2018.10.18

블로그 | '중국산 스파이 칩 사태로 본' IT공급망 공격의 해결책

Roger A. Grimes | CSO
<블로그 | 블룸버그의 중국산 스파이 칩 보도를 의심하는 이유>에서도 이야기했듯, 필자는 중국이 미국 기업들이 사용하는 서버 마더보드에 하드웨어 스파이 칩을 심었다는 블룸버그 보도 내용에 큰 의구심이 든다. 중국은 과거부터 미국 기업을 대상으로 적극적인 스파이 활동을 펼치고 있다. 필자 역시 이를 의심하지 않는다. 또 중국은 관심이 있는 지적 재산 비밀 상당수를 이미 훔친 상태다. 그런데 중국은 세계 경제를 주도하는 경제 대국이 되어가고 있다. ‘컴퓨터 칩 제조’는 이런 여정에서 아주 큰 부분을 차지한다. 이런 점을 감안했을 때, 중국이 이렇게 노골적으로 자신의 '큰 사업’을 위험에 빠뜨릴 것으로 생각하지 않는다.

이번 블룸버그 기사의 좋은 점은 공급망 관련 문제를 전면에 내세웠다는 것이다. 잠재적인 적대국이 거의 모든 컴퓨터 장비와 칩을 만들어 공급한다면, 의도적으로 버그나 스파이 칩을 심은 장비와 칩을 구입하지 않는다고 어떻게 장담하겠는가?

잠재적인 적대국이 거의 모든 컴퓨터 장비와 칩을 만들어 공급한다면, 의도적으로 버그나 스파이 칩을 심은 장비와 칩을 구입하지 않는다고 어떻게 장담하겠는가?



공급망이란 특정 기업이 고객에게 판매할 제품과 서비스에 필요한 모든 제품과 서비스를 공급하는 기업들의 ‘집합체'이다. 이론적으로 여기에 속한 모든 기업에서 최종 제품에 영향을 주는 ‘보안 문제’가 의도적으로, 또는 자신도 모르는 상태에서 초래될 수 있다. 이것이 블룸버그 기자와 익명의 출처가 주장한 문제이다. 외국 기업이 사용하는 서버에 장착될 마더보드에 스파이 칩이 심어져 있을 수 있다는 주장을 이야기하는 것이다.

과거에도, 그리고 지금도 존재하는 IT공급망 위험
새로운 문제가 아니다. 세계적으로 가장 유능한 보안 애널리스트, 정보기관, 보안 팀이 10년 넘게 이 문제를 해결하기 위해 노력을 기울이고 있다. 과거에도 아주 큰 문제였으며, 지금도 모든 국가가 직면할 수 있는 가장 큰 문제 중 하나이다. 서로 연결이 되어 있는 세상이다. 공급망에 참여하고 있는 수많은 회사와 수많은 이질적인 부품을 어떻게 신뢰할 수 있겠는가?

미리 말하면, 우리는 이런 수많은 회사와 부품들을 신뢰하고 있다. 반세기 동안 그렇게 해왔다. PC가 발명된 이래 컴퓨터 공급망 위험이 존재했으며, 지금까지 계속되고 있다. 시작부터 외국에서 공급받은 칩이 들어 있었다. 지금껏 계속 그랬다. 지금까지 간헐적인 언론의 관련 보도가 있기는 했지만, 방어하려는 국가가 어디인지에 따라 외국 적성, 악성 세력이 초래하는 보안 침해는 아주 드물거나 거의 존재하지 않았다. 미국에만 공급망 신뢰 문제가 있는 것이 아니다. 지난주 지적했듯, NSA와 FBI는 다른 적성 국가나 세력의 공급망에 스파이 소프트웨어와 하드웨어를 심는 것으로 알려져 있다.

우리는 비용/위험의 상쇄를 비교적 잘 다루고 있다. 몇 차례 공급망을 매개체로 하는 침해 사고가 발생하기는 했다. 그러나 확산이 되지는 않았다. 그런데 정말 그런가? 유감스러운 사실은 전세계가 서로 조율하고 협력해 악의적인 목적에서 심어진 스파이 소프트웨어나 하드웨어를 확인하지 않고 있으므로, 이 문제가 얼마나 심각한지 정확히 모른다는 것이다. 자신이 모르는 것을 대상으로 비용/이익을 분석하기란 매우 어렵다.

절대 ‘선택지’가 될 수 없는 공급망의 ‘현상 유지
‘해법’이 아닌 해법 한 가지가 있다. 다름 아닌 ‘현상 유지'이다. 필자가 아는 한, 악의적인 목적에서 공급망에 심어진 소프트웨어나 하드웨어로 보안 침해 사고가 발생하는 경우는 드물다. 특정 국가가 정기적으로, 또는 너무 자주 공급망을 침해할 경우, 그 국가의 칩을 조달하는 국가는 단 한 곳도 없을 것이다. 즉, 그냥 놔둬도 저절로 문제가 해결될 것이다. 우리는 지금까지 이렇게 해왔다. 좋다. 이 ‘전략’을 사용하자.

그런데 언제 ‘공급망 간파 및 규제’ 전략을 사용하는가?
군사 무기를 중심으로, 적성 국가가 악의적인 목적에서 특정 국가의 공급망을 침해하는 위험은 어떻게 평가 및 측정하는가? 이와 관련, 미국은 몇 년 동안 북한을 상대로 이런 활동을 했을 수 있다. 북한은 탄도 미사일 로켓 테스트 초기에 여러 차례 운이 없었다. 발사 즉시 폭발을 하거나, 발사 즉시 궤도를 벗어나는 일이 빈번했다. 이것은 공급망 문제였다. 그리고 미국이 관여했을 확률이 있다. 러시아가 끼어들어, 이런 공급망 문제 해결에 도움을 줬다. 그러자 탄도 미사일이 폭발하지 않고, 발사 후 제궤도를 유지했다. 미국이나 다른 국가에도 이런 일이 일어날 수 있다.

그런데 가장 중요한 핵심 인프라의 공급망 문제를 방지시키는 프로그램이 이미 운영되고 있다. 미국 정부는 여러 단계에서 공급망 문제를 조사하는 프로그램들을 운영하고 있다. 필자가 중국 스파이 칩 문제가 만연된 문제라는 주장을 믿지 않는 이유가 여기에 있다.

따라서 더 엄격한 감시와 감독을 요구하기 시작해야 하는 공급망의 수준이 문제가 된다. 예를 들어, 우리는 취약점이 있는 와이파이 라우터와 웹 카메라가 무수히 많다는 사실을 알고 있다. 대부분은 ‘일반 소비자'에 초점이 맞춰진 기기들이다. 그렇지만 외국의 적성, 악성 세력이 핵심 인프라 시설에 근무하는 임원이나 엔지니어 집에 설치된 라우터, 카메라, 베이비 모니터의 취약점을 공격할 수도 있다.

다시 강조하지만, 이런 이유로 더 엄격한 감시와 감독을 요구하기 시작해야 하는 공급망의 수준이 문제가 된다.

‘현상 유지’에 정확히 반대되는 방식은 모든 컴퓨터 장비를 대상으로 스파이 하드웨어, 소프트웨어, 펌웨어가 심어져 있는지 조사하는 것이다. 정부, 또는 UL(Underwriter’s Laboratories)이나 컨슈머 리포트(Consumer Reports) 같은 산업계 단체가 이런 일을 할 수 있을 것이다. 문제는 어떤 정부이든 사람들을 감시 및 정탐하기 원한다는 것이다. 외국 국민, 자국 국민 모두 해당이 된다. 정부에 모든 것을 안전하게 만들고, 스파이 활동을 근절시키라고 요청하는 것은 여우에게 닭장을 맡기는 것이나 다름없다. 그렇지만 이와 동시에, 정부의 관여 없이 필요한 일을 할 수 있을지 확신이 들지 않는다.

공급망 보안과 관련된 해법은 ‘글로벌 해법’이 되어야 한다
IT공급망을 신뢰할 수 있도록 만들기 위해서는, 글로벌 ‘선언’이 필요할 수도 있다. 모든 서명국이 “우리는 고의로, 악의적인 목적에서 유발한 공급망 문제를 이용하는 해킹을 하지 않을 것입니다!”라는 선언에 동의하고 서명하며 발표하는 것이다. 개인적으로 이런 ‘선언문’ 방식이 마음에 든다. 정부가 발견한, 그러나 원인과 관련이 없는 제로데이 취약점을 이용할 공간을 주기 때문이다. 국가들이 이런 선언문에 합의하는 것이 어렵겠지만, 실현되면 세상에 큰 도움이 될 것이다.

둘째, 정부가 예산을 투입해 규제 기관을 만들 필요가 있다. UL같은 형태다. 그러나 컴퓨터 장비의 공급망 문제 검증 및 해결에만 초점을 맞춘다. 이 기관은 공급망 문제와 관련된 ‘인증서’를 발급한다. 이런 인증서가 없어도, 기기를 판매하고 구입할 수 있다. 그러나 사람들은 이런 기기의 경우 공급망 관련 위험이 높음을 알 수 있다. 이렇게 하면, 소비자와 기업이 공급망 위험 및 공격에 대해 더 확실한 ‘안심’과 ‘보장’을 추구할 수도 있고, 동시에 이런 ‘규제의 틀’보다는 ‘더 빠른 혁신’을 추구할 수도 있다.

모든 국가가 공급망 문제를 조사할 수 있는 규제기관을 만들고, 필요한 예산을 마련해야 한다. 그러나 정부가 이런 기관을 직접 지배해서는 안 된다. 완벽하지는 않다. 여우로부터 닭장을 지키게 하는 개에게 대가를 지불하라고 요청하는 셈이기 때문이다. 그러나 공급망 보안 문제를 현실적으로 해결할 수 있는 유일한 방법이라는 생각이 든다. 아니면 지금 그대로 '현상을 유지’하면서 최상의 결과를 희망할 수밖에 없다.

* Roger A. Grimes는 2005년부터 집필해온 보안 칼럼니스트다. ciok@idg.co.kr
 

2018.10.18

블로그 | '중국산 스파이 칩 사태로 본' IT공급망 공격의 해결책

Roger A. Grimes | CSO
<블로그 | 블룸버그의 중국산 스파이 칩 보도를 의심하는 이유>에서도 이야기했듯, 필자는 중국이 미국 기업들이 사용하는 서버 마더보드에 하드웨어 스파이 칩을 심었다는 블룸버그 보도 내용에 큰 의구심이 든다. 중국은 과거부터 미국 기업을 대상으로 적극적인 스파이 활동을 펼치고 있다. 필자 역시 이를 의심하지 않는다. 또 중국은 관심이 있는 지적 재산 비밀 상당수를 이미 훔친 상태다. 그런데 중국은 세계 경제를 주도하는 경제 대국이 되어가고 있다. ‘컴퓨터 칩 제조’는 이런 여정에서 아주 큰 부분을 차지한다. 이런 점을 감안했을 때, 중국이 이렇게 노골적으로 자신의 '큰 사업’을 위험에 빠뜨릴 것으로 생각하지 않는다.

이번 블룸버그 기사의 좋은 점은 공급망 관련 문제를 전면에 내세웠다는 것이다. 잠재적인 적대국이 거의 모든 컴퓨터 장비와 칩을 만들어 공급한다면, 의도적으로 버그나 스파이 칩을 심은 장비와 칩을 구입하지 않는다고 어떻게 장담하겠는가?

잠재적인 적대국이 거의 모든 컴퓨터 장비와 칩을 만들어 공급한다면, 의도적으로 버그나 스파이 칩을 심은 장비와 칩을 구입하지 않는다고 어떻게 장담하겠는가?



공급망이란 특정 기업이 고객에게 판매할 제품과 서비스에 필요한 모든 제품과 서비스를 공급하는 기업들의 ‘집합체'이다. 이론적으로 여기에 속한 모든 기업에서 최종 제품에 영향을 주는 ‘보안 문제’가 의도적으로, 또는 자신도 모르는 상태에서 초래될 수 있다. 이것이 블룸버그 기자와 익명의 출처가 주장한 문제이다. 외국 기업이 사용하는 서버에 장착될 마더보드에 스파이 칩이 심어져 있을 수 있다는 주장을 이야기하는 것이다.

과거에도, 그리고 지금도 존재하는 IT공급망 위험
새로운 문제가 아니다. 세계적으로 가장 유능한 보안 애널리스트, 정보기관, 보안 팀이 10년 넘게 이 문제를 해결하기 위해 노력을 기울이고 있다. 과거에도 아주 큰 문제였으며, 지금도 모든 국가가 직면할 수 있는 가장 큰 문제 중 하나이다. 서로 연결이 되어 있는 세상이다. 공급망에 참여하고 있는 수많은 회사와 수많은 이질적인 부품을 어떻게 신뢰할 수 있겠는가?

미리 말하면, 우리는 이런 수많은 회사와 부품들을 신뢰하고 있다. 반세기 동안 그렇게 해왔다. PC가 발명된 이래 컴퓨터 공급망 위험이 존재했으며, 지금까지 계속되고 있다. 시작부터 외국에서 공급받은 칩이 들어 있었다. 지금껏 계속 그랬다. 지금까지 간헐적인 언론의 관련 보도가 있기는 했지만, 방어하려는 국가가 어디인지에 따라 외국 적성, 악성 세력이 초래하는 보안 침해는 아주 드물거나 거의 존재하지 않았다. 미국에만 공급망 신뢰 문제가 있는 것이 아니다. 지난주 지적했듯, NSA와 FBI는 다른 적성 국가나 세력의 공급망에 스파이 소프트웨어와 하드웨어를 심는 것으로 알려져 있다.

우리는 비용/위험의 상쇄를 비교적 잘 다루고 있다. 몇 차례 공급망을 매개체로 하는 침해 사고가 발생하기는 했다. 그러나 확산이 되지는 않았다. 그런데 정말 그런가? 유감스러운 사실은 전세계가 서로 조율하고 협력해 악의적인 목적에서 심어진 스파이 소프트웨어나 하드웨어를 확인하지 않고 있으므로, 이 문제가 얼마나 심각한지 정확히 모른다는 것이다. 자신이 모르는 것을 대상으로 비용/이익을 분석하기란 매우 어렵다.

절대 ‘선택지’가 될 수 없는 공급망의 ‘현상 유지
‘해법’이 아닌 해법 한 가지가 있다. 다름 아닌 ‘현상 유지'이다. 필자가 아는 한, 악의적인 목적에서 공급망에 심어진 소프트웨어나 하드웨어로 보안 침해 사고가 발생하는 경우는 드물다. 특정 국가가 정기적으로, 또는 너무 자주 공급망을 침해할 경우, 그 국가의 칩을 조달하는 국가는 단 한 곳도 없을 것이다. 즉, 그냥 놔둬도 저절로 문제가 해결될 것이다. 우리는 지금까지 이렇게 해왔다. 좋다. 이 ‘전략’을 사용하자.

그런데 언제 ‘공급망 간파 및 규제’ 전략을 사용하는가?
군사 무기를 중심으로, 적성 국가가 악의적인 목적에서 특정 국가의 공급망을 침해하는 위험은 어떻게 평가 및 측정하는가? 이와 관련, 미국은 몇 년 동안 북한을 상대로 이런 활동을 했을 수 있다. 북한은 탄도 미사일 로켓 테스트 초기에 여러 차례 운이 없었다. 발사 즉시 폭발을 하거나, 발사 즉시 궤도를 벗어나는 일이 빈번했다. 이것은 공급망 문제였다. 그리고 미국이 관여했을 확률이 있다. 러시아가 끼어들어, 이런 공급망 문제 해결에 도움을 줬다. 그러자 탄도 미사일이 폭발하지 않고, 발사 후 제궤도를 유지했다. 미국이나 다른 국가에도 이런 일이 일어날 수 있다.

그런데 가장 중요한 핵심 인프라의 공급망 문제를 방지시키는 프로그램이 이미 운영되고 있다. 미국 정부는 여러 단계에서 공급망 문제를 조사하는 프로그램들을 운영하고 있다. 필자가 중국 스파이 칩 문제가 만연된 문제라는 주장을 믿지 않는 이유가 여기에 있다.

따라서 더 엄격한 감시와 감독을 요구하기 시작해야 하는 공급망의 수준이 문제가 된다. 예를 들어, 우리는 취약점이 있는 와이파이 라우터와 웹 카메라가 무수히 많다는 사실을 알고 있다. 대부분은 ‘일반 소비자'에 초점이 맞춰진 기기들이다. 그렇지만 외국의 적성, 악성 세력이 핵심 인프라 시설에 근무하는 임원이나 엔지니어 집에 설치된 라우터, 카메라, 베이비 모니터의 취약점을 공격할 수도 있다.

다시 강조하지만, 이런 이유로 더 엄격한 감시와 감독을 요구하기 시작해야 하는 공급망의 수준이 문제가 된다.

‘현상 유지’에 정확히 반대되는 방식은 모든 컴퓨터 장비를 대상으로 스파이 하드웨어, 소프트웨어, 펌웨어가 심어져 있는지 조사하는 것이다. 정부, 또는 UL(Underwriter’s Laboratories)이나 컨슈머 리포트(Consumer Reports) 같은 산업계 단체가 이런 일을 할 수 있을 것이다. 문제는 어떤 정부이든 사람들을 감시 및 정탐하기 원한다는 것이다. 외국 국민, 자국 국민 모두 해당이 된다. 정부에 모든 것을 안전하게 만들고, 스파이 활동을 근절시키라고 요청하는 것은 여우에게 닭장을 맡기는 것이나 다름없다. 그렇지만 이와 동시에, 정부의 관여 없이 필요한 일을 할 수 있을지 확신이 들지 않는다.

공급망 보안과 관련된 해법은 ‘글로벌 해법’이 되어야 한다
IT공급망을 신뢰할 수 있도록 만들기 위해서는, 글로벌 ‘선언’이 필요할 수도 있다. 모든 서명국이 “우리는 고의로, 악의적인 목적에서 유발한 공급망 문제를 이용하는 해킹을 하지 않을 것입니다!”라는 선언에 동의하고 서명하며 발표하는 것이다. 개인적으로 이런 ‘선언문’ 방식이 마음에 든다. 정부가 발견한, 그러나 원인과 관련이 없는 제로데이 취약점을 이용할 공간을 주기 때문이다. 국가들이 이런 선언문에 합의하는 것이 어렵겠지만, 실현되면 세상에 큰 도움이 될 것이다.

둘째, 정부가 예산을 투입해 규제 기관을 만들 필요가 있다. UL같은 형태다. 그러나 컴퓨터 장비의 공급망 문제 검증 및 해결에만 초점을 맞춘다. 이 기관은 공급망 문제와 관련된 ‘인증서’를 발급한다. 이런 인증서가 없어도, 기기를 판매하고 구입할 수 있다. 그러나 사람들은 이런 기기의 경우 공급망 관련 위험이 높음을 알 수 있다. 이렇게 하면, 소비자와 기업이 공급망 위험 및 공격에 대해 더 확실한 ‘안심’과 ‘보장’을 추구할 수도 있고, 동시에 이런 ‘규제의 틀’보다는 ‘더 빠른 혁신’을 추구할 수도 있다.

모든 국가가 공급망 문제를 조사할 수 있는 규제기관을 만들고, 필요한 예산을 마련해야 한다. 그러나 정부가 이런 기관을 직접 지배해서는 안 된다. 완벽하지는 않다. 여우로부터 닭장을 지키게 하는 개에게 대가를 지불하라고 요청하는 셈이기 때문이다. 그러나 공급망 보안 문제를 현실적으로 해결할 수 있는 유일한 방법이라는 생각이 든다. 아니면 지금 그대로 '현상을 유지’하면서 최상의 결과를 희망할 수밖에 없다.

* Roger A. Grimes는 2005년부터 집필해온 보안 칼럼니스트다. ciok@idg.co.kr
 

X