소프트웨어(SW)나 하드웨어(HW) 제조 단계에서 악성코드가 유입될 수 있다는 전문가들의 지적이 나왔다. 이른바 공급망 공격, `서플라이체인어택` 주의보다.
임종인 고려대학교 정호보호대학원 교수는 최근 열린 한 세미나에서 “국가 주요 인프라에 들어가는 SW와 HW에 악성코드가 숨겨져 들어갈 수 있다”고 밝혔다.
임 교수에 따르면 중국 기업들이 국내 공공기관 입찰에서 가격 경쟁력을 앞세워 다수의 공급권을 따내고 있다.
중국 기업들은 이를 다시 재하청 주는데 북한 SW회사들이 덤핑해서라도 수주하고 자신들의 SW를 넣는다는 것이다.
이 같은 개발 및 제조 과정에서 악성코드가 설치될 가능성이 있지만 우리나라는 검수 단계에서 이를 알지 못한다는 게 임 교수의 주장이다.
임 교수는 “원자력 발전소를 비롯해 KTX, 금융기관, 하다못해 정부통합센터에 들어가는 SW에 뒷문(백도어)이 설치돼 있을 것으로 추정한다”며 “이것이 원전 위조 부품보다 훨씬 더 큰 문제로 생각하고 있다”고 강조했다.
손기욱 국가보안기술연구소 본부장도 해외 사례를 들며 우리나라도 국가 공공기관에 공급되는 IT제품에 대한 검수가 필요하다고 주장했다.
손 본부장은 “최근 미국은 중국에서 만든 화웨이 장비의 정부 구매와 설치를 중단시켰다”며 “국내 통신장비 시장은 시스코와 화웨이가 주도를 해왔는데, 지금까지는 어쩔 수 없다 해도 새로운 네트워크에는 우리 제품을 설치하고 관리할 수 있어야 한다”고 밝혔다.
공급망 보안 필요성은 이라크전 이후로 제기됐다. 1990년 미국은 이라크전이 발발하기 전 이라크로 수출하는 컴퓨터에 국가안보국이 개발한 악성코드를 심어둔 것으로 알려졌다. 전쟁 발발과 함께 해당 악성코드를 실행시켜 이라크의 방공망을 무력화시킨 바 있다.
미국은 2012년 10월 하원 정보위원회는 조사 결과, 중국 화웨이와 ZTE의 장비들은 미국의 국가 안보에 위협이 될 수 있으므로 정부는 이들 회사의 제품을 구매하지 말고 인수·합병 역시 금지해야 한다는 보고서를 발표했다.
지난 7월 영국 정보기관들은 중국 레노버에서 생산한 PC에 백도어 프로그램이 설치돼 있을 수 있다는 의혹이 있어 중국 레노버가 생산한 PC의 공무상 활용을 금지했다는 내용이 보도되기도 했다.
윤건일기자 benyun@etnews.com
