백도어 공포 확산…'제로 트러스트·융합 보안' 도입 필요

자료사진(출처=셔터스톡)

운영체제나 프로그램에서 정상적인 인증 과정을 거치지 않고 바로 접근할 수 있도록 만들어진 ‘백도어’에 대한 공포가 확산되고 있다.

중국 전자업체들의 스파이칩 사태와 더불어 삼성전자의 스마트폰 갤럭시 시리즈에서도 백도어가 있다는 의혹이 제기되면서 대책 마련이 시급하다는 목소리가 높아진 상황.

아무 것도 신뢰하지 않고 항상 검증을 진행하는 ‘제로 트러스트’ 모델을 도입하고, 정부·기업 모두가 정보를 공유하는 ‘융합 보안’ 체계가 필요하다는 지적이 나온다.

갤럭시 스마트폰도 백도어 의심

최근 보안업계와 삼성전자에 따르면 갤럭시 스마트폰 기기에서 백도어가 발견됐다는 의혹이 제기됐다.

‘원(ONE) UI’가 설치된 갤럭시 스마트폰에는 중국 보안업체 ‘치후360(Qihoo 360)’의 백신 프로그램 ‘360 시큐리티’가 설치돼 있다.

글로벌 커뮤니티 ‘레딧’에서 한 네티즌은 360 시큐리티가 ‘저장공간 정리’ 기능을 수행하는 과정에서 중국 내 서버와 통신을 했다는 기록을 공개했다.

문제는 해당 모바일 백신이 삼성전자가 단말기에 ‘기본 제공’하면서 이용자가 삭제하거나 중단할 수 없다는 것이다. 해당 프로그램이 적용된 모델은 지난 2017년 출시된 갤럭시S8 시리즈를 포함해 2018년 이후 출시된 모든 갤럭시 스마트폰과 태블릿PC에 적용됐다.

글을 올린 사람은 “어떤 데이터를 주고 받았는지는 공개되지 않아 섣불리 ‘백도어’를 말하기는 어렵다”면서도 “보안 때문에 중국 전화 브랜드를 피했는데 (삼성전자에서도) 동일한 개인정보 보호 위협에 노출되느냐”고 지적했다.

삼성전자 측은 즉각 “새로운 앱을 정리할 때 어떤 것이 정크 파일인지는 확인하려면 업데이트되는 데이터베이스(DB)와 대조해봐야 하기 때문에 중국 서버에 접속하는 것”이라며 “개인정보가 왔다갔다할 우려는 없다”고 해명했다.

온라인 커뮤니티 '레딧'에 올라온 삼성전자 스마트폰 백도어 의혹(출처=뉴스1)

그럼에도 불구하고 사용지들의 백도어에 대한 공포는 더욱 커지는 모양새다. 삼성전자와 같은 사례가 점점 늘어나고 있기 때문이다.

글로벌 사이버보안 기업 이셋은 지난해 자사 연구소를 통해 MS SQL 서버의 백도어 샘플을 발견했다.

이셋이 밝힌 신종 백도어 샘플은 ‘스킵 2.0(skip-2.0)’은 MS SQL 서버 11과 12에 잠입한다. 특수 암호를 사용해 서버에 침입한 후 백도어를 통해 DB를 복사, 수정, 삭제할 수 있다.

지난 2018년에는 미국 IT기업 애플과 아마존웹서비스(AWS) 데이터센터 서버에 중국 정부에서 감시용으로 설치한 것으로 추정되는 마이크로칩이 발견된 사례도 있다.

외신 보도에 따르면 마이크로칩은 중국 서버 제조업체 슈퍼마이크로 공급 서버에 부착됐으며, 미국 회사들로부터 지식재산권과 거래기밀을 수집하는 데 사용됐을 것으로 추정된다.

제로 트러스트 모델로 인증 강화 필요

백도어는 기기나 앱 설계 단계부터 적용돼 백신이나 보안시스템이 정상동작으로 인지한다. 때문에 백도어는 기존 방식으로는 탐지하기가 힘들다. 이미 백도어가 심어져 있는데도 문제가 없다고 여기고 넘어가기 때문이다.

최근에는 사물인터넷(IoT) 디바이스가 늘어나면서 백도어 위험이 더욱 커지고 있다. 스마트폰에 자체적으로 백도어가 없다고 해도, 연결된 다른 장비(프린터, 스마트워치)에 백도어가 숨어들어갈 경우 해당 장비를 통해 스마트폰에 접근할 수도 있다.

예를 들어, 스마트워치 메인보드에 물리적 칩을 심거나, 특정 프로그램을 통해 백도어를 뚫으면, 스마트폰에 기록된 통화목록이나 개인 건강기록이 유출될 여지가 생긴다.

백도어 피해를 최소화하려면 기술적으로는 ‘제로 트러스트(Zero Trust)’ 모델을 도입해야 한다. 제로트러스트란 ‘아무도 믿을 수 없다’는 가정 하에 그 누가 접근하더라도 적절한 인증 절차가 없으면 접속을 차단하는 방식이다.

보안업계 관계자는 “백도어가 심어지면 어떤 의미로든 인증되지 않은 정보를 전송하게 되는데, 이를 원천적으로 차단해버리는게 제로 트러스트”라며 “내부자나 이미 설치된 프로그램들 모두를 의심하고 검증하는 절차가 필요하다”고 설명했다.

새로운 백도어 유형을 빨리 파악하고 대응하는 체제를 갖추는 것도 필요하다는 지적이 나온다.

보안업계 관계자는 “백도어 예방 관련 기술과 정보를 민간기업과 정부가 함께 공유하는 ‘융합 보안’ 체계가 필요하다”면서 “보안 분야는 어떤 취약점이 있는지 함께 협력해 찾아야 하기 때문에 정보를 빨리 공유할수록 피해를 최소화시킬 수 있다”고 조언했다.