사 노트북을 구매한다는 것을 알면 그 제품군을 면제 대상으로 선언할 수 있습니다. 네트워크 장비 회사가 연방 정부 청사에 20달러짜리 스위치를 판매하면, 그 하드웨어가 주요 인프라라고 주장할 수 있습니다. 이는 제조사에게 스스로 면제 혜택을 부여할 수 있는 백지수표와 같습니다.”

소비자 권리 옹호자들이 약 10년 전 수리권 입법을 추진하기 시작한 이래, 하드웨어 제조사들은 수리권이 제품에 대한 독점 정보를 공개하도록 요구해 보안 위협을 초래할 것이라고 주장하며 입법자들에게 공포 분위기를 조성해 왔습니다. 하지만 실제로는 정반대의 현상이 나타났습니다. 수리 부품, 도구, 진단 소프트웨어 및 수리 가이드에 대한 접근성이 향상됨에 따라 해킹 공격에 더 취약할 수 있는 고장 난 장비를 더 빠르게 고칠 수 있게 되었기 때문입니다.

비영리 단체 'Elect More Hackers'의 공동 창립자이자 보안 연구원인 앤드류 브랜트(Andrew Brandt)는 목요일에 다음과 같이 증언했습니다. “주요 인프라와 기기 수리에 대해 이야기할 때, 우리는 종종 문제 해결에 동기가 없을 수도 있는 회사의 공식적인 수리를 기다릴 시간이 없습니다. 결국 작은 기업들에서는 대부분의 예산을 방화벽이나 라우터 구매에 썼는데 더 이상 교체 비용을 감당할 수 없는 상황에 처하게 됩니다. 그 결과 안전하지 않은 상태로 기기를 계속 가동하며 사이버 공격에 취약한 상태로 방치하게 됩니다.”

이번 입법 철회를 추진하는 집단은 기존의 기업용 하드웨어 제조사들로 보입니다. 이들은 청문회에서 자사 기술이 데이터센터에 점점 더 많이 사용되고 있다는 사실을 강조했는데, 데이터센터는 현재 미국 경제가 건설할 수 있는 거의 유일한 것 중 하나로 보입니다. 많은 대형 제조사를 대표하는 '소비자 기술 협회(Consumer Technology Association)'의 로비스트들과 시스코에서 근무하는 조셉 리(Joseph Lee)가 이 법안을 지지한다고 증언했습니다.

리는 “시스코는 수리권을 지지하는 주장에 감사하지만, 모든 디지털 기술 기기가 동일한 것은 아닙니다. 가정에서 사용되는 라우터는 전력망을 관리하거나 기밀 국가 기관 데이터를 보호하는 데 사용되는 인프라 장비와 근본적으로 다릅니다”라고 말했습니다. 전국 전기 제조업체 협회(National Electrical Manufacturers Association)의 로비스트인 크리스 브리시(Chris Bresee) 역시 광범위하게 데이터센터에서 수리가 필요한 IT 장비가 있으며, 전력망과 연결된 데이터센터 제품도 늘어나고 있다는 사실을 강조했습니다.

그는 “이러한 핵심 시스템을 보호하는 것이 가장 중요합니다. 이것은 수리나 소비자 권리에 반대하는 주장이 아니라, 스마트폰을 고치는 것과 우리나라의 불을 켜두는 시스템을 수정하는 것이 같지 않다는 인식입니다”라고 말했습니다. 이 로비스트들과 주요 기술 기업들이 주장하는 바는 이러한 유형의 전자기기는 제조사나 공인 대표자만 수리할 수 있도록 허용해야 한다는 것입니다. 하지만 앞서 언급했듯 '주요 인프라'의 정의가 너무 광범위하여 사실상 모든 기기에 적용될 수 있습니다.

원문 보기

원문 보기 (영어)

Lobbyists for major tech firms like Cisco and IBM are trying to push through legislation in Colorado that would drastically roll back a groundbreaking right to repair law under the guise of protecting national security and data centers. The legislation , which passed through a Colorado state senate committee on Thursday, would exempt hardware from the existing right to repair law if that hardware “is considered critical infrastructure.” One of the issues with this is that “critical infrastructure” is very broadly defined, and could include essentially anything. In practice, the law could essentially repeal huge parts of one of the most important right to repair laws in the United States. “It relies on a broad, vague definition that allows the manufacturer themselves to self-designate whether their equipment is for critical infrastructure,” Louis Rossmann, a right to repair expert and popular YouTuber, testified at a hearing on the bill Thursday. “So if a laptop manufacturer knows the Pentagon buys their laptops, they can declare that line exempt. If a networking company sells a $20 switch to a federal building, they can claim that hardware is critical infrastructure. It’s a blank check for manufacturers to exempt themselves.” Ever since consumer rights advocates began pushing for right to repair legislation roughly a decade ago, hardware manufacturers have been fear mongering to lawmakers by telling them that right to repair would introduce security threats by requiring them to reveal proprietary information about their products. In practice, the exact opposite has happened, because greater access to repair parts, tools, diagnostic software, and repair guides means that broken equipment that could potentially be more vulnerable to hacking attempts can be fixed more quickly. “When we talk about critical infrastructure and fixing things, we often do not have time to wait for an official fix from a company that may not be motivated to fix things,” Andrew Brandt, a security researcher and cofounder of the nonprofit Elect More Hackers, testified Thursday. “What ends up happening is that with smaller companies, where they may have spent most of their budget buying some firewall or router that they can no longer afford, they end up in a situation where they’re just going to keep running that device in an unsafe state and leave themselves vulnerable to cyber attack.” The groups pushing for this legislative rollback appear to be legacy enterprise hardware manufacturers, who highlighted during the hearing the fact that their technology is increasingly being used in data centers, which seem to be one of the only things the current American economy seems capable of building. Lobbyists for the Consumer Technology Association, which represents many large manufacturers, testified in support of the bill, as did Joseph Lee, who works for Cisco. “While Cisco appreciates the arguments offered in favor of right to repair devices, not all digital technology devices are equal. A router used in a home is fundamentally different from the infrastructure equipment used to manage a power grid or secure confidential state agency data,” Lee said. Chris Bresee, a lobbyist with the National Electrical Manufacturers Association, also highlighted the fact that, broadly, there is IT equipment that will need repairs at data centers. “A growing number of products in data centers with connection to our electric grid as well. It is of the utmost importance to safeguard these critical systems,” he said. “This is not an argument against repair or against consumers rights, it is a recognition that fixing a smartphone is not the same as modifying systems that keep the lights on for our country.” The argument being made by these lobbyists and major tech companies is that only the manufacturers or their authorized representatives should be allowed to fix these types of electronics. But, again, the definition of “critical infrastructure” is so broad that it can be applied to almost any type of electronic, and there is nothing fundamentally different between a router used at a data center and a router used in a school, business, or home. “You look at who is backing this bill, it is large firms like Cisco and IBM. They sell information technology equipment to tens of thousands of Colorado businesses, and they are looking to create a de facto monopoly on that service, which exists in the states that have denied this business to business right to repair,” Paul Roberts, a cybersecurity expert and founder of SecuRepairs testified. “The big tech companies backing the bill are using a very real concern about cybersecurity and resilience of US critical infrastructure to pad their bottom line, locking in a monopoly on service and repair. Cyber attacks on US critical infrastructure are rampant and have nothing to do with information covered by Colorado’s right to repair law.” About the author Jason is a cofounder of 404 Media. He was previously the editor-in-chief of Motherboard. He loves the Freedom of Information Act and surfing. More from Jason Koebler

수리권 데이터센터 로비 국가안보 소비자권리