[이슈분석]"지금은 절대 몰라" 고조되는 공급망 공격 위협

게임물 중개업자인 A씨는 최근 국내 IT관련 사이트에 `게임 프로그래밍 가능한 프리랜서를 찾는다`는 광고를 올렸다. 도박 사이트 운영에 필요한 소프트웨어(SW)를 개발해 이를 원하는 사람들에게 판매할 생각이었다.

어느 날 광고를 보고 한 통의 메일이 왔다. 개발을 맡겠다는 내용. 그가 제시한 조건은 매력적이었다. A씨는 그에게 개발을 의뢰했고, 개발비로 수차례 미화를 송금했다. A씨는 `바둑이`, `포커`, `맞고` 등 도박 프로그램 4개를 받고 이를 다시 팔았다.

그런데 이 도박 프로그램에서 수상한 악성코드가 발견됐다. 게임 사용자 PC의 IP, MAC(컴퓨터 고유 식별번호) 주소 등을 수집해 해외 서버로 전송하던 것이다. 또 서버와 사용자간 통신 채널이 구축돼 있었다. 이는 마음만 먹으면 언제든 분산서비스거부(DDoS) 공격과 같은 해킹에 악용할 수 있는 `통로`와 같았다.

경찰 조사 결과 이 같은 도박 프로그램을 만든 이는 북한 `정찰총국` 산하 공작원으로 드러났다. A씨와 프로그램 개발자 두 사람이 메일을 주고 받으며 친분이 생겼을 때 자신을 북한 정찰총국 소속이라고 밝혔다. A씨는 신분을 알았지만 좀 더 은밀한 프로그램 개발을 추가 의뢰했다. A씨는 국가보안법 위반 혐의 등으로 구속됐다. 경찰은 북한 공작원이 국내 좀비PC를 확보하기 위한 포석 차원에서 도박 프로그램에 악성코드를 몰래 삽입한 것으로 분석했다.

소프트웨어나 하드웨어를 개발하는 단계에서 악성코드를 몰래 숨기는 해킹 수법인 이른바 `공급망 공격`에 대한 경고의 목소리가 높아지고 있다. 정상적인 제품에 악성코드를 숨겨 악의적으로 활용하려는 시도들이 국내외 잇따라 밝혀져서다. 그러나 이런 위협을 걸러낼 수 있는 우리의 보안 수준은 한참 뒤떨어져 있다는 지적이다.

◇소리 없는 침투…고조되는 전방위 위협

사행성 프로그램에 악성코드가 삽입돼 국내로 은밀히 반입·유포되는 사례는 이번만이 아니다. 경찰은 지난 10월 말 유사 사례가 다수 적발되고 있다며 주의보를 내렸다.

경찰에 따르면 지난 9월 중국에서 활동 중인 북한공작원과 접촉해 불법 사행성 프로그램을 개발, 반입한 B씨가 사법 처리됐다.

또 3월에는 북한 노동당 소속 해커들과 같이 불법 프로그램을 이용, 국내 인터넷 사이트를 해킹하고 개인정보 1억여 건을 불법 취득해 일부를 건넨 C씨가 사법 처리되기도 했다.

경찰청 관계자는 “비인가 프로그램이나 출처가 불분명한 사행성 프로그램에는 악성코드가 삽입돼 있을 가능성이 높으니 내려받지 않도록 해야 한다”고 말했다.

그러나 이 같은 수법은 북한, 그리고 도박 프로그램에 지나지 않는다. 전 세계적으로, 그 깊이를 가늠하기 힘들 정도로 진행돼 왔다는 게 속속 확인되고 있다.

도·감청 파문을 낳고 있는 미국 국가안보국(NSA)은 세계 수많은 암호 체계를 무력화시키기 위한 프로젝트(Sigint Enabling Project)를 추진해왔다. 이는 IT 기업들이 그동안 상용화한 수많은 제품에 NSA가 자유롭게 접근할 수 있는 `통로(백도어)`를 만드는 것이다.

NSA는 심지어 기술 표준 수립에도 영향력을 미쳤다. 미국 국립기술표준원(NIST)이 암호화 표준을 수립할 당시 NSA가 뚫을 수 있는 기술을 채택하도록 유도했다는 폭로가 나왔다.

중국도 우려의 대상이 되고 있다. 지난해 10월 미국 하원 정보위원회는 중국 화웨이와 ZTE의 장비들은 미국의 국가 안보에 위협이 될 수 있다며, 정부는 이들 회사의 제품을 구매하지 말고 인수·합병 역시 금지해야 한다는 보고서를 발표했다. 위원회는 중국이 악성 하드웨어나 소프트웨어가 심어진 통신장비를 이용해 전시에 미국 안보 시스템을 마비시키는 등 사이버 공격을 단행할 우려가 있다고 지적했다.

영국에서는 정보기관들이 중국 레노버에서 생산한 PC에 백도어 프로그램이 설치돼 있을 수 있다는 의혹이 제기돼 중국 레노버가 생산한 PC의 공무상 활용을 금지했다는 내용이 보도되기도 했다.

최근 최문기 미래창조과학부 장관이 국정감사에서 LG유플러스의 화웨이 장비 도입에 대해 `보안 우려`를 표명한 것도 이 같은 맥락에서 나온 것이다.

◇10년 뒤진 기술로 막을 수 있나

보안 전문가들에 따르면 이 같은 공급망 공격의 위험성은 이미 오래 전부터 제기됐다.

임종인 고려대학교 정보대학원장은 “공급망 보안의 필요성은 이미 걸프전 이후 인식돼 왔다”고 말했다. 당시 미국은 이라크에 수출하는 프린터에 NSA가 개발한 악성코드를 심어뒀다. 이후 1991년 걸프전 발발과 함께 해당 악성코드를 실행시켜 이라크 지휘 통신망을 파괴했다. 현재 그 수법은 기술 발전만큼이나 더욱 교묘하고 심각해졌다는 해석이 합리적이다.

문제는 자국의 이익을 앞세워 정보전을 벌이는 현 시점에서 우리나라의 사이버 안보 능력이다. 갈수록 커지고 있는 사이버 위협에 과연 얼마만큼 대처할 수 있느냐다.

그러나 전문가들은 이에 대해 회의적인 시각을 보이고 있다. 위협을 사전 탐지해 걸러낼 수 있는 능력이 부족하다는 지적이다.

김승주 고려대학교 정보보호대학원 교수는 “우리나라도 보안성 평가 제도가 있지만 기술 수준이 높지 않다”고 말했다.

미국이 자국 보호를 위해 보안성 평가 검증을 도입한 건 80년대 중반. 우리나라는 90년대 중반 이를 도입해 10년 이상 뒤진 것으로 평가된다.

김 교수는 “외국산 장비를 전수 조사하겠다고 해도 우리나라는 기술력이 뒷받침되지 않는다”면서 “현재 시점에선 보안성 평가 기술을 높이는 수밖에 없다”고 말했다.

임종인 원장은 “미국은 2013 국방수권법에 국방 공급자들의 책임과 공급사슬 보안을 규정한 바 있다”며 “우리도 최소한 국방이나 군수 등 중요 시설에 대한 공급망 보안 강화를 위한 노력이 필요한 시점”이라고 강조했다.

윤건일기자 benyun@etnews.com