[테크홀릭] 속칭 ‘찌라시’나 괴담의 특성은 하나라도 대중이 믿고 싶어 하는 사실을 포함하고 있다는 것이다. 이런 괴담이 최근 레노버 노트북 보안 문제를 두고 선거 공정성 문제까지 번지게 됐다. 김어준 딴지일보 총수가 지난 6.4지방선거에 사용한 투표지 분류기 제어장치로 쓰인 레노버 노트북이 외부로부터 해킹당할 가능성이 있는 제품이라고 주장한 것(관련기사).
해당 기사를 본 순간 레노버라는 단어가 흥미롭게 다가왔다. 레노버와 화웨이, NSFocus 등은 보안업계 단골 이슈이면서 해커가 백도어를 열광적으로 찾는 곳이기도 하다.
사실 중국 정부가 사이버 상에서 특정 검색어를 막는 방화벽을 판매한 NSFocus는 제품을 미국 정부를 비롯한 서구 정부기관에 납품하지 못하고 있다. 시스코 네트워크 장비를 ‘카피’한 화웨이도 비슷하게 미국 정부의 불신을 받고 있다. 이번 LG유플러스 장비 납품 과정에서 미국이 한국 정부에 우려의 말을 전했다는 말이 나오기도 했다.
의도적이든 아니든 보안 전문가 사이에서도 보안 프로그램과 운영체제, 각종 소프트웨어에서 소위 뒷구멍, 백도어가 있다고 의심하고 있다. 실제로 정치적인 의도와 관계없이 디버깅 때문에 존재하고 있는 경우도 있다. 물론 당연하게도 많은 소프트웨어와 하드웨어에 개발 편의나 정치적 의도로 백도어가 있다. 심지어 쥐라기 공원에서도 개발자가 백도어를 넣지 않았나.
IBM이 지난 2005년 중국 레노버에 PC 사업을 매각한 이후 레노버 역시 의심의 눈초리를 받게 됐다. 레노버 PC와 노트북에 백도어가 설치됐다는 것이다. 이 문제에 서구 보안 업체는 심각하게 반응했다(관련기사).
해당 기사의 내용과 결론은 컴퓨터 부품에 권한 없이 사용자 PC에 몰래 접근 가능한 기능이 있었다는 것이다. 이와 유사한 경우가 2000년대 초반 중국에서 생산된 USB 메모리에 악성코드가 삽입되어 우리나라를 비롯한 전 세계 곳곳에 판매된 것이었다. USB 메모리 생산 공장에서 실수로 바이러스에 오염됐었다는 자체 조사 결과를 발표했지만 상당수 서구 기업과 정보기관의 불신을 샀다.
사실 해킹 그룹, 영국과 호주 보안 컨설팅 업체 등이 레노버 컴퓨터의 보안 취약점을 발견한 이후 이를 재현하려는 노력이 있었다. 하지만 지금까지 성공한 해커나 해킹 그룹은 하나도 없다. 맞다 틀리다 어느 쪽도 검증되지 않은 상태인 것이다.
많은 해커나 해킹 그룹의 주장에 따르면 이런 보안 취약점은 겉으로 보기에는 멀쩡하지만 상당히 정밀하게 짠 구조로 낙타가 바늘구멍에 들어가는 과정을 몇 차례 통과해야 열리는 수준이라고 말한다. 즉 백도어를 만든 마스터키와 관련한 백도어 개발자가 방화벽에 없는 열린 네트워크상에서 제대로 조건이 충족됐을 때 가능한 것이다.
또 혹시나 있을 수 있는 레노버 노트북의 보안 취약점을 통해 통신하려면 마스터키가 있어야 한다는 얘기다. 이 경우는 인터넷이 정상적으로 연결됐었다는 가정 하에 구성한 시나리오인 만큼 지금 김어준 씨의 시나리오는 가능성이 떨어진다.
문제가 된 레노버 u330 터치(u330 touch)라는 모델은 인터넷에서 흔히 팔리는 대중적인 모델이다. 어떤 해킹 그룹의 뉴스레터나 채팅 IRC, 검색에서도 이 모델에 보안 취약점이나 백도어가 있다는 기사를 발견할 수 없다. 만일 보안 취약점이 발견된 모델이라면 해킹그룹과 보안그룹에서 먼저 공론화됐을 것이다.
이런 우려는 사회공학적인 해킹이 횡횡하면서 정치적인 해킹이 군사적인 해킹, 경제적 해킹으로 무차별적으로 이어지는 현 상황과 한국 정치 불신이 만나 이뤄진 것으로 보인다.
사실 해킹에 대한 도덕적이나 영화에나 등장하는 윤리적인 기준은 이미 없다. 악성코드에 감염된 좀비 1,000마리(?)를 시간당 과금으로 파는 세상이 지금 어둠 속 인터넷 세상의 현실이다.
국가 역시 다르지 않다. 인터넷상에서 해킹부대나 해킹을 하지 않는 국가는 사이버전을 할 능력이 없는 국가 외에는 전부 한다고 보면 된다. 심지어 이란조차도 이슬람 율법에도 어긋나게 악성코드가 숨겨진 야동사이트를 만들어 미군을 상대로 사이버전을 벌인다. 북한도 중국 악성코드를 개조해서 열심히 액티브X와 웹하드를 이용하는 우리나라를 상대로 사이버전을 한다.
이번 보안 이슈 제기는 대체적인 맥락에서 보자면 틀린 건 아니다. RFP(요구조건)에 맞지 않는 네트워크가 붙어 있는 상황은 의심을 살만하다. 아마도 SI 시장에서 공공 입찰과 납품 과정을 생각하면 재고 노트북을 사서 굳이 분리하는 공임보다는 그냥 납품하고 바이오스에서 네트워크 하드웨어를 불능화하는 일을 벌이는 게 레노버 입장에선 돈도 안 들고 이익이라는 면에서 밀어 붙였을지도 모른다.
네트워크 보드 분리에 대해선 특이한 점이 없다. 당연한 얘기를 했다. 매뉴얼대로 하지 않은 선관위가 빌미를 줬기 때문이다. 하지만 해킹 가능성에 대해 말하자면 얘기가 달라진다. 김어준 씨가 말하는 레노버 노트북 해킹 문제에 대해 살펴보면 이렇다.
펌웨어를 조작해서 네트워크 장치를 실행되지 않게 하고 실행하게 한다.
펌웨어에서 운영체제(윈도7) 네트워크 장치를 실행하고 선관위 프로그램을 위변조해 해킹한다.
선관위가 사용하는 윈도7(추정) PC를 해킹하는 일은 만만치 않다. 해킹은 사람 쪽에 가까울수록 쉬워지고 하드웨어 쪽으로 갈수록 어려워진다. 펌웨어 등 운영체제 밑단이라면 높은 난이도를 요구한다. 먼저 김어준 씨가 주장하는 해킹 시나리오를 짜보면 이렇다. 먼저 한 가지 밝혀둘 것은 이 경우는 외부에서 해킹을 시도할 경우를 말하는 것이다.
펌웨어를 운영체제 모르게 네트워크 장비가 활성화될 수 있도록 수정한다(뉴스 기사 및 보안 관련 그룹에서 레노버 보안 문제는 네트워크가 방화벽 없이 개방된 상태를 가정했기 때문에 반드시 펌웨어는 수정해야 한다).
선관위 레노버 노트북에 악의적인 수정된 펌웨어를 설치한다. 이 과정은 레노버 및 선관위의 도움이 절대적이다.
펌웨어가 운영체제 모르게 네트워크 장비를 활성화했다면 네트워크 드라이버가 설치되어야 한다.
여기에서 네트워크 드라이버란 ‘인터넷을 사용하도록 하는 통신 프로그램’을 말한다.
통신 프로그램이든 특정 프로그램을 윈도7에 설치하려면 보안 프로그램인 UAC가 경고창을 띄운다. UAC 창은 마우스 컨트롤 프로그램이나 키보드 조정 프로그램으로도 조작이 불가능한 윈도의 보안 단계다. 오직 사람의 손이 ‘Yes’를 누르거나 클릭해야 한다.
레노버 혹은 선관위 담당자가 노트북에 뜬 UAC 컨트롤을 ‘Yes’로 누르고 설치한다.
랜카드 혹은 블루투스 드라이버를 설치한다.
윈도 UAC가 다시 뜬다. 이를 사람의 손으로 ‘Yes’를 누르고 설치 허용한다.
윈도 장치 관리자에서 보이지 않는 드라이버를 만들어 설치해야 한다.
추가로 해야 할 일
드라이버 설치에 관련된 로그 파일을 지운다
이 드라이버라는 건 잘못 설치하면 악성코드가 될 수 있기 때문에 제3의 공인기관(베리사인이나 코모도 등) 등에서 앱 인증을 한다. 인증되지 않은 드라이버는 원칙적으로 설치되지 않는다.
선관위 프로그래머 혹은 회사를 매수해 선관위 프로그램 소스를 변경하거나 소스를 유출해 선거 결과를 변경할 위변조 프로그램을 만든다.
길고 긴 과정이다. 이 제품은 또 스마트카드로 프로그램이 위변조 됐는지 검증하는 기능도 지원한다. 프로그램이 원본과 다르다면 에러가 뜨는 보안 시스템을 갖춘 것이다. 노트북과 검표기 사이 통신 프로그램을 가로채거나 해킹한다고 가정했을 때 사전에 이 프로토콜이 유출되거나 분석되어야 한다는 얘기다. 해킹은 영화처럼 키보드 몇 번 두드린다고 되지 않는다.
김어준 씨가 말하는 사건을 만들려면 레노버 노트북을 납품할 때 펌웨어를 변경해야 하고 윈도 장치 관리자에 보이지 않는 네트워크 드라이버 개발 능력이 있어야 한다. 선거 관리 프로그램 개발사와 개발자, 보안카드 장비 회사의 도움도 필요하다.
참 애매한 문제다. 이론적으로만 보자면 ‘Yes’라고 할 수도 있지만 현실성을 보자면 거의 ‘No’ 쪽에 가깝기 때문이다. 다만 레노버 등 중국 업체를 둘러싸고 미국을 비롯한 국가가 문제를 제기하는 부분은 제조 과정에서 들어갔다는 의혹이다. 레노버 쪽 펌웨어 문제는 납품 이전의 문제가 크다는 얘기다. 미국 등이 하드웨어 제조사를 지목하는 이유도 여기에 있다.
물론 인터넷에 연결되어 있으면 해킹 자체는 어떤 식으로든 가능할 수 있다. 이메일이나 웹서핑을 하는 도중 악성코드를 심는 식이다. 하지만 펌웨어를 건드려서 뭔가를 조절하려면 문제가 복잡해진다. 기술적으로 불가능한 일은 아니지만 국가 차원은 되어야 그것도 이론상 가능하다. 일어났다고 한들 검증된 게 없고 동일 사례에 대한 정확한 보고도 전 세계 어디에도 없다.
사실 이 문제는 행정절차상 제재를 받을 문제다. 앞서 설명했듯 납품하다 보면 어느 업체나 일일이 네트워크 카드를 뜯느니 프로그램 상에서 제거하는 방법을 택할 가능성이 높다. 하지만 행정절차상 문제가 있는 건 맞다. 여기까지는 좋은 문제 제기다. 다만 해킹 가능성에 대해선 과한 측면이 있다. 마치 집에 도둑맞으면 안 되는 물건을 보관해놨는데 하필 창문이 있는 집이었다. 그런데 어느 날 창문이 있다고 해서 무조건 도둑맞게 생겼다고 단정 지은 셈이다.
우려도 이해가 간다. 하지만 좀더 확실한 증거가 있는 상태라면 모르겠지만 지금 정도 수준의 발언은 너무 증거 없는 음모론 수준이 되어버렸다. 선관위 편들고 싶은 생각은 없다. 다만 정치적인 문제를 떠나 보안만 놓고 보자면 검증되지 않은, 그리고 이제껏 한 번도 검증되지 않은 사실을 들어 ‘무선 제어 가능’을 말하는 건 조금 지나치지 않았나 싶다.
전자신문인터넷 테크홀릭팀
김호광 칼럼니스트 techholic@etnews.com