내 휴대폰 속에도 스파이가?…더 중요해졌다, 일상의 ‘뒷문 단속’

보안 구멍 만들어 해킹하는 ‘백도어’…전 세계 작년 한 해 8배 ↑

하드웨어에 ‘칩’ 심은 후 원격 조정
내부·외부 망 분리해도 ‘무용지물’
정보 암거래 규모 커지며 범행 진화
설치만으로 처벌하는 법안 발의 중

개인은 백신 사용 등 생활화 ‘필수’

러시아 연방보안국(FSB)은 최근 미국 국가안보국(NSA)이 애플 아이폰을 다른 나라를 염탐하기 위한 ‘스파이폰’으로 활용한다고 주장했다. FSB는 “애플의 모바일 기기를 활용한 미국 특수기관의 정보 활동을 적발했다”며 “국내 가입자 휴대전화를 포함해 수천대의 애플 휴대전화가 감염됐다”고 밝혔다. 애플은 “우리는 백도어를 넣기 위해 어떤 정부와도 협력한 적이 없다”며 일축했다.

중국산 스마트폰에 백도어가 설치돼 있다는 의혹도 제기됐다. 영국 에든버러대와 아일랜드 트리니티칼리지 더블린 연구팀이 오포, 샤오미, 원플러스 등에 탑재된 애플리케이션(앱) 등을 분석한 결과다. 연구팀은 중국 내수용 스마트폰에는 글로벌 판매용보다 3~4배 많은 앱이 사전 설치돼 있으며, 이를 통해 위치정보와 휴대전화 사용 패턴 등이 유출된다고 했다. 중국 내수용 폰을 온라인 등으로 구매해 쓰는 건 위험하다는 주장이다.

‘백도어(backdoor)’를 영문 그대로 해석하면 ‘뒷문’이다. 인증되지 않은 사용자에 의해 컴퓨터의 기능이 무단으로 사용될 수 있도록 몰래 설치된 통신 연결 기능을 뜻한다.

백도어는 소프트웨어 백도어와 하드웨어 백도어로 구분할 수 있다. 소프트웨어 백도어는 일반적인 프로그램으로 위장해 정보를 유출하거나 외부 공격자에게 관리자 권한을 부여한다. 공격자는 네트워크에 연결된 다른 PC나 서버에도 접근해 기밀을 빼돌릴 수 있다.

하드웨어 백도어는 제품 제조나 조립 과정에서 악성 기능을 수행하는 스파이칩을 탑재하는 방식이다. 칩이 내장된 키보드, 마우스, USB 등을 통해서도 해킹이 이뤄진다. 탑재된 칩을 이용해 원격으로 악성코드를 전파하거나, 기기에서 데이터를 유출한다. 특별히 제품을 분해해 검사하지 않는다면 존재를 파악하기 어렵다.

■ 백도어 시장 활성화…잡기 힘든 범행

지난해 세계적으로 백도어 탐지 건수는 9400만건으로 2021년(1200만건)에 비해 8배가량 증가했다. 보안업체 안랩에 따르면 같은 해 상반기 국내에서 발견된 악성코드 중 18％가 백도어였다.

불법적으로 형성된 정보 암거래 장터인 백도어 액세스 시장 규모도 커지고 있다. IBM시큐리티가 지난 3월 발표한 연례 보고서 ‘엑스포스 위협 인텔리전스 인덱스’에 따르면 백도어 액세스 권한은 시장에서 신용카드 데이터보다 100배 비싼 1만달러에 판매되고 있다. 보고서는 백도어의 경우 범행이 발각되기 어렵고 지속적인 해킹이 가능해 높은 가치를 인정받는다고 분석했다.

내부 보안자료를 해킹으로부터 보호하기 위해 업무용 내부망과 외부 인터넷망을 분리하는 ‘망 분리 정책’도 백도어는 무용지물로 만든다. 업무용 내부망에 스파이칩이 심어져 있다면 무선 접속을 통해 정보가 줄줄 샐 수밖에 없다.

백도어의 존재는 해킹에 가담한 세력의 사후 폭로 등을 통해 드러나는 사례가 대부분인 게 현실이다. 미국이 2008년부터 중국과 러시아, 유럽연합(EU) 등에 있는 10만대의 망 분리 컴퓨터를 상대로 벌인 백도어 해킹은 2013년 중앙정보국(CIA) 출신인 에드워드 스노든의 폭로로 뒤늦게 알려졌다.

국내에서는 2019년 화웨이 통신장비를 두고 백도어 시비가 있었다. 미국 정부는 화웨이를 ‘안보 위협 블랙리스트’에 올렸으며, 화웨이와 거래하는 업체들을 상대로 건건이 정부 승인을 받게 했다.

결국 SK텔레콤, KT는 5G 네트워크 구축에 화웨이 장비를 배제했고, LG유플러스도 서울과 경기 지역 일부에만 화웨이 장비를 넣었을 뿐이다. 화웨이는 백도어가 없는 안전한 장비라고 호소했지만 소용없었다. 장정쥔 화웨이 부사장은 그로부터 4년여가 흐른 지난 2월 스페인 바르셀로나에서 열린 세계 최대 모바일 전시회 ‘MWC 2023’에서 한국 기자단과 간담회를 하면서도 “백도어에 대한 소문은 실질적인 증거나 실체가 없다”고 항변했다.

■ 국내 백도어 형사처벌 강화 법안 발의

얼마 전 국회에서 백도어 설치 자체를 불법으로 규정하고 형사처벌을 명문화하는 법안이 발의됐다. 김영식 국민의힘 의원이 낸 정보통신법 개정안은 부정한 목적으로 백도어를 정보통신망 등에 설치하거나 전달 또는 유포하지 못하도록 하고 있다. 위반 시 5년 이하 징역 또는 5000만원 이하 벌금을 부과한다.

현행법도 백도어를 침해사고 유형의 하나로 규정하고 있지만, 단순 설치 행위 등에 대해서는 별도의 처벌 규정이 없어 백도어를 이용한 침해사고를 예방하는 데 한계가 있었다.

소프트웨어 백도어로 인한 피해를 막기 위해서는 백신 사용과 정기적인 보안 업데이트, 알 수 없는 파일 및 인터넷주소(URL) 실행 금지 등을 생활화해야 한다.

스파이칩을 이용한 하드웨어 백도어는 칩의 크기가 좁쌀만큼 작아 육안으로는 적발해내기가 어렵다. 기본적으로 가전제품이나 사물인터넷 기기 등을 구매할 때 무조건 저렴한 제품보다 공증된 기업 제품을 사는 게 안전하다. 일본 도시바의 자회사 도시바정보시스템이 와세다대와 함께 반도체와 회로기판에서 유해한 동작을 유발시키는 칩을 감지하는 시스템을 개발해 서비스 중이다.

국내 보안솔루션 기업 지슨의 한동진 대표는 “과거에는 주로 소프트웨어상의 허점을 이용해 백도어 해킹이 이뤄졌다면 요즘은 하드웨어 제조와 납품 단계에서 위장 장치 등을 활용해 정보를 유출하고 시스템을 셧다운시키는 일도 잦아지고 있다”고 말했다. 한 대표는 “서버룸이나 데이터센터 등 민감한 공간에 무선 백도어 해킹을 24시간 탐지 가능한 시스템을 설치하고, 이상신호 발생 시 최단 시간 내에 스파이칩을 제거할 수 있는 보안체계 구축이 필요하다”고 말했다.

구교형 기자 wassup01@kyunghyang.com