'문화 지체', 물질문명의 변화에 비해 비물질적, 정신적 문화 요소의 변동 속도가 느려 생기는 부조화를 의미한다. 과학 기술과 사회 인식은 상호작용하며 사회가 발전하는 데 기여하고 있지만, 우리는 사회 인식이 과학 기술을 따라가지 못해 발생하는 문제에 종종 맞닥뜨린다.
전자폐기물은 대표 사례 중 하나가 될 수 있다(스마트폰, 스마트워치, 노트북 등). 4차 산업혁명과 코로나19 등으로 전자제품과 전자부품 수요가 증가하며 전자폐기물 역시 전례없는 수준으로 늘었지만, 폐기물 처리에 대한 인식 부족으로 이를 관리할 인프라는 기술 발달 속도에 미치지 못하고 있다.
이에 따라 전자폐기물에서 정보가 유출되거나 집적회로, 지식재산 탈취와 같은 심각한 보안 위험이 곳곳에 존재한다. 이같은 상황에도 전자폐기물에 관한 논의는 환경과 사회적 관점에만 한정돼 있으며, 보안과 관련된 연구와 논의는 아직 부족하다.
전자폐기물 산업 현황을 살펴보고 아직은 논외로 빠져있는 보안 관점에서 전자폐기물 산업의 문제를 정리하며, 이를 통해 전자폐기물에서 발생하는 보안 문제의 심각성을 인지하고 대응책을 준비하고자 한다.
전자폐기물은 정의가 통일되지 않은 채 여러 용어와 개념으로 혼재돼 있다. 유럽연합(EU) WEEE(European Union Waste Electrical and Electrical Equipment) 지침에서는 전자폐기물을 '폐기 당시 제품의 일부인 모든 구성 요소 및 하위 조립품, 소모품'으로 정의한다. 쉽게 말해 사용자가 사용하다가 버린 낡고 수명이 다한 휴대폰, 컴퓨터, 냉장고 등 전기·전자제품과 전자 장비, 그 부품에서 나오는 쓰레기를 말하며 해외에서는 E-waste(Electronic-waste) 또는 WEEE로 표기한다.
세계경제포럼에 따르면 2019년 세계적으로 전자폐기물은 5억3600만t이 배출됐고, 2030년과 2050년에는 각각 7억 4700만t, 1억1000만t에 이를 것으로 예측된다. 또한, 2020년 약 500억 달러였던 전자폐기물 시장 규모 역시 2028년에는 1440억 달러로 성장할 것으로 관측되며, 이는 연평균 14.3% 성장률로 폐기물 시장 내 가장 높은 수치다.
이처럼 대량 발생하는 전자폐기물은 주로 매립, 소각, 재사용, 재활용 과정을 거쳐 처리된다. 매립과 소각은 용어 그대로 땅에 묻거나 태우는 것을 의미하며 가장 단순하고 간단한 처리 방법이다. 그러나 전자폐기물에는 중금속, 유기 오염 물질, 난연제 등과 같은 독성 화학 물질이 포함돼, 적절한 처리 과정을 거치지 않으면 토양과 지하수를 오염시키는 등 환경에 부정적인 영향을 미치기 때문에 권장되지 않는다. 재사용은 버려진 전자제품 내 일부 부품 등을 다시 사용하는 방법으로 직접적인 폐기는 아니지만, 이론적으로 전자폐기물 발생을 100% 감소시킬 방법이다. 재활용은 전자폐기물을 해체 및 분류 등 가공해 구리나 금처럼 경제적 가치가 있는 원료를 분리해 사용하는 것을 말한다. 해외 각국에서는 R2 표준 및 E-STEWARDS 표준과 같이 재활용 관리를 위한 인증을 설계, 전자폐기물이 인체와 환경에 미치는 영향을 줄이고 자원을 절약하도록 권장하고 있다.
이제까지 전자폐기물은 주로 환경·건강·사회 관점에서 주로 다뤄졌으나, 최근 보안 관점도 중요한 문제로 대두되고 있다. 전자폐기물의 보안 위험은 중요자산이 폐기라는 생애주기의 마지막에 도달한 특성상 대부분 역공학과 관련해 발생한다. 역공학(Reverse Engineering)은 제품의 구조를 역으로 추적 및 분석, 설계 또는 기술적 원리를 파악하는 방법이다. 전자폐기물의 본래 형태인 반도체와 같은 전자회로에 대한 역공학은 다음과 같은 절차에 따라 진행된다. 먼저 집적화되어 있는 전자회로의 구성요소를 식별하고(제품 분해), 기능성을 기준으로 신호 경로와 연결을 분석한다(시스템 수준 분석). 그다음 구조적 내용과 함께 부품소재에 대한 특성을 파악한 다음(프로세스 분석), 트랜지스터 수준까지 층을 제거한 상태에서 세부적인 모듈과 상호 연결성을 추출해 가며분석을 진행한다(회로추출).
이러한 역공학 과정을 거쳐, 전자폐기물에서 발생하는 보안 위험은 다양한 측면으로 발생한다. 현재 확인 가능한 보안 위험은 크게 무형의 기술·정보를 포함하는 △콘텐츠 측면의 보안 위험 △가시적으로 확인할 수 있는 부품·소재 측면의 보안 위험 등으로 크게 분류될 수 있다.
연구개발 도중 폐기된 집적회로는 배치설계 기술의 유출 통로가 될 수 있다. 집적회로(IC)는 복잡하고 정밀한 전자회로 소자를 작은 반도체 속에 집약해 하나의 전자회로로 구성한 것이며, 설계 시 막대한 비용과 시간이 투입된다. 완성된 집적회로는 신 지식재산권인 반도체 배치설계권으로 보호받으며 일부 설계기술은 국가의 핵심기술로 지정·보호받고 있다. 문제는 집적회로가 제품을 분해해 구조를 분석하는 역공학 공격에 취약하다는 점인데, 연구개발 도중 폐기된 집적회로는 별도의 법적인 보호 수단도 없어 역공학 시 연구가 진행된 단계까지의 기술을 손쉽게 습득할 수 있다. 반도체 분야 전문가에 따르면 글로벌 반도체 기업의 해외 법인에서 폐기물이 운송 중 도난당하는 사례가 발생하기도 했으며, 외국인이 국내에 폐기물 처리업체를 세우고 반도체 전자폐기물 입수를 시도한 정황이 확인됐다.
전자폐기물에서 개인정보, 신용카드 정보, 국가 중요정보, 기업 기밀정보 등 다양한 정보 역시 유출될 수 있다. 전자폐기물로 분류돼 폐기되는 하드디스크 등 저장 매체와 노트북, 스마트폰 등에는 민감한 정보가 다수 저장돼 있기 때문이다. 해외 연구에 따르면 이들 정보는 제3세계 불법시장에 유입돼 2차 범죄에 활용되기도 한다. 더구나 정보를 삭제하고 전자제품을 버리더라도 물리적 파쇄 혹은 여러 차례 덮어씌우기 등 강력한 방법으로 처리하지 않으면, 대부분 정보는 '디지털 포렌식' 기술로 복구될 수 있다. 미국은 NIST 800-88 또는 NAID AAA 인증을 통해 데이터를 완전히 삭제하도록 하고 있지만, 전자폐기물에 관한 대중의 인식은 여전히 미진해 버려진 저장 매체에서 데이터가 유출되는 사고가 끊임없이 일어나고 있다.
한편, 반도체 산업에서 분류될 수 있는 중요정보에는 앞서 설명한 배치설계 외에도 생산품 대비 합격품의 비율에 해당하는 수율, 집적회로를 구성하는 데 사용된 소재와 화학품 등이 있다. 이들은 일반적으로 기업이 영업비밀로 관리해 비공개 상태로 유지되는 데, 전자폐기물을 확보한 공격자는 폐기된 반도체 부산물로부터 반도체의 수율을 추론하거나, 소재에 대한 분석을 통해 단편적 기술 탈취를 넘어 채산성까지 확보하는 보다 '완전한 기술력의 확보'를 달성할 수 있게 된다. 아울러 부품 재사용 처리는 전자폐기물의 전체 제품이나 일부 부품을 추출, 다시 사용하는 방법이다. 이렇게 재사용 되는 전자폐기물은 가격 측면 이점을 바탕으로 중고 부품이 돼 2차 시장을 통해 전자부품 공급망에 다시 진입할 수 있다.문제는 재사용되는 전자폐기물 공급망 중간에 악의적 목적을 가진 공격자가 악성코드를 설치할 수 있다는 점이다. 이렇게 악성코드가 포함된 중고 전자부품은 공격자에게 원격 접근 기회를 제공하거나, 중요정보를 공격자에게 전송할 수 있게 된다.
일반적으로 주요 자산의 생애주기(Life Cycle)는 생산, 활용(유통), 폐기로 정리될 수 있다. 이제까지의 집중적인 보안의 대상은 생산과 활용(유통) 부분이었으며, 생산과정에 대한 공급망 보안, 활용과정에 대한 콘텐츠 보안으로 맞추어져 왔다.
반면, 폐기 단계의 보안활동은 폐기 활동 자체에 대한 보안서약서 작성에만 한정되어왔다. 세부적으로 전자폐기물에 대한 보안활동은 'E-waste 보안'으로 정리될 수 있으나, 아직은 제도적 관점에서조차 논의가 부족한 상태이다. 국내외 전자폐기물 처리 관련 법령은 모두 환경·건강·사회 문제 해결을 위한 규제 활동에 주로 초점이 맞춰져 있고, 전자폐기물 처리 단계에서 발생할 수 있는 정보유출 위험을 관리하기 위한 규정은 부재한 상황이다.
현재 국가 핵심기술에 대한 보호 방법을 규정한 보호 지침에서도 폐기 단계에서의 대상물에 관한 상세한 처리규정은 확인되지 않는다. 이러한 체계에서는 외국에서 국내 첨단기술의 연구개발 산출물을 확보하기 위해 저가 입찰을 통해 접근하거나, 연구개발 산출물이 저장된 폐기물을 해외에 불법으로 팔아넘기는 행위를 막는 데 한계가 존재한다.
따라서 실질적인 E-waste 보안 구현을 위해서는 단편적 폐기 확인서 제출 수준을 넘어 객관적으로 검증된 물리 및 화학적 방법을 통해 보안활동을 규정할 필요가 있으며, 국가적 수준의 첨단전략산업과 핵심기술을 위한 보안지침에 이를 반영하여야 한다. 세부적으로 조직 내부에서 폐기물을 처리하는 경우와 조직 외부에서 폐기를 처리하는 경우를 구분하고, 검증(인증) 및 객관화된 방법을 설계해 완전폐기에 관한 실효적인 통제항목을 개발할 필요가 있다.
빠르게 변화하며 고도화되고 있는 기술은 새로운 제품과 서비스를 제공하고 있지만, 이와 반대되는 측면에서 전자폐기물 위험은 환경적 관점 뿐만 아니라, 보안 문제에서도 안전한 처리에 관한 중요한 의미를 지닌다. 그러나 전자폐기물 보안 문제에 관한 심각성에 대한 인지 수준은 여전히 부족한 상태로 남아있다. 소위 주요 자산 생애주기에 있어 마지막 단계, 폐기에 관한 안전성 확보 노력에 관심을 모아야 할 시점이 왔다.
장항배 중앙대 산업보안학과 교수 hbchang@cau.ac.kr
〈필자〉중앙대 산업보안학과 교수로 재직하면서, (사)한국산업보안연구학회 학회장을 역임했다. 현재 4단계 BK21 '사이버 물리공간 청정화 연구사업단' 단장을 수행하면서, 미래 융합 공간에서의 오염요소(기술유출과 탈취, 사이버범죄 등)를 최소화하기 위한 다학제적인 연구를 진행하고 있다. 현재 2019년부터 한국공학한림원 기술경영정책분과 일반회원으로 활동하고 있다.
