스파이칩 스캔들…'공급망 공격' 위험 부각

[아이뉴스24 김국배 기자] 애플, 아마존 등 미국 기업이 중국 정부의 초소형 스파이칩을 이용한 해킹 공격을 받았다는 의혹이 제기되면서 '공급망 공격' 위험성이 부각되고 있다.

공급망 공격은 악의적 의도로 생산 라인에 개입해 피해를 입히는 것을 뜻한다.

8일(현지시간) 외신 등에따르면 중국정보기관이 수퍼마이크로 서버 메인보드에 초소형 칩을 심어 정보를 빼내갔다는 블룸버그비즈니스위크(BBW) 보도에 대해 해당 미국 기업들은 강하게 부인하고 있다.

미국 국토안보부(DHS)까지 나서 이번 사태와 관련 "언급된 기업들의 진술을 의심할 이유가 없다"는 취지의 성명을 내면서 새로운 국면을 맞고 있다.

그러나 사실 여부를 떠나 공급망 공격 위험성이 커지고 있는 것만큼은 분명하다는 점에서 사태를 주목할 필요가 있다는 지적도 있다. 그동안 보안업계에서는 이 같은 공급망 공격 수법이 증가할 것을 경고해왔다.

합법적인 소프트웨어(SW) 개발·배포 단계에 악성코드를 숨기는 'SW 공급망 공격'이 수없이 발견되며 사이버 스파이 조직 활동 가능성이 꾸준히 제기된 것.

특히 이번 같은 하드웨어(HW) 공급망 공격은 드물지만 피해는 더 치명적일 수 있다는 분석이 많다. 발견 자체가 어렵고, SW와 달리 패치 업데이트 등 조치를 취하기도 쉽지 않기 때문이다.

이번에 발견됐다는 스파이칩만 하더라도 크기가 쌀알보다 작지만 악성코드를 다운로드하고 서버 운영체제(OS)를 감염시킨다고 전해졌다.

러시아 보안업체 카스퍼스키랩에 따르면 공급망 공격을 사용하면 해커 입장에서 공격 대상 분야 여러 기업에 침투할 수 있으면서, 시스템 관리자와 보안 솔루션의 '레이더'에 잘 포착되지 않는 장점이 있다.

김승주 고려대 정보보호대학원 교수는 "인텔 CPU 칩 사태에서 보듯 하드웨어 칩 레벨의 공격은 파급력이 크며, 탐지도 어렵다"고 지적했다.

한국도 이런 공격에서 예외가 아니라는 점에서 공급망의 무결성을 검증할 수 있는 능력 확보가 시급하다는 게 전문가들 지적이다.

이상진 고려대 정보보호대학원장은 "우리는 중국이 개발한 HW에 미국이 개발한 SW를 탑재한 뒤 우리 환경에 맞는 SW를 일부 개발해 사용하고 있다"며 "저가의 우수 제품을 독자적으로 만들지 못한다면 주어진 제품의 HW, SW의 보안성을 평가할 능력이라도 확보해야 한다"고 꼬집었다.

이어 "안전성 평가 기술은 상업성이 크지 않고 사람에 의존하는 특성이 있기 때문에 민간에서 자체적으로 개발되기는 어려워 국가가 육성해야 한다"고 강조했다.