중국산 메인보드에서 설계도면에 없어야 하는 해킹용 마이크로칩이 발견되면서 세계가 충격에 빠졌다.

하드웨어를 만드는 단계에서부터 마이크로칩에 백도어 프로그램을 내장하는 ‘서플라이 체인’ 공격은 백신 같은 보안 소프트웨어로 막는 것이 불가능에 가깝기 때문이다.

전문가들은 정부와 기업체 중심으로 설계 도면과 하드웨어가 일치하는지 검증하는 절차를 갖춰 선제적으로 대응해야 한다고 지적했다.

지난 10월 4일 블룸버그 비즈니스위크는 미국 IT기업 애플과 아마존웹서비스(AWS) 데이터센터 서버에 중국 정부에서 감시용으로 설치한 것으로 추정되는 마이크로칩이 발견됐다고 보도했다.

보도에 따르면 마이크로칩은 중국 서버 제조업체 슈퍼마이크로 공급 서버에 부착됐으며, 중국 정부 압력이 작용한 것으로 추측된다. 마이크로칩은 백도어 프로그램을 내장해 미국 회사들로부터 지식재산권과 거래기밀을 수집하는 데 사용됐을 것으로 추정된다.

다만 애플과 아마존은 스파이칩 관련 보도가 사실무근이라며 부인했다. 애플은 경제매체 CNBC와 인터뷰에서 “블룸버그 보도 내용은 지난 2016년 슈퍼마이크로 서버 드라이버가 바이러스에 감염됐다는 것과 관련해 혼동한 것”이라고 주장했다. 아마존 역시 자사 서버에서 스파이 마이크로칩에 대해 자체 조사를 벌였으나 아무것도 발견되지 않았다고 해명했다.

‘백도어 스파이칩’ 보안 시스템 탐지 불가능

백도어란 운영체제나 프로그램에서 정상적인 인증 과정을 거치지 않고 바로 접근할 수 있도록 만들어진 ‘뒷문’ 같은 개념이다. 일반적으로 백도어는 프로그램 설계 단계에서부터 미리 만드는 경우와 보안 허점을 발견해 크래커가 뚫는 경우 두 가지가 있다. 이번 스파이칩 사건이 블룸버그 보도대로라면 하드웨어에 미리 백도어를 설계한 사례가 된다.

앞서 2016년 11월에는 중국 통신기기업체 화웨이와 ZTE에서 제조돼 미국에 팔린 수백만 대 스마트폰에서 백도어가 발견되기도 했다. 해당 백도어는 사용자 위치와 통화목록, 전송 메시지 모니터링 같은 정보를 72시간마다 중국 서버로 전송했다.

이처럼 하드웨어 공급 단계에서부터 칩을 내장해 해킹을 시도하는 것을 서플라이 체인 공격이라 부른다. 서플라이 체인이 무서운 것은 하드웨어에 몰래 설치했기 때문에 기존 방식으로는 해킹 행위를 찾아낼 수 없다는 데 있다.

메인보드에는 수백에서 수천 개나 되는 다양한 논리게이트가 적용된다. 논리게이트는 전자 온오프 스위치 일종으로 트랜지스터와 전선으로 구성돼 칩을 통제한다. 이 중에 은밀히 칩을 하나 더 넣은 뒤, 단 하나의 논리게이트만 살짝 얹어 악성코드처럼 활용한다. 칩 설계나 회로에는 큰 변화가 발생하지 않기 때문에 논리적으로 탐지하기가 불가능에 가깝다. 보안시스템이 작동한다 하더라도 하드웨어에 원래부터 심어져 있는 백도어라서 당연한 설계로 받아들이고 문제라고 판단하지 못한다. 탐지를 하려 해도 가짜 논리게이트는 특정 명령을 받았을 때 켜지거나 꺼지도록 할 수 있어 쉽게 탐지에서 벗어날 수 있다. 보안시스템이 탐색한다고 해도 명령이 없는 경우에는 모습을 드러내지 않는다.

김용대 KAIST 사이버보안연구센터장은 “서플라이 체인 공격은 하드웨어를 공급하면서 그 안에 특수 프로그램을 설치한다”면서 “프로그램에 따라 다르지만 정보를 전송할 수 있으며 크래커가 기능을 언제든지 켰다 껐다 할 수 있어서 보안프로그램을 무력화시키는 것이 가능하다”고 설명했다.

최근에는 사물인터넷(IoT) 디바이스가 늘어나면서 백도어 위험이 더욱 커지고 있다. 예를 들어 스마트워치 메인보드에 백도어를 심어놓으면 사용자가 눈치 채기 어려운데, 통화목록이나 개인 건강기록이 유출될 여지가 생긴다. CCTV는 사용자 모르게 사업장이나 공동생활공간을 외부로 전송할 수 있다. 실제 한국인터넷진흥원(KISA)에 따르면 IoT 취약점 신고 건수가 2015년 이후에만 962건으로 최근 3년 동안 크게 늘었다.

세계로 퍼지는 ‘백도어 정보전쟁’

중국의 정책은 최근 더 노골적으로 변했다. 지난 2017년 6월 중국에서는 자국뿐만 아니라 해외에서도 개인이나 단체를 감시할 수 있는 국가정보법 개정안이 발효됐다.

중국 국가정보법에는 “모든 조직과 시민들은 법률에 따라 국가 정보 작업을 지원하고 협조하고 협력해야 하며, 국가 정보 업무 비밀을 대중에게 알리면 안 된다. 국가는 국가 정보 작업을 지원하고 협력하는 개인과 조직을 보호한다”고 명시돼 있다. 또 반간첩법에는 “국가안전기관이 관련 간첩행위 정황을 조사해 이해하고 관련 증거를 수집할 때, 관련조직과 개인은 마땅히 사실대로 제공해야 하고 거절해서는 안 된다”고 적시돼 있다.

해당 법에 따르면 중국 국가 정보공작에 협조해야 하는 단체에 모든 조직과 시민이 들어가 중국 기업들은 이 법을 모두 따라야 한다.

당장 피해를 입고 있는 미국 역시 깨끗하지는 않다. 2013년 6월 전직 미국 국가안보국(NSA) 계약요원 에드워드 조지프 스노든이 NSA와 영국 정보기관이 세계에서 일반인 통화기록과 인터넷 사용정보 같은 개인정보를 무차별적으로 수집하고 사찰해온 사실을 폭로했다.

NSA는 개인 정보 수집 계획인 프리즘(PRISM) 프로젝트를 통해 민간인들을 사찰했다. 명목은 9.11 테러 이후 이와 같은 일이 재발하지 않도록 블랙리스트에 올려둔 위험인물 외에 불순분자 존재를 확인하기 위해서다. 특히 NSA는 미국 시민뿐만 아니라 세계 모든 정부와 기관을 대상으로 무차별적인 정보 수집을 감행했다.

워싱턴포스트 보도에 따르면 NSA는 특수목적접근작전(Tailored Access Operations, TAO)이라고 부르는 공격툴(Tool)을 사용했다. 이 툴은 네트워크를 모니터링할 목적으로 라
우터와 스위치, 방화벽을 감염시키도록 설계한 악성코드를 무작위로 심는다.

악성코드는 소프트웨어와 장비 업그레이드를 통해 지속적으로 통신을 도청하고, 저장된 데이터를 복사하고 감염된 네트워크에서 터널을 뚫는 데 사용될 수 있다. 2013년 기준으로 8만5000건이 감염된 것으로 추산된다.

독일은 NSA 감청 대상이 되자 미국을 비판하고 나섰다. 하지만 독일 정보국(BND)도 2009년부터 북대서양조약기구(NATO)회원국들을 감청하고 있었다는 사실이 드러나기도 했다.

국내 주요 기업과 기관에서 슈퍼마이크로 제품 사용

한국에서도 서플라이 체인 공격에 대한 위기감이 고조되고 있다. 메인보드나 각종 통신장비 하드웨어 대부분을 중국에서 수입해 사용하고 있기 때문이다.

국회 과학기술정보방송통신위원회 신용현 바른미래당 의원은 10월 15일 국회에서 열린 국정감사에서 과기부 산하 11개 기관에서 슈퍼마이크로 메인보드 제품 731개를 도입해 사용 중이라고 밝혔다.

신 의원이 슈퍼솔루션으로부터 제공받은 자료에 따르면 슈퍼마이크로 제품을 사용한 대기업은 삼성과 LG, 포스코, KT, LG유플러스, SK브로드밴드, NHN, 드림위즈, 네오위즈, 국민은행, 우리은행 등이다. 공공기관은 서울지방경찰청과 기상청, 서울소방재난본부, 서울도시철도, 성남시, 구미시, 연구기관은 ETRI와 KAIST, KIST, 한국항공우주연구원 등이다. 국내 주요 기업과 기관에서 슈퍼마이크로 제품을 사용하는 것으로 확인됐다.

최근에는 이동통신사 5G 장비 도입과 관련해 홍역을 치르고 있다. 5G 장비에서 중국 화웨이를 선정하느냐 마느냐 문제로 갑론을박이 이어지는 상황이다.

화웨이는 중국 인민해방군 장교 출신 사업가인 런정페이가 설립한 회사다. 회사 명칭인 ‘화웨이(华为)’는 처음 설립 당시에는 ‘중화민족을 위해 분투한다’는 뜻을 담고 지었다. IT업계에서는 화웨이 설립자부터가 장교 출신인데다 이념을 고려했을 때 중국 정부와 긴밀한 관계를 유지할 것이라는 의혹이 크다.

SK텔레콤은 화웨이 장비를 공식적으로 도입하지 않는다고 발표했다. KT는 아직 검토 중이지만 도입하지 않을 것이란 관측이 나온다. 하지만 4G부터 화웨이 장비를 도입했던 LG유플러스는 난감한 상황에 처했다. 기존 장비와 연속성을 생각하면 화웨이 제품을 선택해야 하지만 여론은 정반대이기 때문이다. 일부 고객들은 화웨이 장비 채택 시 LG유플러스 불매운동도 불사하겠다고 밝혔다.

IT업계 관계자는 “화웨이가 스파이칩을 심는다는 직접 증거가 없음에도 장비도입에 따른 논란이 나타나는 건 그만큼 중국발 서플라이 체인 공격에 대한 두려움이 크다는 반증”이라며 “그렇다고 해서 당장 막을 수 있는 뾰족한 대책이 있는 것도 아니라 더 큰 문제”라고 밝혔다.

설계도면·장비 검수 제도 마련해야

서플라이 체인 공격을 막으려면 애초에 해당 장비를 구매하지 않는 것이 가장 이상적인 해결책이다. 그러면 하드웨어 자체가 가진 백도어 공격 기능을 원천적으로 차단할 수 있다. 하지만 현실적으로는 불가능하다. 글로벌 IT장비 공급에서 중국 영향력이 막강한데다 국내에서는 단가와 설비 문제로 자체 생산 역량이 부족한 실정이다. 결국 자체 생산이 어렵다면 최소한 설계도면과 장비가 일치하는지 확인하는 검수를 엄격히 시행해야 한다.

이상진 고려대 정보보호연구원 디지털포렌식연구센터장은 “디지털 주권을 지킨다는 관점에서 자국 내에서 정보보호를 강화해야 하는데 실상을 살펴보면 하드웨어는 중국이 석권하고, 소프트웨어는 미국이 석권하고 있다”면서 “현실적으로 한국이 디지털주권을 지킬 수 있을 만큼 역량이 부족하고, 자국에서 모든 장비를 생산할 수 없다면 최소한으로 악성 칩을 검사할 수 있는 능력을 확보해야 한다”고 언급했다.

김용대 센터장은 “서플라이 체인 공격에 쓰이는 칩은 굉장히 작기 때문에 일반인이나 일반기업 수준에서는 발견하기 어렵다”면서 “설계한 하드웨어와 맞는지 확인할 수 있도록 최소한 기업체 단위에서, 크게는 정부 단위에서 가이드라인을 만들고 확인하는 절차를 가져야 한다”고 설명했다.

식품의약품안전처가 외국에서 수입하는 식품이 안전한지 여부를 무작위 검사 같은 방법으로 꾸준하게 확인하듯이, 하드웨어 장치도 보안 관점에서 안전 여부를 항상 확인해야 한다는 의견이다.

소프트웨어적인 해결책으로는 단순히 파일 검사를 진행하는 수준에서 그치지 말고 프로세스 구동 단계에서부터 실시간으로 감시해야 한다는 지적도 나온다. 정상적인 절차를 거치지 않는 징후가 나타났을 때 이를 탐지해 역으로 기만하는 방식으로 피해를 줄이는 방안이다.

권석철 큐브피아 대표는 “서플라이 체인 공격은 보안시스템으로 잡기 어렵지만 프로세스 구동 단계에서 이상 징후를 실시간으로 감지하고 분석할 수 있다면 피해를 최소화할 수 있다”면서 “이상 징후를 확인할 수 있다면 진본 파일이 아니라 가짜(fake) 파일을 보내는 식으로 백도어가 정상 구동되는 것처럼 착각하도록 만들 수 있다”고 조언했다.

[테크M=김태환 기자(kimthin@techm.kr)]