정부가 새로운 국가 사이버 안보 체계인 '다중계층보안(MLS)' 체계에서 그동안 등한시해온 서버·스토리지 등 하드웨어 보안 통제를 강화한다. 국가·공공기관 납품 시 시큐어코딩 등이 의무화된 소프트웨어와 달리 '프리패스'인 하드웨어가 사이버 안보 위협으로 떠올라서다.
24일 정보보호산업계에 따르면, 국가 망보안정책 개선 태스크포스(MLS TF)는 보안통제 항목에 일명 '하드웨어 자재명세서(H-BOM)'를 포함하는 방안을 유력하게 검토하고 있다. 하드웨어도 국가·공공기관 납품 시 구성요소와 원산지, 스펙, 제조사 등을 공개하고 철저히 검증하겠다는 취지다.
TF는 내년 시행을 목표로 MLS 전환 로드맵을 마련하고 있다. 공공기관이 보안대책 수립에 필요한 보안통제 항목을 인증·통제·데이터·탐지·대응·복구 등 6개 영역에서 180여개 항목으로 가다듬고 있다.
TF가 통제 항목에 H-BOM을 담으려는 것은 하드웨어가 보안 통제 사각지대에 놓였다는 판단에서다. 현재 서버와 스토리지 등 하드웨어는 보안 검증 없이 운영성 관련 인증만 거치면 국가·공공기관에 납품되고 있다. 하드웨어에 스파이칩 등 악의적 부품 탑재 여부, 외부에서 접속 가능한 백도어(인증 절차 없이 시스템에 접근할 수 있도록 만들어 놓은 비공개 통로) 검증 절차 등이 없다. 서버에 탑재되는 애플리케이션이 보안적합성 검증 대상 제품일 경우에도 애플리케이션만 검증받고 서버는 무사통과다.
보안업계는 하드웨어 보안 체계가 무방비 상태나 다름없으며 레바론 무장단체 헤즈볼라를 타깃으로 한 무선호출기(삐삐) 폭탄 공격을 반면교사 삼아야 한다고 강조한다.
한 보안기업 대표는 “악의적인 스파이칩을 설치해 데이터 센터에 화재를 발생시키나 전체 시스템 전원을 동시에 온·오프해 과부하를 일으키는 공격은 일도 아니다”라며 “정부가 하드웨어를 철저히 검증하거나 개발사가 하드웨어 무결성을 입증하는 제도적 장치가 필요하다”고 강조했다.
TF는 MLS의 기밀(C), 민감(S), 공개(O) 등급 중에서 우선 C 등급에만 하드웨어 납품 시 H-BOM 검증을 적용할 방침이다. S등급의 경우 국산 또는 우방국 하드웨어를 도입하도록 유도할 계획이다. 하지만 하드웨어 보안 중요성이 커지는 만큼 H-BOM을 확대 적용해야 한다는 의견도 나온다.
정보보호업계 관계자는 “미국 국립표준기술연구소(NIST)는 하드웨어 무결성을 '시스템의 물리적 구성 요소들이 무단 변경 또는 수정으로부터 보호되는 것'으로 정의, 하드웨어 구성요소 출처를 확인하고 무결성을 검증한다”면서 “일본은 미국 회사 제품이라도 중국에서 조립했다면 통제하는 식으로 하드웨어 보안 강화책을 펼치고 있다”고 말했다.
조재학 기자 2jh@etnews.com