중국의 ‘초한전(超限戰)’ 수단 가운데 우리 생활에 가장 근접해 있는 것이 바로 각종 전자기기에 설치한 ‘백도어’다. 중국산 제품은 스마트폰부터 스마트TV, CCTV와 홈캠, 가정용 네트워크 공유기, 노트북, 심지어 키보드와 마우스 등 네트워크를 사용하는 거의 대부분 제품에 ‘백도어’가 숨어 있다는 것이 각국 정부의 지적이다. 우리나라에서도 ‘중국 제품의 백도어’가 발견됐지만 정부에서는 아직도 이를 금지하지 않고 있다.
■ 중국산 ICT 장비·가전에 숨어 있는 ‘백도어’... 펌웨어 업데이트로 활성화
‘백도어’란 원래 네트워크나 관련 장비에 문제가 생겼을 때 이를 원격으로 고치거나 운영하기 위해 제조사가 고객에게 양해를 구하고 만드는 것이다. 그러나 중국산 전자제품에 있는 ‘백도어’는 고객의 허락 없이 기기 통제권을 장악하거나 고객 정보를 빼돌린다.
2015년 한국과학기술원(KAIST) 시스템보안연구실과 보안업체 NHSC는 중국산 CCTV에 ‘백도어’가 설치돼 있다고 밝혔다. 당시 CCTV에 심어져 있던 ‘백도어’는 중국에 있는 서버와 연결돼 있었는데 카메라의 모든 권한을 얻을 수 있었다고 한다.
관련 내용을 보도한 ‘전자신문’은 "최근 레노버 노트북에서 개인정보를 유출하는 ‘수퍼피시’ 프로그램이 발각된 데 이어 드러난 것"이라고 설명했다. (관련 기사)
2016년 11월에는 중국 업체 ‘블루(BLU)’의 저가형 안드로이드 스마트폰에서 ‘백도어’를 찾았다는 외신 보도가 나왔다.
미국 국방고등연구계획국(DARPA)에서 독립한 보안업체 ‘크립토와이어’가 ‘백도어’를 찾았다. 문제의 스마트폰에는 중국 ICT 대기업 ‘샹하이 ADUPS 테크놀러지’가 개발한 펌웨어 자동 업데이트 프로그램 ‘FOTA’가 장착돼 있었다. (관련 기사)
‘크립토와이어’의 분석 결과 ‘FOTA’는 펌웨어를 업데이트하면서 사용자 위치 정보, 통화 이력, 연락처, 문자메시지 내용 등을 72시간 이내 중국에 있는 서버로 전송한 것으로 드러났다. 당시 외신은 "해당 프로그램은 화웨이와 ZTE 스마트폰에도 탑재돼 있다"고 지적했다.
같은 달 보안업체 ‘아누비스 네트워크’의 모바일 분야 연구원들이 ‘BLU’의 저가 스마트폰에서 또 다른 중국 회사가 만든 ‘백도어’ 프로그램을 발견했다. ‘라젠텍 그룹’이 만든 ‘백도어’ 프로그램 또한 펌웨어 업데이트를 통해 개인 정보를 중국으로 보낼 수 있는 것이었다. 연구원들은 ‘인피니티 모빌리티’ ‘DOOGEE’ ‘LEAGOO’ ‘IKU 모바일’ ‘비라인(Beeline)’ ‘XOLO’ 같은 다른 중국산 저가 스마트폰 브랜드에서도 유사한 ‘백도어’를 발견했다고 덧붙였다.
이는 2016년 9월 ‘샤오미’의 안드로이드 스마트폰에 설치된 펌웨어 ‘애널리틱스 코어’가 스마트폰 사용자 정보를 수시로 수집해 중국으로 보낸다는 사실이 드러나 중국산 스마트폰의 안전성 문제가 지적당한 뒤에 나온 이야기들이어서 중국산 스마트폰의 인기가 크게 줄었다.
같은 해 12월 ‘트러스트룩’이라는 보안업체 발표에 따르면 중국산 스마트폰에 설치된 ‘백도어’는 2016년 7월부터 활성화됐다. 이런 ‘백도어’가 설치된 중국산 스마트폰은 세계적으로 7억 대에 이를 것이라는 게 업체 추정이었다.
그러나 중국산 스마트폰의 ‘백도어’ 문제는 이후로도 사라지지 않았다. 결국 미국은 국방부를 필두로 연방 공무원들에게 중국산 저가 스마트폰 사용을 금지했다. ‘백도어’로 스마트폰의 권한을 탈취한 뒤 무선 네트워크를 통해 국방부 전산망에 침투할 수도 있다는 우려 때문이었다.
■ 문 정부 시절 육군, 해·강안 감시용 CCTV에 ‘보안 구멍’
‘백도어’ 논란은 스마트폰에서 그치지 않고 CCTV와 네트워크 공유기, 스마트 TV 등으로 번졌다. 2015년 6월 NHSC 연구팀은 국내에서 판매하는 중국산 CCTV에서 ‘백도어’를 발견했다. 이 ‘백도어’는 중국에 있는 클라우드 서버를 통해서만 접근할 수 있도록 만들어 놓았다고 한다. 해당 CCTV는 네트워크를 이용해 클라우드 서버에 영상을 저장하는 것이었다. 최근 CCTV는 모두 이런 방식을 사용하고 있다.
중국산 CCTV에 ‘백도어’가 설치돼 있어 개인정보는 물론 사생활까지 침해당한다는 지적은 전 세계적으로 나왔다. 결국 미국은 2018년 5월 연방정부기관은 중국산 CCTV를 구매할 수 없도록 하는 ‘2019 국방수권법’을 내놨다. 여기에는 세계 CCTV 시장 점유율 1위인 중국 하이크 비전, 2위인 다화테크놀러지도 포함됐다. 이후 호주, 영국, 유럽 등에서 중국산 CCTV 퇴출이 시작됐다.
하지만 한국 정부는 이런 문제 제기에 아무런 해결책도 내놓지 않았다. 그 결과 2020년 11월 큰 사달이 일어났다. 육군이 해·강안 과학화 경계 시스템 개선의 일환으로 수입한 260여 대가 모두 중국산인 것으로 드러났다. 중국산 CCTV가 네트워크 연결을 위해 설정한 인터넷 주소는 모두 중국에 있는 서버로 설정돼 있었는데 이 서버는 과거 악성코드를 여러 차례 유포했던 곳이었다.
우리 군 당국은 "CCTV에서 ‘백도어’ 칩은 발견되지 않았고 일반 인터넷망과 분리돼 있다"며 이를 철거하거나 교체하지 않았다고 KBS가 지난 5월 3일 보도했다. 군 당국은 중국산 CCTV를 수명이 다할 때까지 사용할 예정이라고 밝혔다.
방송은 "망 분리된 상태에서도 해커가 시스템을 잘 아는 경우에는 어딘가 연결점이 있다는 걸 안다. 그 취약점을 사용해서 내부에 있는 데이터를 밖으로 빼낼 수 있다"는 보안 전문가의 말을 전했다. 중국 공산당은 ‘데이터안전법’을 2021년 9월부터 시행하고 있다. 즉 중국 공산당이 CCTV 업체에게 ‘백도어’ 권한을 받으면 우리나라 해·강안 경계시스템으로 감시하는 모습을 실시간으로 볼 수 있다. (관련 기사)
이런 CCTV뿐만 아니라 가정에서 방범용이나 육아용으로 사용하는 홈캠이나 방범용 CCTV 또한 중국산이 절대 다수를 차지하고 있다. 그 결과 해외 포르노 사이트에서는 우리나라 홈캠을 해킹해 개인 사생활을 몰래 찍은 영상이 아무렇게나 유포되고 있다.
■ 국내 대다수 사용 중인 인터넷 공유기, 키보드, 마우스에도 ‘백도어’ 의심
중국 ICT 제품의 ‘백도어’ 문제는 이뿐만이 아니다. 2020년 11월 외신은 "아마존과 이베이 등에서 판매되는 중국산 네트워크 공유기에 백도어가 설치돼 있다"고 보도했다. 보도에 따르면 일부 네트워크 공유기는 디도스 공격을 일으킬 때 사용하는 악성코드를 사용자 PC에 설치하기도 했다.(관련 기사)
2021년 1월에는 중국 최대의 TV업체 TCL이 제조한 스마트 TV에 ‘백도어’가 설치됐다는 외신 보도가 나왔다. 외신은 그러면서 "TCL이 화웨이에 이어 제재를 당할 수도 있다"고 덧붙였다. 같은 해 2월에는 중국 샤오미가 만든 로봇청소기에 ‘백도어’가 설치된 사실이 드러났다는 외신 보도가 나왔다. 이뿐만 아니라 심지어 중국산 무선 키보드 마우스에도 ‘백도어’가 설치된 사실이 드러나 충격을 줬다. 중국산 게임 업체는 ‘데이터보안법’을 앞세워 대놓고 개인 정보를 수집에 당국에 넘길 수 있다고 밝히고 있다.
이런 식의 불법적인 일이 가능한 것은 중국이기 때문이다. 중국 공산당은 ‘데이터보안법’을 비롯해 안보 관련 각종 법률로 개인 정보를 수집하고 사생활을 침해한다. 고객이 외국인이라도 그 침해 대상이 된다. 중국에서 활동하는 외국기업 또한 중국 공산당의 지시에 따라 고객 정보를 모두 넘겨야 한다. 특히 화웨이, ZTE, 샤오미, TCL, 하이크비전 등의 대기업은 모두 중국 공산당의 비호 아래 성장한 탓에 당국의 명령을 거스를 수가 없다.
이런 식으로 수집한 외국인 개인 정보는 대상국에 대한 통일전선공작 즉 ‘초한전’을 펼칠 때 대단히 중요한 지렛대로 사용할 수 있다.
자유일보
디지털뉴스팀
(ⓒ SOH 희망지성 국제방송 soundofhope.kr)
