[보안뉴스] 당신 폰을 훤히 들여다본다… ‘백도어 해킹’의 신무기 스파이칩

지난 2월 넷플릭스에서 공개돼 글로벌 차트 ２위에 오른 영화 ‘스마트폰을 떨어뜨렸을 뿐인데’는 현대인에게 누구나 일어날 수 있는 일을 담았다. 극 중 해커는 스마트폰 수리기사를 사칭해 스마트폰에 해킹 소프트웨어를 설치하고，카메라를 통해 휴대폰 주인의 일거수일투족을 지켜본다. 단말기 내 모든 정보를 다운로드하거나 실시간으로 휴대폰 활동을 지켜보고, 심지어는 화면이 꺼진 상태에서도 원격으로 휴대전화를 조종할 수 있다. 휴대전화 보안이 뚫리면 내 모든 정보와 비밀이 밝혀지는 건 물론 누군가 내 행세를 하고 다닐 수도 있다는 설정은 초연결 시대 새롭게 등장한 위협이자 공포로 다가왔다.

전문가들은 현실이 영화보다 더하다고 입을 모은다. 영화 속의 방법처럼 가짜 앱이나 프로그램을 다운받도록 해 악성 소프트웨어(스파이웨어）를 설치하는 것은 수십 가지 해킹 방법의 하나에 불과하다. 보안 관련 새로운 기술이 생기고 발전하고 있지만 동시에 해킹도 진화했다. 새 단말기를 구매해 전원을 켜는 순간부터 해킹이 시작되거나，키보드 등 연결장치를 연결했을 뿐인데 나도 모르는 사이 관리 권한이 해커에게 넘어가는 정도로까지 해킹은 고도화했다．이렇게 되면 원격 접속은 물론， 전체 시스템을 해커가 멋대로 정지 혹은 셧다운해버리는 일도 가능해진다. 이를 ‘무선 백도어 해킹’이라고 부른다.

자체 주파수 쏘며 수십㎞ 밖에서도 해킹

백도어는 뒷문이라는 뜻이다. 모든 컴퓨터, 시스템에는 관리자가 일부러 남겨놓은 시스템의 보안 허점이 하나씩 있다. 시스템에 이상이 생겼을 때나 특수한 상황일 때 관리자가 접근해 점검할 수 있도록 하는 목적으로 만들어놨다． 해커들이 노리는 것도 바로 이 백도어다. 최근 대부분의 국가기관이나 금융, 기업 등은 해커의 접근 자체를 피하기 위해 자체적인 무선 네트워크를 조성해 단독으로 사용하는 식으로 백도어 접근을 차단했다. 그러나 새롭게 등장한 무선 백도어 해킹은 이러한 시도 자체를 무력화할 수 있어 더욱 위험하다. 와이파이 등 무선 네트워크를 이용하지 않고도 자체적인 무선 주파수를 이용해 백도어에 침투할 수 있기 때문이다. 눈에 보이지는 않지만, 전 세계 사이버 공간에서는 이러한 해킹 시도와 보안 강화의 투쟁이 거의 매일같이 벌어지고 있는 것으로 보인다. 이러한 ‘사이버 전쟁’ 시대에 정부 및 국가기관이 보다 적극적으로 보안 강화에 힘써야 한다는 업계의 지적도 나오는 상황이다.

무선 백도어 해킹에 필요한 장비는 ‘스파이칩’이다. 현미경으로 들여다봐야 할 만큼 작은 쌀알 크기 남짓한 전자칩이다. 스파이칩은 두 가지 방법으로 서버에 침투할 수 있는데, △단말기 생산 단계 혹은 서버 납품 초기부터 메인보드(머더보드·주기판)에 삽입하거나 △키보드나 마우스, USB(이동식 메모리) 등으로 위장해 연결하는 방법이다. 두 가지 모두 사전에 인지하기가 상당히 어렵다. 전자는 조립 단계부터 일일이 설계도와 비교해가면서 육안으로 발견해내야 하고, 후자 역시 겉보기에는 다른 연결 장치와 완전히 똑같은 모양을 하고 있기 때문이다.

주목할 만한 것은 시중에서도 스파이칩이 내장된 키보드, 마우스, USB 등을 판매하고 있다는 사실이다. 10만~20만원 안팎이면 누구나 구매할 수 있다. 일례로 언뜻 보기에는 평범해 보이는 케이블 제품 안에도 스파이칩이 있을 수 있다. 이런 케이블은 겉보기에는 멀쩡할 뿐 아니라 케이블을 연결했을 때 휴대전화 충전, 기기 간 데이터 전송 등 역할을 이상 반응 없이 해내기 때문에 의심하기도 쉽지 않다. 그러나 케이블을 연결하는 순간부터 해커는 무선으로 내부 서버에 접속할 수 있게 된다. 인터넷이 연결되어 있지 않아도 상관없다. 수십 킬로미터 떨어진 곳에서 케이블 속의 스파이칩을 활용해 내부 서버를 훤히 들여다보고 마음대로 조종할 수 있는 것이다. 10여년 전 제조된 스파이칩으로도 최대 10㎞ 떨어진 기지에서 해킹에 성공할 수 있는 것으로 알려졌다. 지금은 훨씬 더 성능이 고도화했을 것으로 보인다.

아무 데나 숨기는 쌀알 크기의 ‘스파이칩’

특히 보안이 더 철저해야 하는 국가시설은 오히려 스파이칩에 더 치명적인 약점을 갖고 있다. 이들이 보안 유지를 위해 조성해놓은 보안 네트워크 환경이 스파이칩에는 속수무책이기 때문이다. 보통 국가기관, 금융, 기업은 보안 유지를 위해 자체적으로 만든 내부 인터넷망을 사용하는데, 이를 ‘망분리’라고 한다. 지방자치단체에서 만드는 공용 와이파이 같은 공용 네트워크는 보안이 약해 해커가 손쉽게 망을 낚아채 그 안에서 오가는 정보를 들여다볼 수 있다. 반면 기관이 자체적으로 만든 내부망 안에서는 어떤 정보나 시스템도 들어오거나 나갈 수 없다. 기존의 디도스 공격, 멀웨어 해킹 및 무선랜(와이파이)을 해킹하는 방법이 망분리 환경 아래에서는 거의 무력화된다.

그러나 스파이칩이 연결되면 망분리도 소용없게 된다. 스파이칩에서 자체적으로 임의 연결망을 만들고, 기존의 장비로는 탐지하기 어려운 주파수를 통해 외부와 소통하기 때문이다. 국내 보안 솔루션 기업 ‘지슨’의 이원중 부사장은 이를 “망분리의 완전한 무력화”라고 설명한다.

“통신 경로를 하나 더 만든다고 생각하면 쉽다. 최근 대부분 기관은 보안 환경 유지를 위해 사실상 망을 다 따로 쓰고 있다. 기기별로 인터넷 연결이 되는 것도, 안 되는 것도 있게끔 관리를 잘하고 보안에 신경을 써도 마찬가지다. 스파이칩을 꽂아만 놓으면 별도의 통신 경로가 무선으로 생긴다. 망분리를 해놓는 이유가 없어지는 거다. 어떻게든 스파이칩 하나를 꽂아 놓고만 있으면 사내 기밀이든 국가 기밀이든 사람이 직접 개입하지 않아도 충분히 빼낼 수 있다.”

실제로 이러한 스파이칩을 활용한 해킹 시도가 국내에서 발각되기도 했다. 지난해 4월 한 육군 대위는 북한 공작원에게 비트코인 등 4800만원어치 가상화폐를 받고 북한 지령에 따라 한국군 전장망 해킹을 시도했다가 경찰청·군사안보지원사령부(현 국군방첩사령부), 서울중앙지검에 발각돼 구속·기소됐다. 이때 해킹에 쓰려던 장치가 스파이칩이 내장된 ‘포이즌탭’이었다. 당시 이 대위는 스파이칩이 내장된 장비를 전달받고 이를 군 내 서버에 연결할 장치를 만드는 과정에서 발각당했다. 다행히 군 내부 시스템에 연결하지는 못했지만, 군 및 수사 당국이 조금만 늦었더라면 자칫 대형 사태로 번질 수도 있었다. 업계에 따르면 이러한 포이즌탭을 제작하는 데 드는 비용은 단 12만원 내외다.

스파이칩으로 국방부 해킹 시도하다 검거

요즘 국제적으로 치열하게 전개되는 ‘사이버 전쟁’에서도 무선 백도어 해킹이 빈번하게 활용되고 있을 거란 우려가 나온다. 실제로 2018년 미국은 중국 정부가 화웨이·ZTE 등의 5G 통신 장비에 무선 백도어를 설치해 스파이 활동을 한 정황이 있다며 제재를 시작했다. 이어 정부기관들에 이 같은 중국 업체들이 생산한 제품 사용을 금지하는 국방수권법을 통과시켰고, 미국 기술을 사용하는 제3국 기업에 화웨이와 거래하지 못하도록 하는 행정명령도 발동했다. 화웨이·ZTE사에서 제품을 생산할 때 납품 초기 단계부터 스파이칩을 심어놓았을 가능성을 염두에 둔 것이다.

거꾸로 미국 당국이 스파이칩을 활용한 백도어 해킹 방법으로 세계 곳곳에서 해킹 작업을 벌이고 있다는 사실 역시 내부자 폭로로 밝혀진 바 있다. 2013년 미국 국가안보국(NSA) 계약요원인 에드워드 스노든이 세상을 발칵 뒤집은 ‘프리즘 폭로 사건’에 이 내용이 들어가 있다. 그는 미 NSA가 2008년부터 중국 등 전 세계 약 10만대 컴퓨터 네트워크에 무선 전파 조작 방식을 활용해 침투해있다는 사실을 폭로했다. 설계 당시부터 회로 기판에 칩을 심거나 USB 카드를 통해 컴퓨터에 연결한 다음 원격 조종센터를 활용해 전산망을 마비하거나 정보를 빼냈다는 것이다. 스노든의 폭로는 세계적으로 거대한 파장을 불러왔지만, NSA 내부에서 해당 사실을 인정하거나 특정 제품을 검사하는 일은 없어 실제로 스파이칩을 색출해내지는 못했다.

사실 보안업계나 정부부처, 기업에서도 이러한 공격의 위험성을 인지하고는 있지만, 명백한 증거를 확보하기가 어려운 탓에 사례 공개가 활발하게 이뤄지지는 못하는 상황이다. 그런 가운데 미 정부는 지난 3월 초 새로운 ‘국가 사이버 안보 전략’을 공개하고 중국, 러시아, 이란과 북한을 사이버 위협국으로 지목해 공세적으로 대응하겠다고 발표했다.

사이버안보기본법 제정이 시급하다

윤석열 정부에서는 이러한 국제 사이버 안보 위협에 대응하기 위해 지난해 11월 국가정보원을 필두로 범정부 차원의 정보 수집 및 대응을 하겠다는 내용의 국가사이버안보 기본법 제정을 입법예고한 바 있다. 입법예고까지는 했지만 민간 감시 수단으로 사용될 수도 있다는 점이 우려돼 법안 통과까지는 장기적인 여론 수렴이 필요할 것으로 보인다.

업계 전문가들은 가공할 스파이칩과 백도어 해킹의 위험성을 감안하면 국가사이버안보 기본법 제정 등 정부의 적극적인 보안 유지 노력이 필요한 상황이라고 말한다. 임종인 고려대 정보보호대학원 석좌교수는 “사이버전에는 전시와 평시가 없다. 그런데 지금 우리 정부에서는 정보 수집 남용을 피하기 위해 산업별로, 시기별로 나눠서 보안 관리를 하고 있을 따름”이라며 “위기의식의 부재”라고 지적했다. 임 교수는 “사이버 안보는 국경 없이 이뤄지기 때문에 대외적인 대응이 절실한데 우리는 국내법에 발이 묶여 있는 상황”이라며 “국정원이든 국가안보실이든 국가가 위기의식을 가지고 적극적으로 사이버 전쟁 상황에 맞는 제도를 갖춰놔야 한다”고 했다.

그러나 민간인 사찰 논란을 빚었던 국정원을 컨트롤타워로 삼아 모든 국가 보안 상황을 통합 관리한다는 국가사이버안보 기본법에 역시 우려를 표하는 목소리도 나온다. 한 업계 관계자는 “결국 신뢰의 문제”라며 “헤드 기능을 국정원이 한다는 점에서 국회에서 큰 허들을 넘어야 할 것으로 보인다”고 말했다.

[출처] https://www.chosun.com/national/2023/03/26/OFITXVYDOJE6JNP6FE5756ITUE/