[김정민변호사] 미중간의 무역전쟁이 한창이다. 관세전쟁이 계속되는 가운데 정보통신기술과 정보보호의 영역으로 전장이 확대되고 있는 형국이다. 그 중심에 화웨이가 있다. 화웨이는 중국내 스마트폰 점유율 1위 업체로 국내에 알려져 있다. 그러나 일반 소비자는 알기 어려운 화웨이의 진면목이 있는데, 바로 화웨이가 전세계 무선통신장비 점유율 1위 기업이라는 사실이다.

미국 정부는 화웨이의 통신장비에서 정보유출 문제가 있을 수 있다고 우려를 제기하고 있다. 다만 아직까지 구체적인 증거를 제시하지는 못하고 있다. 그렇다고 미국 정부가 뜬금 없이 우려를 표한 것은 아니다.

지난 2011년 보다폰(영국 이동통신 사업자, 매출액 전세계 2위)은 화웨이의 가정용 공유기에 대한 백도어 문제를 제기한 바 있다. 당시 보다폰은 내부 보안점검을 통해 화웨이의 가정용 공유기에서 개발자가 무단으로 접속할 수 있는 ‘백도어’를 발견해 화웨이 측에 제거를 요청했다. 화웨이는 일부러 심어둔 백도어가 아니라 단순한 기술적 실수라고 변명을 했지만, 이런 전력이 있는 터라 화웨이 장비에 대한 백도어 이슈는 이후에도 계속됐다.

화웨이, 英 가정용 공유기에 백도어 심어..."단순한 실수" 변명했지만  

나아가 2012년 10월 미국 하원 정보위원회에서 작성된 보고서에 따르면 화웨이는 '자발적으로 중국 정부와 공산당의 지령에 따라 기밀을 훔치고 지적재산권을 침해하며 미국의 적성국과 수상한 거래까지 하는 기업'으로 설명되고 있다.

'백도어'란 시스템(전산장비) 설계자, 개발자 또는 관리자에 의해 고의로 남겨진 시스템 내의 보안상 허점으로, 운영체제(OS)나 응용프로그램에 삽입돼 있는 프로그램 코드를 의미한다.(프로그램 코드를 심는 방법, 동일한 기능을 하는 하드웨어 칩을 심는 방법이 있다.)

시스템을 개발하는 단계에서 개발자가 디버깅(프로그램 오류를 수정하는 것)을 빠르고 편리하게  하기 위해 고의로 심어두기도 하고, 시스템을 안정화하는 단계에서 유지보수 프로그래머가 사용하기 위해 특수계정을 허용하는 코드를 심어두기도 한다.

다만 개발과 테스트가 완료되면 삭제되어야 하는데, 이를 방치할 경우 개발자나 제3의 해커에 의해 단번에 시스템 보안이 뚫릴 수 있다. 백도어를 통한 접근은 로그를 남기지 않아 시스템 관리자가 모르는 사이에 침입할 수 있고, 최단시간에 침입해 시스템의 관리자(일반적으로 최상위의 권한을 가짐)가 할 수 있는 모든 행위를 할 수 있어, 시스템에 엄청난 피해를 끼칠 수 있다.

카스퍼스키社 사례, 러시아정부 압박에 미국 정부기관 정보수집?

가까운 사례로 러시아 ‘카스퍼스키’社 사례가 있다. 미국 트럼프 정부는 2017년 러시아의 보안소프트웨어(백신)기업인 ‘카스퍼스키’사의 소프트웨어에서 백도어가 발견되자 이 회사의 모든 제품을 연방정부기관에서 퇴출시키는 조치를 취했다.

당시에 월스트리트저널 등 미국 언론은 “카스퍼스키는 자사의 백신 제품을 능동적으로 바꿔 러시아 정부기관 요원들이 스파이 행위를 원활하게 할 수 있도록 도왔다”, “러시아 정부가 카스퍼스키 제품을 통해 NSA 직원의 컴퓨터에 침입하는 것에 성공, 각종 기밀 문건을 훔쳐냈다”, “러시아 해커들이 카스퍼스키 제품이 전 세계적으로 설치되어 있는 걸 활용해 미국 정보와 관련된 문건을 추적하고 찾아냈다”고 연일 보도한 바 있다.

‘카스퍼스키’사가 러시아 정부의 지원 또는 강요(협박)하에 고의로 백도어를 만들었는지, 아니면 러시아 정부가 ‘카스퍼스키’ 사 백신의 취약점을 미리 알고 이를 이용했는지 알 수 없으나, 중요한 것은  전셰계 국가, 특히 정보 기관은 자국 기업 제품(백신, 통신장비)에 고의로 백도어를 심거나 보안취약점을 노린다는 것이다.

화웨이 문제로 돌아와서, 한국에서는 5G 경쟁이 본격화되고 있다. 전세계 최초 5G 상용화라는 타이틀을 얻기 위해 올해 4월 3일 밤 11시에 전격적으로 5G를 개통하는 '촌극'도 있었다. 5G 서비스를 하기 위해서는 이동통신 기지국에 있는 LTE(4세대 이동통신) 장비를 5G 장비로 교체해야 하는데  SKT는 기지국 장비 도입에서 화웨이를 배제하기로 했으며, KT도 그 뒤를 따랐다.

그러나 LGU+는 화웨이의 LTE 장비를 사용하여 왔던 터라 호환성에 이점이 있고 가격경쟁력이 있는 화웨이 장비를 납품받아 사용했다. 미국의 동맹국에 대한 협력 요청에 LGU+는  난감한 상황이다. 그렇다면 한국에서 화웨이의 통신장비를 규제할 수 있는지 궁금해진다. 

백도어에 대한 한국의 예방규정을 살펴보자. 첫째 백도어 문제를 일으킨 제품 또는 제품판매기업에 대해 제제 및 감시감독을 할 수 있는 법적 근거가 사실상 없다.

'정보통신망 이용촉진 및 정보보호 등에 관한 법률'(이하 ‘정보통신망법’)에서 정보통신망침입죄(제48조)를 규정해 백도어를 이용해 정보통신망에 침입한 자 또는 그 미수범을 처벌할 수는 있다.

다만 백도어를 설치하거나 심어두는 행위 만으로 처벌할 수는 없다. 정보통신망침입죄에 예비죄를 처벌하는 규정을 둔다면 처벌이 가능할 수 있다.

한국은 백도어 감시할 능력있나...법 규정 미비 '문제점'

시스템 및 통신장비 제조사에 책임을 물을 수 있는지도 문제인데, 제조사가 고의로 심었거나 백도어를 인식하면서도 적극적으로 삭제하지 않았다면, 방조범으로 처벌이 가능하다.

즉 고의로 백도어를 심어두었고, 그 백도어를 통해 정보통신망에 침입해 정보를 누설한 자는 당연히 처벌할 수 있으나, 과거 문제가 있었던 기업에 대해 감시하거나, 정보통신망 침입의 예비행위에 대해서 처벌을 할 수 있는 규정은 없다.

백도어를 명시적으로 언급한 국내 법규를 찾아보면, '네트워크장비 구축 운영사업 추가특수조건'(조달청지침)에서 백도어에 대한 정의(제3조)를 규정하고, ▲네트워크 장비 내에 백도어 등이 설치 및 운영되지 않도록 보안대책을 마련할 의무 ▲주기적 점검을 하고 점검결과 결점이 발견될 경우 신고할 의무 ▲모든 기능상 보안취약점 등의 결점에 대한 개선 조치의무를 네트워크 장비 구축·운영사업자에게 부과하고 있다(제4조).

그러나 이 규정은 정부기관 및 공공기관의 입찰에 적용되는 것으로 제재 수위가 낮고 제재 범위도 협소하다. 적어도 화웨이 장비가 정부의 통신망 장비에 사용되는 것을 규제할 수 있을 것으로 보인다.

화웨이 문제, '美냐 中이냐' 편들 일 이상 '심각한 의미'

화웨이를 두고 벌이는 미중간의 신경전은 남의 나라 일이 아니다. 한국 정부가 강건너 불구경이나 할 일이 아니라 한국과 한국기업이 당면한 문제이다. 국제적으로도 백도어 보안문제는 개인정보보호는 물론이거니와 국가 안보 차원의 문제로 접근하는 것이 상식이다.

미국과 유럽은 카스퍼스키 제품에 대해 단호하고 명백하게 대응을 했고, 억울하다던 ‘카스퍼스키’ 사는 결국 투항하는 모양새다. 화웨이의 제품에 대해서도 증거가 확보된다면 세계 각국의 단호한 대처가 이어질 것이다.

각 나라들은 정부의 단호한 의지만으로 안보 위협에 대처하는 것이 아니다. 미국과 유럽, 일본은 법제도를 먼저 정비하고 이에 근거해 정부가 단호한 조치를 취한다.

한국도 국내외 백도어 관련 보안 이슈가 발생할 경우를 대비해 이에 신속하게 대응할 수 있는 제도와 법적 근거를 마련하는 것이 시급하고 중요하다.

화웨이 장비를 배제할지 여부의 결정은 단순히 '중국편들기냐', '미국편들기냐'의 싸움이 아니다. 무선통신망은 국가 기간망 중의 하나이고, 이에 대한 보안 위협은 국가의 안보를 뒤흔들 수 있는 위협이다.

과연 한국 정부는 화웨이 통신장비에 백도어가 있는 여부를 검사하고 검증할 능력이 있는가? 국가 안보 차원의 위협에 대해 한국은 민간에 책임을 전가하고 뒷짐만 지고 있을 것인가?

국제 정치·경제 문제 해결의 키를 쥐고 있는 것은 결국 기술이다. 앞으로 백도어를 검증할 기술이 없는 국가는 모든 정보를 털릴 각오를 해야 한다.

①의심스러울때 임시적으로 단호한 조치를 취할 수 있는 법제도 ②의심을 확신으로 바꿀 수 있는 검증 기술 ③이에 대해 강도 높은 제재를 가할 수 있는 국제 공조, 이 삼박자가 갖춰져야 화웨이 사태와 같은 안보 위협으로부터 국가를 지킬 수 있다.

김정민 변호사 다른기사 보기