프로그램 공급망 공격 막을 수 없나
“원자력 발전소를 비롯해 KTX, 금융기관, 하다못해 정부통합센터에 들어가는 소프트웨어에 백도어가 설치돼 있을 것으로 추정합니다. 저는 이것이 원전 위조 부품보다 훨씬 더 큰 문제라고 생각합니다.”
국내 정보 보안과 해킹 부문 최고 전문가로 꼽히는 임종인 고려대학교 정보보호대학원장은 소프트웨어(SW)나 하드웨어(HW) 개발 단계에서 악성코드가 유입되는 `공급망 공격`의 위험성에 대해 이같이 경고했다. 국가 주요 인프라에 적용되는 소프트웨어와 하드웨어에 악의적인 목적의 악성코드가 숨겨져 들어가게 되면 심각한 피해를 야기할 수 있다는 것이다.
임 원장에 따르면 중국 기업들이 국내 공공기관 입찰에서 가격 경쟁력을 앞세워 다수의 공급권을 따내고 있다. 중국 기업들은 이를 재하도급하는데 북한 소프트웨어 회사들이 덤핑을 해서라도 수주해, 자신들의 SW를 넣는다는 것이다.
이 같은 개발 및 제조 과정에서 악성코드가 설치될 가능성이 있지만 우리나라는 검수 단계에서 이를 알지 못한다는 게 임 교수의 지적이다.
또 알려지지 않은 침투를 사전 탐지해 막는다는 건 사실상 불가능하기 때문에 누구도 안전을 담보할 수 없다고 강조했다.
임 원장은 이 같은 측면에서 최근 논란이 되고 있는 LG유플러스의 화웨이 장비 도입이 우려가 된다고 밝혔다.
그는 “화웨이가 나쁜 일을 할 것이라고는 생각하지 않는다. 하지만 외주 과정에서 북한 등이 참여해 활동할 수 있기 때문에 걱정이 많이 된다”고 말했다.
공공기관이 발주하는 정보기술(IT)·정보인프라 구축사업에 국내 대기업 계열 SI업체들의 참여가 제한된 점도 보안상 약점을 야기할 수 있다고 우려했다.
임 원장은 보안성을 강화하기 위한 방안이 마련돼야 한다고 강조했다. 그는 “민간 분야라도 방위산업체나 중요 시설에는 정부가 보안성 강화 측면에서 관여를 할 수 있어야 하는데 지금은 정보를 공유할 수 있는 근거도 없다”고 지적했다.
윤건일기자 benyun@etnews.com
