TECH M
TECH M
백도어 공포 확산…'제로 트러스트·융합 보안' 도입 필요
삼성전자 갤럭시 시리즈도 의혹 제기…관련 기술 정보 민·관 모두 공유해야
운영체제나 프로그램에서 정상적인 인증 과정을 거치지 않고 바로 접근할 수 있도록 만들어진 ‘백도어’에 대한 공포가 확산되고 있다.
중국 전자업체들의 스파이칩 사태와 더불어 삼성전자의 스마트폰 갤럭시 시리즈에서도 백도어가 있다는 의혹이 제기되면서 대책 마련이 시급하다는 목소리가 높아진 상황.
아무 것도 신뢰하지 않고 항상 검증을 진행하는 ‘제로 트러스트’ 모델을 도입하고, 정부·기업 모두가 정보를 공유하는 ‘융합 보안’ 체계가 필요하다는 지적이 나온다.
갤럭시 스마트폰도 백도어 의심
최근 보안업계와 삼성전자에 따르면 갤럭시 스마트폰 기기에서 백도어가 발견됐다는 의혹이 제기됐다.
‘원(ONE) UI’가 설치된 갤럭시 스마트폰에는 중국 보안업체 ‘치후360(Qihoo 360)’의 백신 프로그램 ‘360 시큐리티’가 설치돼 있다.
글로벌 커뮤니티 ‘레딧’에서 한 네티즌은 360 시큐리티가 ‘저장공간 정리’ 기능을 수행하는 과정에서 중국 내 서버와 통신을 했다는 기록을 공개했다.
문제는 해당 모바일 백신이 삼성전자가 단말기에 ‘기본 제공’하면서 이용자가 삭제하거나 중단할 수 없다는 것이다. 해당 프로그램이 적용된 모델은 지난 2017년 출시된 갤럭시S8 시리즈를 포함해 2018년 이후 출시된 모든 갤럭시 스마트폰과 태블릿PC에 적용됐다.
글을 올린 사람은 “어떤 데이터를 주고 받았는지는 공개되지 않아 섣불리 ‘백도어’를 말하기는 어렵다”면서도 “보안 때문에 중국 전화 브랜드를 피했는데 (삼성전자에서도) 동일한 개인정보 보호 위협에 노출되느냐”고 지적했다.
삼성전자 측은 즉각 “새로운 앱을 정리할 때 어떤 것이 정크 파일인지는 확인하려면 업데이트되는 데이터베이스(DB)와 대조해봐야 하기 때문에 중국 서버에 접속하는 것”이라며 “개인정보가 왔다갔다할 우려는 없다”고 해명했다.
그럼에도 불구하고 사용지들의 백도어에 대한 공포는 더욱 커지는 모양새다. 삼성전자와 같은 사례가 점점 늘어나고 있기 때문이다.
글로벌 사이버보안 기업 이셋은 지난해 자사 연구소를 통해 MS SQL 서버의 백도어 샘플을 발견했다.
이셋이 밝힌 신종 백도어 샘플은 ‘스킵 2.0(skip-2.0)’은 MS SQL 서버 11과 12에 잠입한다. 특수 암호를 사용해 서버에 침입한 후 백도어를 통해 DB를 복사, 수정, 삭제할 수 있다.
지난 2018년에는 미국 IT기업 애플과 아마존웹서비스(AWS) 데이터센터 서버에 중국 정부에서 감시용으로 설치한 것으로 추정되는 마이크로칩이 발견된 사례도 있다.
외신 보도에 따르면 마이크로칩은 중국 서버 제조업체 슈퍼마이크로 공급 서버에 부착됐으며, 미국 회사들로부터 지식재산권과 거래기밀을 수집하는 데 사용됐을 것으로 추정된다.
제로 트러스트 모델로 인증 강화 필요
백도어는 기기나 앱 설계 단계부터 적용돼 백신이나 보안시스템이 정상동작으로 인지한다. 때문에 백도어는 기존 방식으로는 탐지하기가 힘들다. 이미 백도어가 심어져 있는데도 문제가 없다고 여기고 넘어가기 때문이다.
최근에는 사물인터넷(IoT) 디바이스가 늘어나면서 백도어 위험이 더욱 커지고 있다. 스마트폰에 자체적으로 백도어가 없다고 해도, 연결된 다른 장비(프린터, 스마트워치)에 백도어가 숨어들어갈 경우 해당 장비를 통해 스마트폰에 접근할 수도 있다.
예를 들어, 스마트워치 메인보드에 물리적 칩을 심거나, 특정 프로그램을 통해 백도어를 뚫으면, 스마트폰에 기록된 통화목록이나 개인 건강기록이 유출될 여지가 생긴다.
백도어 피해를 최소화하려면 기술적으로는 ‘제로 트러스트(Zero Trust)’ 모델을 도입해야 한다. 제로트러스트란 ‘아무도 믿을 수 없다’는 가정 하에 그 누가 접근하더라도 적절한 인증 절차가 없으면 접속을 차단하는 방식이다.
보안업계 관계자는 “백도어가 심어지면 어떤 의미로든 인증되지 않은 정보를 전송하게 되는데, 이를 원천적으로 차단해버리는게 제로 트러스트”라며 “내부자나 이미 설치된 프로그램들 모두를 의심하고 검증하는 절차가 필요하다”고 설명했다.
새로운 백도어 유형을 빨리 파악하고 대응하는 체제를 갖추는 것도 필요하다는 지적이 나온다.
보안업계 관계자는 “백도어 예방 관련 기술과 정보를 민간기업과 정부가 함께 공유하는 ‘융합 보안’ 체계가 필요하다”면서 “보안 분야는 어떤 취약점이 있는지 함께 협력해 찾아야 하기 때문에 정보를 빨리 공유할수록 피해를 최소화시킬 수 있다”고 조언했다.
김태환 머니투데이방송 MTN 기자
-
'전자정부 名家' LG CNS, 1200억 '행복e음' 사업 수주로 자존심 회복할까공공 소프트웨어(SW) 사업의 강자 LG CNS가 올해 공공시장 첫 '대어'로 꼽히는 보건복지부 차세대 사회보장정보시스템(행복e음) 구축 사업에 출사표를 던졌다.17일 업계에 따르면 LG CNS는 이날 행복e음 사업 재입찰에 제안서를 제출했다.행복e음 사업은 지난 2009년 복지부가 각종 사회복지 급여 및 서비스 지원 대상자의 자격과 이력에 관한 정보를 통합 관리하기 위해 구축한 시스템을 현대화 하는 사업이다. 올해부터 3년간 약 1220억원이 투입된다.이 사업은 지난 3일 첫 입찰 공고를 마감했으나 무2020-03-17 16:54:47테크M 남도영 기자 -
네이버 vs 카카오, 포털-메신저 이은 3라운드... 링은 '콘텐츠'#수천억 자금으로 뭘 만들까#넷플릭스 잡을 수 있을까#톡TV-네이버TV 경쟁 볼만할 듯국내 대표 인터넷 맞수 기업 네이버와 카카오의 세번재 경쟁 무대 막이 올랐다. 포털과 메신저 플랫폼에서 치열하게 경쟁해온 두 기업의 3라운드 링은 '콘텐츠'다. 이미 양사는 콘텐츠 자회사에 수천억원의 자금을 쌓아놨다. 올해부터 본격적으로 콘텐츠 양산에 돌입한다. 콘텐츠 주도권 경쟁의 전초전은 이미 시작됐다.◆실탄 마련한 카카오M, 직접 콘텐츠 제작 개시카카오는 지난 16일 콘텐츠 자회사 카카오M이 3자 배정 유상증자2020-03-17 15:53:45테크M 허준 기자 -
[템 사이트] 게임 하면 유니티! 2020년 기대되는 유니티 기반 게임은?연일 쏟아지는 신작 소식이 게이머들을 설레게 하고 있습니다. 남다른 스케일을 자랑하는 게임업체들의 대형 신작은 물론 독특한 게임성을 내세운 게임까지, 게이머들의 다양한 취향을 만족시킬만한 다양한 신작게임들이 많습니다.오늘은 특히 유니티 엔진을 기반으로 한 신작 게임들을 엄선해서 소개할까 합니다. 유니티는 이미 전세계 수백만명의 게임 개발자들이 사용하는 유명한 게임엔진입니다. 최신 버전의 엔진 '유니티 2019.3' 업데이트를 통해 260가지가 넘는 개선사항과 신규 기능이 포함돼 진일보한 고성능 그래픽과 최적화 기2020-03-17 15:30:39테크M 허준 기자