2006년 늦여름, 맥도널드 일본 지사는 새로운 프로모션을 기획했다. 코카콜라를 주문하면 암호가 적힌 컵에 따라 주고, 이 암호를 이벤트 웹사이트에 입력한 고객 중 1만명을 추첨해 노래 10곡이 담긴 MP3 플레이어를 경품으로 주는 것이었다.
맥도널드 관계자들은 이 이벤트의 성공을 확신했다. 코카콜라와 공짜 MP3 플레이어를 싫어할 사람은 거의 없을 테니 말이다. 그러나 여기에 누구도 예측치 못한 문제가 있었다. 경품 당첨자들에게 발송된 MP3플레이어에 ‘QQ패스(QQPass)’라는 트로이목마 악성코드가 심어져 있었던 것. MP3 플레이어를 컴퓨터에 연결하는 순간, 감염이 이뤄져 사용자의 키보드 타이핑 내역과 비밀번호, 개인정보를 탈취해가는 녀석이었다.
결국 맥도널드는 경품을 회수하고 사과문을 발표했지만 이 악성코드에 몇 명의 고객이 감염됐는지는 파악조차 하지 못했다. 이 사건은 아프리카에 기근이 정점을 찍었을 때 출시해 처참한 실패를 겪었던 ‘맥아프리카 버거’를 누르고 패스트푸드 업계의 프로모션 역사상 최악의 사고로 기록돼 있다.
맥도널드와는 이유가 달랐지만 보안 전문가들도 이 사건에 주목했다. 일반인들이 일상적으로 사용하는 시스템에 해커들이 어떻게 직접 사이버 공격을 가할 수 있는지 보여주는 사례였기 때문이다. 현재 사이버 범죄 발생률은 전 세계적으로 가파르게 상승하고 있다. 미국과 우리나라의 2014년 사이버 금융범죄 피해액이 각각 4,450억 달러(약 502조3,000억원), 600억원에 달한다.
굵직한 사건들만 봐도 지난해 이베이에서 2억3,300만건의 개인정보가 유출됐으며, 우리나라에서는 신용카드사들의 잇단 고객정보 유출 사고로 사실상 전 국민의 신상이 털렸다는 얘기까지 나왔다. 소니가 해킹 공격을 당해 북한 김정은의 암살을 다룬 영화 ‘더 인터뷰’의 개봉이 취소되기도 했다. 이처럼 사이버 공격의 양상은 다양하다.
하지만 그동안의 사이버 공격은 한 가지 공통된 특성이 있었다. 네트워크나 계정의 보안시스템을 뚫기 위해 ‘해킹된 소프트웨어’를 활용했다는 점이다. 그런데 일본 맥도널드 사건은 달랐다. 범인들은 ‘해킹된 하드웨어’를 사용했다. 이는 사이버 보안 전문가들에게 공포 그 자체와 다름없었다.
컴퓨팅의 개념에서 하드웨어는 곧 마이크로칩을 의미한다. 이런 마이크로칩은 이미 휴대폰과 TV, 냉장고는 물론 항공기, 미사일, 전력망에도 들어 있다. 특히 사물인터넷이 글로벌 메가트랜드로 부상하면서 하루하루 더 많은 일상의 기기들에 마이크로칩이 채용되고 있다. 이와 관련 시장조사기업 가트너는 전 세계 인터넷 접속 기기가 올해 49억대에서 2020년 250억대를 넘어설 것이라는 전망을 내놓기도 했다.
이 점에서 마이크로칩은 우리가 살고 있는 디지털 세상의 근간을 이루고 있다고 해도 과언이 아니다. 문제는 마이크로칩, 즉 하드웨어의 보안이 무방비 상태와 다를 바 없다는 것. 실제로 소프트웨어 보안산업은 성장을 거듭해 2020년 1,560억 달러(176조3,000억원)의 시장 형성이 예견되는 반면 하드웨어 보안은 언급조차 찾아보기 어렵다. 하드웨어를 타깃으로 한 사이버 공격이 나날이 강해지고, 위험해지고, 대응 불가능해지고 있음에도 말이다.
일본 맥도널드 사건에서 마케팅 담당자들은 카탈로그 보고 제품을 주문했다. 악성코드는 홍콩 소재 MP3 플레이어 공급사의 생산라인에 접근 가능한 누군가가 심은 것이다. 그 해커가 왜 사이버 공격의 도구로 MP3플레이어를 선택했는지는 알 수 없다. 아니 중요치 않다.
진정으로 중요한 것은 커피메이커에서 제트 전투기에 이르기까지 하드웨어가 존재하는 곳이라면 어디에서든 그 같은 시도가 재현될 수 있다는 사실이다. 그리고 그 피해는 아마도 맥도날드 사건 때와는 비교할 수 없을 만큼 참혹한 지경으로 치달을 개연성이 높다.
마이크로칩은 우리가 살고 있는 디지털 세상의 근간을 이룬다. 하지만 하드웨어의 보안은 무방비 상태와 다름없다.
안전지대는 없다!
1958년 텍사스 인스트루먼트의 잭 킬비에 의해 최초의 집적 회로가 발명됐다. 마이크로칩의 시대는 그렇게 열렸다. 기본 작동원리는 초기의 집적회로나 오늘날의 마이크로칩이나 동일하다. 다만 지난 55년간 구조적 복잡성은 극도로 증진됐다. 현재의 마이크로칩 하나에는 수십억개의 트랜지스터가 탑재돼 있으며, 블록이라는 서브유닛들이 각각의 기능을 수행한다. 예를 들어 스마트폰의 프로세서에는 동영상 프레임을 저장하는 블록과 무선 전송을 위해 그 프레임을 변환하는 블록 등 다수의 블록으로 구분돼 있다.
설계와 제조방식 역시 큰 변화가 있었다. 1970~1980년대만 해도 이름 있고 신뢰성 높은 마이크로칩 제조·설계기업은 극소수에 불과했지만 지금은 미국과 아시아를 중심으로 무수한 기업들이 매년 5,000가지 이상의 새로운 설계를 내놓는다. 또한 각 기업들은 최소 수백 명 이상의 근로자를 고용, 각기 다른 블록을 생산토록 하고 있다. 이로 인해 제조사 내에서조차 마이크로칩 아키텍처의 모든 세부사항을 보거나 이해하는 사람은 없다고 봐도 무방하다.
이런 변화 혹은 발전에 대한 평가는 대체로 긍정적이다. 마이크로칩이 강력해질수록 인간들의 능력도 커졌기 때문이다. 그러나 고도의 복잡성과 2014년 기준 3,330억 달러(약 371조2,600억원)에 이르는 막대한 판매량이 만나면서 누구도 대비하지 않았던 중대한 문제가 발생했다. 다름 아닌 보안의 취약성이다. 이는 악의적 해커들에게 거부할 수 없는 유혹과도 같았고, 하드웨어 해커의 탄생을 이끌었다.
최근 발표된 미국 브루킹스연구소의 보고서에서 UCLA 전기공학부 존 빌라세뇰 교수는 이렇게 언급하기도 했다. “마이크로칩의 설계를 고의적으로 변조시킬 능력과 접근 기회, 동기를 가진 사람들의 존재는 통계학적 법칙으로 증명 가능합니다.”
결국 더 많은 빈도와 더 큰 규모의 하드웨어 해킹 공격은 가능과 불가능이 아닌 시간문제일 뿐이다. 또한 공격 주체는 회사에 불만을 품은 노동자부터 범죄조직, 테러단체, 적대국까지 누구든 될 수 있다. 공격 방식의 경우 사이버 전쟁과 마찬가지로 공격 사실을 드러내는 명시적 공격과 은밀하게 진행되는 비밀 공격 중 하나가 될 것이다. 이중 명시적 공격은 시스템의 정상작동을 방해하는 형태일 공산이 크다. 해커가 언제든 마이크로칩의 작동을 중지시킬 수 있는 이른바 ‘킬 스위치’가 그 대표적 사례다.
킬 스위치의 구현은 생각보다 쉽다. 일례로 마이크로칩의 블록들이 상호 소통하고 조화를 꾀하기 위한 통로로 이용하는 ‘시스템 버스(system bus)’를 공략하면 된다. 정상 상태에서는 각 블록들이 돌아가면서 사용해 간섭을 피하지만 중급 마이크로칩 설계사 정도면 손쉽게 한 블록이 시스템 버스를 계속 점유토록 만들 수 있다. 이때는 다른 블록들이 데이터를 얻지 못해 시스템 전체가 회복 불능에 빠진다.
게다가 마이크로칩은 작은 손상으로도 엄청난 결과가 초래된다. 지난 2011년 미 해군의 SH-60 시호크 대잠헬리콥터에 채용될 예정이었던 전자파 장애 필터에서 불량 트랜지스터가 발견된 적이 있는데, 실제 쓰였다면 헬파이어 미사일 발사 기능에 장애를 일으켜 전투에서 무용지물로 만들 수도 있었다.
미 의회까지 나선 조사 끝에 그 트랜지스터가 중국에서 제작됐으며, 단순 생산 과실이 결함의 원인으로 규명됐지만 의도적 해킹 공격의 위험성을 직시하기에는 충분한 사건이었다. F-35 라이트닝 Ⅱ 전투기의 FPGA 중 4분의 3 이상이 중국과 대만산이기 때문이다.
두 나라는 현재 인공 심박조율기, 신장투석기 등의 무선 의료기기와 자동차에 들어가는 마이크로칩 대부분을 생산 중이기도 하다. 누군가 이들의 마이크로칩에 킬 스위치를 만들어 놓는다면 그 칩이 장착된 어떤 기기라도 간단히 무력화할 능력을 갖게 된다.
킬 스위치를 활성화시킬 암호의 입력 방법도 다양하다. 문자메시지나 이메일을 보낼 수도, 칩에 마이크로 안테나를 숨겨 놓고 무선전파를 사용할 수도 있다. 아예 특정시점에 활성화되도록 미리 프로그래밍해도 된다.
지옥 같은 세상
명시적 공격이 전투기를 활용한 폭격이라면 비밀 공격은 지뢰 매설에 비유할 수 있다. 해킹된 마이크로칩은 외관상 정상적으로 작동하면서 특정 정보를 유출하거나 시스템 내에 멀웨어를 퍼뜨린다. 손상된 다른 마이크로칩과 함께 대규모 공격에 동원될 가능성도 있다.
이와 관련 2007년 대만 법무부는 직원들이 사용하던 몇몇 씨게이트 하드 드라이브에서 설계 또는 생산공정 중 심어진 것으로 보이는 두 개의 트로이잔 바이러스를 발견했다. 이 바이러스는 하드 드라이브에 저장된 모든 데이터를 북경 외곽에 서버를 둔 두 곳의 웹사이트에 업로드하게 코딩돼 있었다.
특히 하드웨어 해킹의 진정한 무서움은 완벽히 무해해 보이는 기기도 비밀 공격의 도구가 될 수 있다는 점에 있다. 유·무선 네트워킹만 된다면 휴대폰 충전기, 탁상시계, 다리미, 토스터기 등 무엇이라도 가능하다. 우리가 세상만물의 네트워킹을 지향하는 사물인터넷 세상을 향해 나아가고 있음을 감안할 때 안전지대는 없다고 보는 것이 옳다.
만일 비밀 공격이 인터넷의 중추, 즉 서버와 네트워크 장비에 가해질 경우 파괴력은 더욱 걷잡기 힘들다. 인터넷 공간을 떠도는 데이터의 대부분을 탈취, 손상, 감염시킬 수 있는 탓이다. 이를 노렸던 것인지 2013년 불법 민간인 정보 사찰로 물의를 빚었던 미 국가안보국(NSA)도 해킹의 대상을 개별 컴퓨터에서 네트워크 하드웨어로 옮겼다는 게 폭로자인 에드워드 스노든의 전언이다.
이러한 비밀 공격은 파괴력은 물리적 형태로 나타났을 때 극대화된다. 국제위기를 조장하려는 사람이 군용 무인기 부품으로 공급되는 마이크로칩 제조공장에 근무한다고 가정해보자. 그리고 이 사람이 특정 GPS 좌표, 예를 들어 우방국 영공에서 마이크로칩이 고장 나도록 조치했다면? 무인기가 학교나 댐에 미사일을 발사, 양국간 전쟁이 촉발될 수도 있다.
물론 이는 최악의 가정이다. 하지만 전혀 불가능한 망상도 아니다. 지난 2011년 미국싱크탱크인 아스펜연구소의 사이버보안 패널로 활동했던 마이클 헤이든 전 NSA 국장은 하드웨어 해킹에 대해 이렇게 말하기도 했다.
“하드웨어 해킹은 우리에게 지옥을 선사할 수 있습니다.”
하드웨어 해킹의 세상에서는 유·무선 네트워킹이 가능한 스마트 기기라면 냉장고, 탁상시계, 다리미, 토스터기 등 모든 것이 무기화될 수 있다.
방어선 구축
하드웨어 해킹은 이제 막 발걸음을 뗀 단계다. 그만큼 대응책도 초보 수준이다. 당연히(?) 일반 소비자들을 대상으로 한 하드웨어 보안은 훨씬 상식선에 머물러 있다. 물건의 출처를 모르면 네트워크에 연결하지 않는 것이 좋다는 식이다. 지난 2008년 중동의 한 미군기지에 근무하던 관계자가 길에서 습득한 USB 메모리를 노트북에 연결, 기밀 시스템이 악성코드에 감염되면서 해외 서버에 군사정보가 유출되는 사건이 있었음을 고려하면 마냥 흘려들을 얘기는 아니지만 말이다.
뻔한 소리를 뛰어넘는 현실적 방어책 구축은 그리 쉽지 않지만 펜타곤은 얼마 전 좋은 첫걸음을 내딛었다. 설계·생산단계에서 하드웨어 해킹을 방지하기 위한 신‘ 뢰받는 생산자(Trusted Foundry) 프로그램’의 운용을 개시한 것. 이는 펜타곤이 제시한 까다로운 인가절차에 합격해야 군용 물품 납품자격을 부여하는 프로그램이다. 아직은 미군에 납품되는 마이크로칩 가운데 극소수에만 적용되고 있다.
생산자의 신뢰성 검증에 이어 수행해야할 조치는 아마도 신뢰성을 갖춘 생산자들의 네트워크를 확장하는 한편 그렇지 않은 생산자에게 페널티를 주는 것이다. 그러나 마이크로칩의 판매자와 생산자가 워낙 많은지라 이 또한 쉽지가 않다. 최근 중국의 한 공장이 출하한 갤럭시 S4의 짝퉁폰 ‘스타 N9500’에서 개인정보를 유출하는 트로이잔 바이러스가 발견됐는데, 전문가들을 동원한 일주일 이상의 추적에도 불구하고 해당 마이크로칩의 제조사를 찾지 못하기도 했다.
때문에 일부 연구자들은 주요 유통단계에서 제품의 신뢰성을 검증할 홀로그램 또는 식물 DNA 마커 형태의 디지털 워터마크를 개발 중이다. 또 다른 연구팀은 아예 마이크로칩 자체의 보안성을 향상시킬 설계법 개선 방안을 찾고 있다. 설계가 변경된 사실을 추적할 수 있는 암호화 프로그램을 통해 생산·설계 공정에서의 해킹 시도를 차단하는 것이 목표다.
덧붙여 전문가들은 기존의 ‘검사’ 개념을 확장해야 마이크로칩의 보안을 높일 수 있다고 강조한다. 현재의 검사는 실수에 의한 결함, 설계상의 결함을 걸러내기 위한 것일 뿐 인위적 해킹은 안중에도 없기 때문이다. 그나마 매년 생산되는 수백만개의 마이크로칩 중 이런 검사라도 받는 것은 극소수다.
다행스러운 부분은 펜타곤 산하 미 방위고등연구계획국(DARPA)이 이 한계를 극복하기 위해 ‘집적회로 온전성·신뢰성(IRIS) 프로그램’과 ‘쉴드(SHIELD) 프로그램’을 런칭했다는 것이다. 이중 IRIS는 나노미터 단위의 미세 전자회로를 찾아내고, 마이크로칩 제작 정보를 확인할 수 있으며, 트랜지스터 단위에서 회로의 기능을 파악하는 첨단 적외선 레이저 광학 현미경의 개발을 지향한다.
또 ‘전자 방어를 위한 유통망 하드웨어 통합’의 약자인 쉴드는 전자부품의 진품여부를 증명할 ‘다이렛(Dielet)’ 개발을 표방하고 있다. 암호화 엔진을 탑재해 데이터 보호와 해킹 추적이 가능한 일종의 위변조 방지장치다. 마이크로칩에 손쉽게 부착할 수 있도록 크기는 100㎛, 제조단가는 개당 1달러 미만으로 개발될 예정이다
이와 같은 다각적 노력들은 하드웨어 해킹의 폐해로부터 우리를 지켜줄 훌륭한 방어선이 될 것임에 틀림없다. 그러나 근본적 해법이라고는 말하기 어렵다. 최선의 해법은 마이크로칩에 직접 방어체계를 설치하는 것뿐이다. 승인되지 않은 네트워크 연결을 막는 입·출력 모니터나 특정 영역의 접속을 막는 메모리 게이트키퍼, 실행방지 비트(Execute Disable Bit) 등이 그 실례다.
모든 문제점을 한 번에 해결할 수는 없을 것이다. 하드웨어 해킹은 약이나 수술로 완치되는 질병이 아니라 평생토록 꾸준히 관리해야하는 만성질환에 가깝기 때문이다.
꾸준한 관리가 필요한 만성 질환
2000년대 초 파이어폭스를 개발한 모질라의 연구자인 코디 브로셔스는 호텔에서 사용하는 전자키 도어락 시스템의 보안성을 조사한 적이 있다. 거의 모든 시스템이 마스터키에 의해 열리도록 설계돼 있었다. 이에 그는 2012년 한 보안컨퍼런스에서 직접 만든 50달러짜리 하드웨어로 마스터키를 위조하는 방법을 시연해 보였다. 이후 호텔 도어락 제조사들이 대책을 마련했지만 400만개에 달하는 기존 도어락에 장착된 하드웨어를 교체해야하는 출혈만큼은 피할 수 없었다.
이 사례는 하드웨어 해킹 공격이 얼마나 다양하고 교활한 방식으로 가해질 수 있는지 단적으로 말해준다. 특히 해커의 공격을 막을 기술이 있더라도 우리의 대응은 결코 쉽지도, 신속하지도 못하다는 불편한 진실을 알려주기도 한다.
소프트웨어 보안 역시 초기에는 이와 비슷한 상황이었지만 현재 사이버 보안 전문가들은 그 위험을 정확히 이해하고, 효율적으로 대처하고 있다. 하드웨어 보안도 모든 문제점을 한 번에 해결할 수는 없을 것이다. 하드웨어 해킹은 약이나 수술로 완치되는 질병이 아니라 평생토록 꾸준히 관리해야하는 만성질환에 가깝기 때문이다.
어쩌면 소프트웨어 보안과 마찬가지로 보안 수준을 높이는 과정에서 성능 저하와 제조비 증가가 발생할 수도 있다. 이로 인해 비용 대비 효용성이 낮다는 질타를 받을지도 모른다. 하지만 하드웨어 해킹의 결과를 고려하면 그런 대가는 감내해야 한다. 식물 DNA를 이용한 보안장치를 개발 중인 어플라이드 DNA 사이언스의 제임스 하워드 최고경영자는 한 인터뷰에서 말로 하드웨어 보안의 중요성을 강조하기도 했다.
“100달러밖에 안 되는 마이크로칩이 1억 달러짜리 헬리콥터를 비행하지 못하게 만들 수도 있습니다.”
사물인터넷 (Internet of Things, IoT) 우리 주변의 사물에 센서와 통신기능을 부여해 마치 살아 있는 유기체처럼 스스로 정보를 수집하고 공유하면서 상호작용토록 하는 지능형 네트워킹 기술. ‘사물지능통신(Machine to Machine, M2M)’이라고도 한다.
FPGA (field-programmable gate array) 비메모리 반도체의 일종. 일반 반도체와 달리 사용자의 요구에 맞춰 회로의 변경이 가능하다.
IRIS Integrity and Reliability of Integrated Circuits.
SHIELD Supply Chain Hardware Integrity for Electronics Defense.