[디지털데일리 이유지기자] 정보통신기술(ICT) 제품 공급망 보안위험성이 최근 크게 부각되면서 군 당국이 대책 마련에 나섰다.

국군기무사령부 소속 국방보안연구소(DSI)는 ICT 공급망 위험에 대한 연구를 수행하고, 이를 토대로 군에서 도입·사용하는 ICT 제품의 보안검증과 통제·관리를 강화할 수 있는 제도 보완책이 필요하다고 제안했다. ICT 하드웨어와 소프트웨어 제품 개발과 생산부터 유통, 유지보수, 폐기에 이르는 공급망 전 과정을 철저하게 검증하고 관리할 수 있는 다각도의 대책이 마련돼야 한다는 입장이다.

지난 3일 기무사가 개최한 ‘국방 정보보호·암호 컨퍼런스’에서 국방보안연구소 임항섭 연구원(대위)은 “새로운 위협으로 떠오른 ICT 공급망 위험에 다각적인 대응 노력이 필요하다”고 강조하면서 필요한 대책을 제시했다.

◆악성코드·백도어 숨은 ICT제품 잇단 발견, 미국·중국 등 대책 강화=임 연구원에 따르면, 수많은 기업과 인력이 복잡하게 얽히는 공급망은 피해를 초래한 행위 주체나 발생 원인, 의도 파악이 어려워 위험성이 크다. 위험요인이 공급망 전반에 걸쳐 다양한 형태로 내포되기 때문에 확인하는 것이 쉽지 않다.

때문에 만일 적대적 목적을 갖고 ICT 제품을 통해 계획적으로 공급망 공격을 벌일 경우엔 치명적인 결과를 초래할 수 있다.

공급망 단계별 위험요소는 다양하다. 생산 단계에서 백도어가 숨겨지거나 소프트웨어 코딩 실수·취약점으로 인해 악성코드가 삽입될 수 있다. 저렴한 위조 부품이 사용될 수도 있다. 유통 단계에서도 백도어가 추가되거나 분실·파손, 불법 변조나 복제도 가능하다. 유지보수 단계에서도 백도어나 악성코드에 감염될 위험성이 존재한다. 보안위협에 악용되는 취약점을 장기 방치하지 않으려면 공급업체가 폐업하거나 기술지원이 제대로 이뤄지는지 철저한 관리가 필요하다. 폐기단계에서도 적절한 절차가 준수되지 않을 경우 중요 정보가 유출되거나 불법적으로 재사용되는 일이 발생할 수 있다.

관련사례는 이미 국내외에서 다양하게 나왔다. 휴대폰, 통신장비, CCTV 등 ICT 기기나 제품에서 취약점이나 악성코드, 백도어가 숨겨져 있는 것을 발견하거나 복제품이 유통된 사례도 있었다.

이에 따라 미국·영국·중국 등 세계 각국은 국방·공공 분야 주요기관에서 문제가 된 제품 사용을 금지하거나 인증되지 않은 제품 수입을 차단하는 등 공급망 보안관리 대책을 강화하고 있다.

미국의 경우 지난 2012년 하원 정보위원회가 보고서를 통해 화웨이 등 중국산 통신장비의 보안위험성을 지목하면서 사용 금지를 권고하기도 했다. 이후 국방수권법에 국방계약업체 사고 고지 의무화 규정을 마련하고 국립기술표준연구소(NIST)에서 연방정부 정보시스템과 조직을 위한 공급망 위험관리 방안 가이드를 발간하는 등 지속적으로 관련대책을 강화하고 있다.

◆미래부 IoT 보안 내재화 추진, 군 관련제도 보완 필요=우리나라에서도 몇 년 전부터 ICT 제품 생산부터 유통, 유지보수, 폐기에 이르는 전단계에서 강화된 보안위험관리 대책을 수립·시행해야 한다는 지적이 보안전문가들 사이에서 꾸준히 제기됐다.

이에 따라 미래창조과학부는 지난해 수립한 ‘사물인터넷 정보보호 로드맵’과 이를 위한 3개년 시행계획을 올해 발표하면서 사물인터넷(IoT) 제품과 서비스 공급 전단계에 걸쳐 ‘보안 내재화’를 추진하고 위험요소를 관리할 수 있도록 관련 제도 도입을 추진하고 있다.

군 대응방향으로 국방보안연구소는 우선 현재 시행 중인 보안검증 제도 절차를 철저히 준수하는 한편, 유지보수 과정의 검증제도가 보완돼야 한다는 의견을 내놨다. 국방 분야에서는 현재 군에서 개발·도입하는 제품을 대상으로 보안대책과 측정, 취약점 분석·평가가 시행되고 있다. 때문에 보안 패치나 업데이트 등 유지보수 단계에 대한 검증이 추가돼야 한다는 의미다.

도입·사용되는 주요 제품 관리 강화 방안과 사고대응을 위한 제도 손질 필요성도 지적했다.

메인보드, 메모리, 펌웨어 등과 같은 제품 내 주요 부품 제조·생산 출처를 비롯해 전체 공급 과정에 대한 이력관리 방안을 마련하고 군 관련 하드웨어 생산 인력과 소프트웨어 개발 인력 관리 방안도 검토돼야 한다는 것이다.

아울러 만약 공급사가 납품한 제품에 취약점이 발견되면 대상부대에 고지하는 절차를 제도화하고 공급망 단계별 보안 위험요소 대응 계획 가이드도 제시해 긴급 사고대응 절차와 계획이 마련돼야 한다고 설명했다.

또 검증기관을 선정해 군내 반입된 다양한 ICT 제품을 대상으로 위협요소를 검사하고 식별된 제품 통제·감독 대책도 수립돼야 한다는 점도 제시했다.

군 정보체계 전반에 대한 시큐어코딩 등 안전한 소프트웨어개발수명주기(SDLC) 적용, 상용 하드웨어 제품과 상용·공개 소프트웨어 보안취약점과 위협 진단·제거를 위한 기술적 대책도 필요하다고 강조했다.

임 연구원은 “ICT·사물인터넷(IoT) 기기 증가로 공급망 위험은 점차 심화될 것”이라며 “공급망은 제품 도입과정에서 형식적인 검수를 수행하거나 취약점을 장기 방치하고 폐기단계에서 정보가 유출되는 위험성이 있다. 계획적인 공급망 공격으로 무기체계를 오작동하거나 마비시킬 경우 큰 사회 혼란을 가져올 수 있다”고 말했다.

<이유지 기자>yjlee@ddaily.co.kr