[지디넷코리아]
미국 정부가 중국산 하드웨어 백도어 등에 탑재되는 반도체를 국가 안보 위협을 이유로 연방정부 조달을 제한하는 규정안을 내놨다. 이에 국내에서도 소프트웨어는 물론 하드웨어 공급망 기반의 은닉형 침투 위협·무선백도어 위협에 대해서도 경각심을 높여야 한다는 지적이 나온다.
15일 외신 등에 따르면 지난달 17일 미국연방관보에 게재된 이번 연방조달규정(FAR)에서는 반도체를 미국의 경제 안보와 국가 안보에 필수적인 요소로 규정하고, 생산 과정에서 적대 세력이 하드웨어 백도어, 악성 펌웨어, 악성 소프트웨어를 삽입할 가능성을 직접 언급했다.
구체적으로 “반도체 생산에는 적대자 및 기타 위협 행위자가 하드웨어, 백도어, 악성 펌웨어 및 악성 소프트웨어를 침투시킬 가능성이 있다. 이는 정부가 조달한 특정 전자 제품이나 서비스에 위험을 초래할 뿐만 아니라 정부 시스템에도 사이버 공격 위험을 초래한다”고 경고했다.
또 “반도체가 정보통신 인프라와 군사 시스템 전반에 광범위하게 활용되는 만큼, 일단 최종 제품에 통합된 뒤에는 사후 위험 식별이 한층 어려워진다”고 밝혔다.
이번 조치는 단순한 통상 규제가 아니라, 부품 생산 단계에서부터 은닉된 위협이 내장될 수 있다는 점을 미국 정부가 공식적으로 경고했다는 데 의의가 있다. 미국의 이번 규정 조치는 그간 우리나라가 국회 국정감사를 통해 다양하게 제기한 무선백도어 해킹 위협과 맞닿아 있다.
이는 미국의 문제만이 아니다. 국내 상황을 보면 외형상 정상적인 장비로 보이더라도 내부에 식별되지 않은 무선 통신 경로나 이른바 ‘무선 스파이칩’이 숨겨져 유입될 경우, 운영 단계에서 위협으로 이어질 수 있다.
특히 망분리로 보호되는 데이터센터, 전산실, 관제실 등 핵심 시설에 무선 스파이칩이 침투할 경우, 기존의 유선 네트워크 보안 체계가 무력화되는 심각한 상황이 발생할 수 있다.
더 이상 보안 위협 소프트웨어 업데이트나 네트워크 접속 통제만으로 해결될 수 있는 문제가 아니다. 전문가들은 장비가 현장에 반입되기 전 단계에서부터 부품의 출처, 내장 기능, 통신 인터페이스, 공급망 추적 가능성 등을 사전에 검증하거나 행위 기반 탐지로 상시 대응하지 않는다면 사후 대응만으로는 위협을 통제하기 어렵다고 강조했다.
보안업계 전문가는 “미국이 공식적으로 반도체 생산 단계의 하드웨어 백도어 삽입 가능성을 국가안보 위협으로 직접 언급한 것은 공급망 보안이 더 이상 추상적 우려가 아니라는 점을 보여준다”며 “우리나라도 망분리에만 의존할 것이 아니라 무선백도어와 같은 하드웨어 공급망 기반의 은닉형 신종 위협에 대한 상시적인 점검과 대비를 서둘러야 한다”고 강조했다.