미국 산업안보국 우려거래자 목록에 포함돼 미국으로부터 사실상 수입 제한을 받고 있는 중국 K사의 CCTV가 국내에서는 소방본부, 한국전기연구원 등 공공기관에서 대거 운용되고 있는 것으로 확인됐다. 미국 산업안보국은 국가 안보를 침해할 수 있다고 판단하는 기업을 규제할 수 있다. 이들 중국산 CCTV는 인터넷이 연결되지 않은 상태에서도 기록이 남지 않도록 무선 백도어 해킹 기술로 침투가 가능하지만, 정부 기관에서는 여전히 "자체 폐쇄망으로 운영하면 정보 유출 사항이 없다"는 식의 안일한 보안의식을 갖고 있는 것으로 드러났다.
확인된 중국 K사 CCTV만 261개
주간조선 취재를 종합하면 중국에 본사를 두고 한국 지사를 운영하고 있는 K 영상장비업체는 '군 관련 최종 사용자와 연관' '대(對)중국 수출 통제 위반'을 이유로 2021년 7월부터 미국 우려거래자 목록(Entity List·EL)에 포함되었으나, 국내에서는 여전히 아무런 규제를 받지 않고 공공기관에 대량 납품을 하고 있었다. 미국은 이 중국 회사가 국가안보에 해를 끼친다고 판단함에 따라 한국 지사도 함께 규제 리스트에 올렸다.
강승규 국민의힘 의원실이 무역안보관리원과 외교부 등으로부터 제출받은 자료에 따르면, 이 회사의 CCTV는 현재 △한국전기연구원 전력시험동 모니터링용 53개 △전북소방본부 94개, 강원소방본부 재난영상전송시스템 89개, 제주소방본부 25개 등 모두 261개가 운용되고 있는 것으로 확인됐다. 이 회사의 홈페이지에는 자신들의 영상 장비가 군 기관, 정부산하 연구소, 공기업, 지방자치단체인 시청 등 주요 공공기관에 대규모 납품을 하고 있다고 기재되어 있다. 강승규 의원실은 "현재 이 목록 중 7개 기관만이 확인이 완료된 상태"라며 "운용여부를 확인해주지 않거나 아직 확인 요구를 하지 않은 기관이 다수기 때문에 드러나지 않은 해킹 피해 가능성도 크다"고 설명했다.
외교부에 따르면 미국의 우려거래자 목록은 "우리나라 관련 법인 및 개인의 등재에 대해 사전 정보 공유 등 미측과 긴밀히 협의해오고 있다"고 돼 있다. 그러나 카메라 제조사 이름이 계약이나 납품 과정에서 직접적으로 드러나지 않아 국내산으로 둔갑되거나 제조국 확인이 어렵다는 지적이 나온다. 이 중국 회사는 기관들에 CCTV 납품을 할 때 직접 계약을 하지 않고 다른 업체를 통해 계약을 했고, 제품에 제조국을 명시하지 않는 경우도 있어 기관 입장에서는 확인이 쉽지 않다.
한 정부기관은 답변에서 "(운용되고 있는 해당회사의 CCTV가) 기타 시스템 혹은 외부망과 연동되지 않음" "인터넷과 연결되지 않은 자체 폐쇄망으로 운영하여, (운영기간 중) 정보유출 사항 없었음"이라는 내용을 포함했다. 실제로 현행 공공기관들은 정부의 망분리 제도에 따라 외부 인터넷망과 내부 업무망을 물리적으로 분리해 사용하고 있다. 인터넷 서핑 혹은 파일 다운로드 등을 통해 내부망에 악성코드가 숨어들거나 해킹 공격을 통해 데이터가 유출되는 것을 원천 차단하겠다는 취지였다.
그러나 주간조선 취재 결과 이 같은 조치는 무선 백도어 해킹에는 거의 무방비 상태로 상당한 허점이 있는 것으로 드러났다. 백도어는 '뒷문'이라는 뜻으로 하드웨어나 소프트웨어 등의 개발 및 유통과정 중 몰래 탑재해 정상적인 인증 과정을 거치지 않고 보안을 해제할 수 있도록 만드는 악성코드다. 특히 해킹에 사용되는 무선 백도어는 서버 납품 초기부터 회로기판에 탑재되거나 각종 USB 장치로 위장해 내장되어 기존 보안 체계를 우회하는 사례가 보고되고 있다.
주간조선이 지난 10월 14일 국내 한 보안업체에 노트북 해킹 시연을 의뢰한 결과, 중국산 키보드에 해킹을 목적으로 한 스파이칩이 들어있는 경우, 인터넷 연결 없이도 해킹이 가능했다. 제작과정에서 스파이칩이 숨겨져 있는 노트북에 일반적 서버실에 구비되어 있을 법한 중국산 서브 키보드를 연결하자, 보안업체 직원은 스파이칩과 자체적으로 연결되는 통신모듈을 해킹용 PC에 꽂아 노트북을 마음대로 조종했고, 3분 만에 3KB짜리 파일을 해킹할 수 있었다. 이 같은 해킹 방식은 추후 흔적도 전혀 남지 않는다고 한다.
무선 백도어 해킹은 드론, 노트북, 지문인식장치, 패널, 호출기 등 물리적으로 칩만 심어져 있다면 기기 본연의 기능과는 무관하게 정찰, 시설 불능화 등 다양한 공격 수단으로 활용이 가능하다는 얘기가 된다. 첨단 보안기술 전문 기업 '지슨' 한동진 대표는 "스파이칩과 통신모듈기기만 있으면 USB충전 케이블, 키보드, 크레인, 마우스 등 모든 기기에 이런 식으로 침투가 가능하다"며 "물리적으로 스파이칩을 심는 무선 백도어 해킹 방식은 보통 공급망 단계에서 '바꿔치기' 형태로 이뤄지기 때문에 특히 중국산을 경계해야 한다. 세계 최대의 제조업 국가로 부품에서 완제품까지 대규모로 공급되고 있기 때문이다"라고 설명했다.
이 같은 무선 백도어 해킹은 테러에도 쓰일 수 있어 더욱 위험하다. 최근 레바논에서 발생한 무선호출기(삐삐) 동시 폭발사건 또한 백도어를 통해 일어난 것이다. 지슨 이원중 부사장은 "레바논의 친이란 무장단체 헤즈볼라 지도부는 대만 브랜드의 호출기를 구매했으나, 실제로는 헝가리 소재의 제조사가 '주문자 상표 부착 생산 방식'으로 만든 제품이었다"라며 "이스라엘 정보기관 모사드가 삐삐 설계부터 공급망 단계에서 85g 미만의 작은 호출기에 강력한 소형 폭발물이 숨겨진 배터리팩을 장착했다. 이 배터리팩에는 특정 무선 통신신호가 발신되면 언제든 공격 가능한 백도어가 심어졌다"고 설명했다.
좁쌀만 한 스파이칩으로 3분 만에 해킹
중국 음란사이트에서 한국 IP캠 해킹영상이 다수 발견됐다는 보도 이후 국내 군부대, 통일부, 경찰청, 항만 등 국가 주요시설에 다양한 중국산 CCTV가 설치돼 있는 것으로 드러나 보안 논란이 이어지고 있다. 우리의 안일한 상황 인식과 달리 우방국들은 안보 위협을 이유로 중국산 기기 수입 자체를 강력히 규제하고 있다. 2022년 미국은 화웨이와 ZTE의 통신장비는 물론 CCTV 등 중국산 영상보안장비의 수입을 전면 금지한 바 있다. 같은해 11월에는 영국 정부가 나서 각 정부부처에 중국산 CCTV 철거를 권고했다.
국내에서도 관련 제도의 정비와 인식의 제고가 필요하다는 지적이 나온다. 강승규 의원은 "동맹국인 미국이 제재하고 있는 기업의 보안 장비를 공공기관에서 도입해야야 할 필요성이 있는지 의문이 든다"며 "중국산 CCTV 해킹 공포로 온 나라가 들썩거리고 있음에도 공공기관의 안일한 안보 의식이 큰 문제"라며 "대형 사고가 발생하기 전에 능동적으로 보안 장비를 교체해야 할 것"이라고 밝혔다. 그나마 국내 은행권의 경우 2011·2013년 해킹사고의 여파로 대응책을 마련해둔 상태다. 국세청, 신한·KB·우리은행 등은 최근 데이터센터에 통신 방식에 관계없이 무선 주파수를 이용한 모든 통신을 실시간으로 탐지하는 상시형 무선 백도어 탐지시스템을 도입하고 전산망 셧다운이나 고객정보 탈취와 같은 무선 백도어 해킹을 예방하고 있다.