[시평]스파이칩 확산과 사이버안보법 시급성

2023. 4. 6. 11:45
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
이호근 연세대 경영대학 교수
‘스마트폰 떨어뜨렸을 뿐인데’
최근 영화는 해킹 위험성 조명
정보 빼가고 대리인 행세 가능
서버와 주변기기 어디든 설치
미국은 중국 장비의 수입 봉쇄
범국가적 컨트롤타워 만들 때

최근 스마트폰 해킹이 한 인간을 끝없는 나락으로 빠뜨리는 영화를 감상했다. 현대인 누구에게나 일어날 수 있는 이야기다.

당신이 실수로 버스에 두고 내린 스마트폰을 주운 해커가 휴대전화에 ‘스파이칩’을 설치한 후 당신에게 돌려준다. 휴대전화를 통해 당신의 취미·직업·경제력·인간관계 등 모든 것을 알아낸 해커는 스마트폰 카메라를 통해 당신의 일거수일투족을 지켜본다. 화면이 꺼진 상태에서도 원격으로 휴대전화를 조종한다. 스마트폰 보안이 뚫리면 나의 모든 정보와 비밀이 밝혀지는 건 물론 누군가가 내 행세를 하면서 돌아다닐 수도 있다는 설정은 디지털 시대의 어두운 그림자를 생생하게 보여준다.

해킹과 보안은 마치 ‘창과 방패’와 같다. 기발한 해킹 방법이 출현하면, 이를 방어하는 보안 기술이 만들어지고, 곧바로 신규 보안 대책을 무색하게 하는 새로운 해킹 기술이 나타나는 식이다. 영화에서 해커가 스마트폰에 심어 놓은 ‘스파이칩’은 현미경으로 들여다봐야 할 만큼 작은 쌀알 크기의 전자칩이다. 스파이칩을 사용하는 이러한 침투 방법을 ‘무선 백도어 해킹’이라 부른다. 백도어(backdoor)는 말 그대로 ‘뒷문’을 의미한다. 정상적인 인증 과정을 거쳐 시스템에 접근하는 것이 ‘정문’을 통과하는 것이라면, 비정상적인 경로인 ‘뒷문’으로 몰래 접근한다는 의미다.

스파이칩은 스마트폰이나 서버의 생산 단계에서 메인보드에 삽입될 수도 있지만, 키보드나 마우스, 이동식 메모리(USB) 등 주변장치에 몰래 설치돼 연결될 수도 있다. 전자의 경우 조립 단계부터 일일이 설계도와 비교하면서 육안으로 스파이칩을 발견해야 하고, 후자의 경우도 겉보기에는 일반 장치와 똑같은 모양을 하고 있어 사전에 인지하기가 상당히 어렵다.

스파이칩이 내장된 서버와 주변기기를 구매하면, 전원을 켜는 순간부터 해당 기관의 해킹이 가능하다. 키보드나 마우스 같은 주변장치를 연결했을 뿐인데 나도 모르는 새 관리 권한이 해커에게 넘어간다. 원격 접속은 물론, 전체 시스템을 해커가 멋대로 셧다운시킬 수도 있다. 스파이칩은 국가기관이나 금융 기업이 보안을 위해 인터넷과 분리된 내부망을 사용하는 ‘망분리’도 무력화한다. 스파이칩이 스스로 무선 연결망을 만들고, 기존 장비로는 탐지가 어려운 무선 주파수로 해커와 소통하기 때문이다.

이제 우리는 스마트칩을 꽂아 놓기만 하면 기업 비밀이든 국가 기밀이든 사람이 직접 개입하지 않아도 충분히 절취할 수 있는 시대에 살고 있다. 지난해 4월 북한 공작원에게 매수당한 육군 대위가 북한의 지령에 따라 국군 전산망 침투를 시도했을 때도 스마트칩을 사용했다. 미국 정부가 ‘국방수권법’을 제정해 화웨이와 ZTE의 5G 통신장비 수입을 금지한 것도, 이들 중국 기업이 생산 단계에서 스파이칩을 심어 뒀을 가능성에 대한 우려에서 시작됐다.

스파이칩을 사용해 국방과 행정부를 대상으로 진행돼 온 사이버 공격이 민간 기업, 일반 사용자를 대상으로 확대되고 있어 국가 안보는 물론이고 경제와 국민 생활까지 위협하고 있다. 하지만 우리나라는 사이버 해킹에 공공과 민간이 각기 독립적으로 대응하고 있어, 사이버 위협에 효율적으로 대처하지 못한다는 비판이 끊임없이 제기돼 왔다. 공공·민간·국방 등 분야별로 나뉘어 있는 사이버 해킹 대응 체계를 총괄하는 국가 차원의 컨트롤 기구와 이를 위한 기본법 제정이 꼭 필요한 이유다.

2006년 노무현 정부 시절부터 사이버 위기 대응을 위한 범국가 차원의 기본법을 마련하기 시작했지만, 17년이 지난 지금까지도 제정되지 못하고 있다. 현 정부가 지난해 말 ‘국가 사이버안보 기본법’을 입법 발의했지만, 국가정보원이 사이버 보안을 위한 컨트롤타워 역할을 할 수 있다는 야당의 반발 때문에 진전이 없는 상태다. ‘국정원 민간사찰’에 대한 피해 의식이 있는 야당이 사이버 해킹을 핑계로 국정원이 민간을 사찰할 수 있다고 우려하기 때문이다. 4차 산업혁명 시대를 대비하는 사이버 국가안보에 여당과 야당이 따로 있을 수 없다. 더 늦기 전에 정치권이 사회적 합의를 통해 사이버 전쟁 상황에 맞는 범국가 차원의 컨트롤타워와 기본법을 반드시 마련해야 한다.

Copyright © 문화일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
문화일보에서 직접 확인하세요. 해당 언론사로 이동합니다.