스파이칩 의혹 후폭풍…SW공격보다 막기 힘든 ‘HW 공격’...대책은 ‘無’

실시간
뉴스

솔루션

스파이칩 의혹 후폭풍…SW공격보다 막기 힘든 ‘HW 공격’...대책은 ‘無’

디지털데일리 발행일 2018-10-10 09:47:20

홍하나

URL복사

전문가들 “보안 평가기술 확보 우선돼야”

[디지털데일리 홍하나기자] 최근 중국 정부의 스파이 칩 의혹이 불거지면서 공급망 공격이 화두가 되고 있다. ‘공급망 공격(Supply Chain Attack)’이란 기업이나 기관에 하드웨어(HW)나 소프트웨어(SW)를 공급하는 과정에서 제품을 변조하거나 내부에 악성코드를 숨기는 해킹 방식이다.

특히 이번 의혹으로 하드웨어를 통해서도 표적 공격이 가능하다는 것이 사실상 입증됐다. 애플, 아마존, 슈퍼마이크로를 비롯한 미국 정부는 의혹에 대해 강하게 부정하고 있으나 전문가들은 충분히 가능성이 있다고 주장한다. 외신 비즈니스 인사이더는 제조 전문가의 인터뷰를 인용해 “컴퓨터 메인보드에 악의적으로 칩을 삽입할 수 있다”고 보도했다.

비즈니스 인사이더에 따르면 쉐드레츠키 제조분야 보안 전문가는 “이번에 의혹이 된 칩은 굉장히 작다”면서 “검사관도, 심지어 레이아웃에 친숙한 엔지니어조차도 눈치 채지 못할 정도”라고 말했다. 이어 “서버 혹은 부품 제조 과정에서 누군가에 의해 계획에 없던 칩이 들어가는 것은 가능하다”고 주장했다.

하지만 전문가들은 HW 공급망 공격에 대해 뾰족한 대책이 없다고 입을 모았다. 김승주 고려대 교수는 “이제는 하나의 제품이 한 국가에서만 제조되는 것이 아니”라면서 “아웃소싱 과정을 기업이나 정부가 일일이 관리 감독할 수 없다”고 밝혔다.

뿐만 아니라 악성 칩이 삽입됐더라도 이를 가려내는 것 자체가 불가능하다. 문종현 이스트시큐리티 이사는 “해당 칩이 악의적인 기능이 있는지 확인하는 것은 현실적으로 어렵다”면서 “당장에는 문제가 생기지 않더라도 업데이트 과정에서 문제가 생길 수 있다”고 설명했다.

그나마 미국은 1970년대부터 부품 보안평가 기술을 확보, 개발하고 있으나 우리나라는 기술력이 미흡한 상황이다. 김승주 고려대 교수는 “화웨이 사례처럼 미국은 의심되는 기업의 제품 사용을 금지하면 되지만, 이런 면에서 우리나라는 불리하다”며 “보안 평가기술을 확보하는 것이 우선”이라고 강조했다.

한편 이번 블룸버그 비즈니스위크(BBW)의 중국 스파이칩 의혹 보도를 계기로 공급망 보안에 대한 경각심을 불러일으켰다는 평가도 이어진다. 쉐드레츠키 제조분야 보안 전문가는 “앞으로 기업의 공급망 보안이 더욱 강화되면서 고해상도의 디지털 회로기판 사진이 점차 중요해 질 것”이라고 전망했다.

<홍하나 기자>hhn0626@ddaily.co.kr