VOL. 181 August 2021
대부분의 제조업체는 제품의 설계부터 생산 및 판매, 유지에 이르는 모든 과정에서
다양한 하드웨어 또는 소프트웨어를 구성하여 사용하고 있다.
하드웨어 및 소프트웨어는 제조, 유통의 과정을 거쳐 기업에 공급되는데,
이 과정에서 해킹 및 각종 보안 위협에 노출될 수 있다는 위험성 때문에
최근 공급망 보안에 대한 관심이 늘어나고 있다.
공급망(Supply-Chain)이란 판매 제품의 생산, 유통, 유지에 요구되는 모든 부품과 서비스를 공급하는 기업들의 집합을 의미한다. 최근에는 공급망 구성 중 하드웨어를 통한 백도어(Backdoor) 형태의 공격이 늘어나고 있다. 백도어란 보안이나 인증 시스템 없이 시스템에 접근할 수 있는 일종의 ‘숨겨진 통로’라고 볼 수 있다. 보안이나 인증 시스템을 무시하는 백도어의 존재가 무조건 악의적인 용도로 사용된다고 볼 수는 없다. 하지만 운영체제나 프로그램을 공격하기 위한 수단이 되는 것도 부정할 수 없다.
공급망 공격의 대표적인 사례로는 ASUS 업데이트 서버 공격, 보안업체 Avast 서버 공격, MeDoc의 업데이트 서버 공격 등이 있다. 먼저 2019년 ASUS 공격 사례는 셰도우해머 작전(Operation ShadowHammer)이라 명명된 사건이다. 공격자는 ASUS의 업데이트 서버를 공격하고 업데이트 파일을 변조하여, 전 세계 100만 대 이상의 PC를 감염시킨 것으로 추산된다.
Avast 서버 공격은 2017년 발생한 사건으로, 공격자는 Avast가 만든 씨클리너(CCleaner) 소프트웨어의 서버에 침투하여 악성 코드를 숨겨놓았다. 이 사건으로 대략 220만 대의 PC가 감염되었는데, 주로 일반 사용자의 PC가 감염됐지만 공격자가 실제로 노린 것은 시스코, 마이크로소프트, 구글, 소니, HTC와 같은 대형 IT 기업들이었던 것으로 분석된다.
국내에서도 비슷한 사례가 있었다. 2011년 네이트 사내 업데이트 서버가 해킹되어 사내망에 접속한 PC들을 악성코드에 감염시킨 사건이다. 공격자는 감염된 PC들을 통해 싸이월드/네이트 사용자 DB(DataBase)에 접근하여 3,500만 명의 개인정보(이름, ID, 비밀번호, 주민등록번호 등)를 중국 해킹 그룹으로 유출했다.
위 사례들은 주요 공급망 서버들이 공격의 대상이었다. 하지만, 미국 국토안보부 산하 사이버 보안 및 기반시설보안국(CISA: Cybersecurity and Infrastructure Security Agency)이 발표한 자료에 따르면 공급망의 모든 과정이 공격의 대상이 될 수 있음을 알 수 있다. 특히 소프트웨어가 아닌 제품 자체의 부품, 즉 하드웨어를 통한 공급망 공격은 분석과 탐지가 매우 어렵다.
제품을 구성하는 하드웨어 부품으로 공격의 범위가 확대될 수 있음을 보여준 대표적 사건이 바로 2018년 서버 제조업체 Supermicro사 메인보드의 스파이칩 발견 사건이다. 이는 해당 보드를 생산하는 중국 업체에 몰래 침투한 중국 정보기관이 스파이칩을 장착한 것으로 보인다. 해당 사건의 진위 여부에 대해서는 아직까지 명확하게 결론이 내려지지는 않았지만, 많은 보안 전문가들이 이러한 공격의 위험성에 대해서 우려를 나타내고 있는 것은 사실이다.
하지만 국내 연구기관, 민간 기업 등에서 공급망을 통해 생산된 제품에 대해 하드웨어 수준의 보안 취약점을 분석하는 기술이 구체화된 사례는 찾기 어렵다. 일부 개념 검증 수준의 취약점 탐지 기술과 공급망 공격에 대한 대응 체계를 다루는 연구만이 진행된 상황이다.
고려대학교 김승주 교수 연구팀은 AES(Advanced Encryption Standard) 암호 모듈의 비밀 키 복원 정보를 탈취할 수 있는 하드웨어 백도어를 탐지하는 기술을 제안했다. 또한 광범위한 백도어 기법을 커버하기 위해 부채널 공격 등 다양한 공격 기법에서 비밀키 복구를 위해 활용될 수 있는 정보들을 유출 대상 정보로 정의하고 이를 기반으로 검증 모델을 구축하였다.
고려대학교 최진영 교수 연구팀은 자동차 공급망 공격에 대한 대응으로 자동차 시스템에서 보호해야 할 자산과 보안 위협을 정의하고 이들에 대한 위협을 제거하기 위한 자동차 공급망 위험관리 프로세스 모델을 제안했다. 이 모델은 기준 정의 단계와 평가, 실행, 모니터링 단계로 구성되며, 기준 정의 단계에서는 타 단계의 요구사항들을 정의하고 있다. 평가 단계는 수집된 데이터에 기반하여 위험성 평가를 수행하며, 실행 단계에서는 안전 경로와 보안 경로에서 도출된 위험을 통제하는 방안을 결정한다. 마지막으로 모니터링 단계를 통해 실행 중인 위험관리 방안을 보완하고 위험 수준이 허용 가능한 범위에서 유지되도록 돕는다.
선진국에서도 관련 사례와 구체적인 기술적 자료들을 공개하거나 공급망 공격 탐지를 자동화할 수 있는 기술에 관한 선행 연구가 진행되고 있다. 미국의 Trust-Hub는 하드웨어 보안 관련 정보를 공유하는 웹 기반 플랫폼으로 하드웨어 백도어 및 부채널 공격 사례에 대한 튜토리얼과 함께 하드웨어 취약점 분석 및 공격 관련 논문들의 데이터 자료들을 제공한다. 또한, 하드웨어 취약점 데이터베이스와 하드웨어 로직의 분석 난이도를 높여 하드웨어 백도어 탐지를 어렵게 하는 난독화 기법들에 대해서도 자세한 설명을 제공하고 있다.
특히 하드웨어 공급망 취약점은 물리적 부품 수준의 보안 이슈이므로, 해당 부품을 제거하고 관련된 회로 로직을 수정하기 전까지는 근본적으로 해결되지 않는다. 하지만 CPU나 DMA(Direct Memory Access) 컨트롤러, PCI(Peripheral Component Interconnect) 컨트롤러와 같이 비교적 기능이 명확한 부품이 아닌 여러 IC칩들은 외견만으로 기능과 사용 목적을 정확하게 파악하는 것이 어려워, 일반인은 쉽게 위협 여부를 파악할 수 없거나 파악하여도 쉽게 대응하기 어려운 고난이도 기술이 사용된다.
이에 반해 미국, 유럽, 일본 등 IT 선진국들은 이미 하드웨어 공급망 위협의 파급효과를 인지하여 다양한 대응 수단을 마련하고 있으며, Trust-Hub 같은 구체적 연구사례도 보고되고 있다. 심지어 소수의 중국 기업들은 타겟 하드웨어의 분석으로부터 다양한 정보를 취득하여 제공하는 서비스를 추진하고 있다. 만약 이러한 기술 격차를 해당 국가 또는 개인이 악용하여 국내를 향한 사이버 공격으로 활용할 경우 현재 상황에서의 대응은 거의 불가능하다.
그럼에도 불구하고 국내의 경우 이러한 공격에 대한 종합적이고 체계적인 분석력을 가진 전문 연구기관 또는 연구사례가 절대적으로 부족한 실정이다. 따라서 향후 예상되는 주요 인프라 장비에 대한 하드웨어 공급망 위협에 대응하고, 국제적 기술 격차를 해소할 수 있도록 하드웨어적 보안 취약점을 점검할 수 있는 분석체계 구축과 이에 필요한 원천기술의 조속한 연구 개발이 필요하다.
본 내용은
전자통신동향분석 35권 4호(통권 184)를
참고,
‘공급망 보안기술 동향’
(김대원, 강동욱, 최용제, 이상수, 최병철)을
재구성한 글입니다.