몇 년 전 우리의 식탁을 위협했던 `살충제 달걀` 파동을 기억할 것이다. 유럽과 한국에서 `피프로닐` 외 각종 농약 및 살충제의 잔량 기준치 초과상태로 생산된 달걀이 시장에 유통된 사건이었다. 특히 소비자들이 비싼 값을 주고 믿고 구매했던 친환경 달걀에서도 이런 성분들이 검출돼 소비자들을 혼란에 빠뜨렸다. 그러나 농가에서는 진드기 제거를 위해 가축병원에서 소개받은 약으로 믿고 사용했다며 억울함을 호소하기도 했다. 친환경 농가라면 사용하는 약품이 친환경 제품인지 재차 확인했어야겠지만 그렇지 못했다. 이처럼 대부분의 경우 신뢰하는 기관에서의 소개는 대부분 의심 없이 받아들여진다. 이 사건은 당시 유해 물질에 대한 인식 부족이나 관리체계가 미흡했던 것이 원인이었다. 하지만 만약 누군가가 악의적인 의도를 가지고 벌인 일이라면 상상하기에도 끔찍한 상황이 벌어졌을 것이다. 이와 유사한 일들이 우리가 먹는 식품뿐만 아니라 사이버 공간에서도 종종 일어나고 있다.

우리는 이를 이른바 `공급망 공격(Supply Chain Attack)`이라고 부른다. 공급망이란 원재료를 획득하고, 이 원재료를 중간재나 최종재로 변환하고, 최종제품을 고객에게 유통시키기 위한 조직 및 비즈니스 프로세스의 네트워크다. ICT시스템에서는 소프트웨어나 하드웨어를 개발업체 또는 제조업체를 통해 개발하고 사용자에게 배포하는 과정을 거치게 된다. 이러한 과정에 침투해 사용자에게 전달되는 소프트웨어·하드웨어를 변조하는 형태의 공격을 공급망 공격이라고 한다. 대표적인 사례로 올해 초 대만의 컴퓨터 제조사인 아수스(ASUS)가 100만 명이 넘는 고객들에게 악성코드를 전파한 사건을 떠올릴 수 있다. 공격자들은 아수스가 사용자의 시스템으로 소프트웨어를 자동 배포할 때 사용하는 서버에 침투해서 악성코드를 심어 사용자에게 배포한 것이다. 또 다른 사례인 지난해 말 불거졌던 `스파이칩` 이슈는 하드웨어 측면의 공급망 공격에 해당된다. 사건의 발단은 지난해 10월 초 미국의 블룸버그 비지니스위크에서 중국이 미국의 한 서버 제조업체를 공격, 연필 촉만한 크기의 초소형 스파이칩을 심어 애플과 아마존, 대형 은행 등 30개 미국 기업을 해킹해 정보를 빼내 갔다고 보도한 것이다. 그러나 이 보도 이후에 해당 제조사, 아마존과 애플은 모두 이 보도 내용을 부인하고 나서 사건은 진실논란만을 남겼다.

이러한 이유 때문에 다양한 보안 전문기관에서 향후 예상되는 심각한 보안 위협으로 공급망 공격을 언급하고 있다. 필자는 이러한 공급망 공격이 두 가지 측면에서 큰 위협이라고 생각한다. 첫째, 공격자 입장에서 공격에 대한 효율성을 높일 수 있기 때문이다. 공격을 폭넓게 하기 위해 모든 대상을 개별적으로 공격하기보다는 사용자가 올 만한 곳의 길목을 노리는 것이다. 한 조직의 모든 PC를 공격하기 위해 각 PC에 모두 침투하는 것이 아니라, 각 PC에 소프트웨어를 배포하는 하나의 서버 침투에 성공하면 나머지 PC를 모두 공격하는 효과를 거둘 수 있기 때문이다. 둘째, 기존 사용자에게 신뢰를 얻은 점을 쉽게 악용할 수 있다는 점이다. 사용자들의 보안 의식도 높아졌기 때문에 새로운 사이트나 서버에 연결하여 소프트웨어를 다운로드 받는 경우, 어느 정도 의심을 하고 주의를 기울이게 된다. 하지만 신뢰받는 공급자가 제공하는 소프트웨어는 의심 없이 사용하는 경우가 많다.

5G와 사물인터넷(IoT)으로 모든 것이 연결된 초연결 세상이 다가오고 있다. 새로운 가치를 창출하기 위해 연결을 막을 수는 없다. 하지만 연결이 많아지면 공격자가 공급자에서 수요자에 이르는 과정에 침투할 경로가 많아진다. 산지에서 우리들의 식탁까지 먹거리를 안전하게 전달하기 위해 농산물 유통 이력 추적관리제도 등 신뢰 관리체계와 각 농산물의 유해성분 잔량을 분석할 수 있는 잔류농약 정밀검사 기술 등이 필요하듯이, 사이버 공간에서도 사용자들에게 안전한 사용 환경을 제공하기 위해선 신뢰할 수 있는 공급망 보안 체계를 적극적으로 마련해야 할 시점이다.

진승헌 ETRI 기술기획부장

<저작권자ⓒ대전일보사. 무단전재-재배포 금지>

저작권자 © 대전일보 무단전재 및 재배포 금지