[아이뉴스24 성지은 기자] 국내외에서 백도어(Back door) 사고가 계속되는 가운데, 백도어에 대한 국내 예방규정이 미비하다는 지적이 나왔다.
백도어를 통해 기밀이나 개인정보가 유출될 시 회복할 수 없는 피해를 초래할 수 있는 만큼 정보보안 관련 법제도를 정비하고 신속히 대응할 수 있는 제도를 마련해야 한다는 지적이다.
소프트웨어정책연구소(이하 연구소)는 1일 '카스퍼스키사(社) 백도어 사건과 국내 시사점'을 발표하고 이 같은 내용을 담았다. 백도어는 비공식적으로 해당 프로그램을 드나들며 마음대로 시스템을 조작할 수 있도록 설계한 비밀접근통로로 해킹 등에 악용된다.
지난해 러시아 정부의 지원을 받는 해커가 러시아 보안업체 카스퍼스키랩의 백신 프로그램 내 취약점을 악용, 미국가안보국(NSA) 직원의 기밀을 빼돌린 바 있다.
이에 미국토안보부(DHS)는 회사가 러시아 정보기관과 유착해 백도어를 심었다는 의혹을 제기하며 연방정부기관에서 제품 사용을 금지했다. 다만 회사가 해당 조치에 반발해 소송을 제기한 상태로 논란은 현재 진행 중이다.
백도어 의심 사례를 비롯해 국내외에선 관련 사건사고가 끊이지 않고 있다. 2015년엔 중국·대만기업이 제작한 CCTV에서 백도어가 발견돼 사생활 유출 우려가 제기됐으며, 중국 정부기관이 최대주주인 레노버의 노트북에서 보안을 취약하게 만드는 애드웨어(광고성 소프트웨어)가 발견돼 지난해 미연방거래위원회(FTC)가 과징금을 부과했다.
최근 백도어 위협이 전방위로 확대되는 가운데, 국내 공공부문 역시 백도어 위협에서 안전하지 않다는 지적이다. 공급·개발단계에서 백도어가 설치된 외산 제품 등이 유입될 수 있기 때문. 정보통신기술(ICT) 제품은 국산화가 충분히 돼 있지 않아 백도어 위협에 노출돼있다.
공공에 도입된 ICT 제품 중 절반 이상은 외산이다. 실제 '2018 공공부문 정보자원 현황 통계 보고서'에 따르면, 공공에 도입된 국산 하드웨어(HW) 비율은 28%, 국산 소프트웨어(SW) 비율은 42%에 불과하다.
연구소 측은 "공공부문의 주요 기관에서 외산 장비를 도입하는 것은 신중해야 한다는 의견이 있다"며 "과거 백도어 문제가 발생했던 제품 혹은 제품의 제조 기업에 대해 제재 혹은 감시·감독을 할 수 있는 법적 근거 불분명하다"고 우려했다.
연구소에 따르면, 정보통신망법은 정보통신망침입죄를 규정하고 백도어를 악용해 정보통신망에 침입한 자 또는 미수범을 처벌할 수 있게 했다. 그러나 제조사가 악의적인 목적으로 백도어를 설치했어도 설치만을 이유로 처벌하기에는 해석상 한계가 존재한다.
연구소 측은 "예비죄를 처벌하는 규정을 포함할 경우 이를 처벌할 수 있는 근거가 될 수 있으나, 현재 정보통신망침입죄의 예비범 처벌규정은 없다"고 설명했다.
조달청 지침(네트워크 장비 구축·운영사업 추가특수조건)에서 백도어를 명시적으로 언급하고 규정 위반 시 계약 해제, 부정당업자로 입찰참가자격 제한처분 등을 내리는 게 가능하나, 법에 따른 처벌규정이 아니라 제재 수위가 낮고 사전 대응의 법적 근거가 되기 어렵다는 맹점이 있다.
국제적으로 백도어 문제는 개인정보보호는 물론 국가 안보 차원에서 중요하게 다뤄지고 있다. 미국 정부는 안보를 우려해 ZTE·화웨이 등 중국기업들의 통신장비를 공공에서 이용할 수 없게 조치를 취하려 하고 있다. 정치·외교적 고려가 개입된 조치라는 비판도 있으나, 백도어 사고 시 중대한 피해를 초래할 수 있는 만큼 주의 깊게 대응할 필요가 있다.
연구소 측은 "경제·외교적 문제가 얽혀 있는 만큼 특정 국가 혹은 기업에 대한 제재는 어려울 수 있으나, 사후적으로 사고를 수습하는 것은 한계가 있다"며 "국내외에서 백도어로 인한 보안 이슈가 발생할 시 신속히 대응할 수 있는 제도와 이를 위한 법적 근거를 구비할 필요가 있다"고 조언했다.
또 "미국과 유럽이 카스퍼스키 제품에 대해 향후 어떤 식으로 대응해 나가는지를 유의 깊게 참고해 우리나라도 정보보안 관련 법제도를 정비할 필요가 있다"고 덧붙였다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기