러시아 우주정거장에서 함께 생활하던 미군 대령이 우주 공간에 버려졌다. 중국 우주정거장 '톈궁' 우주인은 레이저를 발사해 미국 군사위성과 통신위성을 파괴한다. 중국 해킹부대가 사이버 공격을 시작한다. 미국 지휘통신 체계는 순식간에 마비되고, 중국군은 하와이를 점령한다. 극도의 혼란 속에서 유일하게 미국 해병 스텔스 전투기가 이륙했다. 반격을 기대했지만 중국군 미사일의 추격을 받았다. 미사일은 스텔스 전투기 조종사 헬멧에 장착된 칩에 반응했다. 중국산 반도체가 들어간 미군 무기와 군수 장비는 위치를 그대로 중국에 전송했다. 가상의 미-중 전쟁을 다룬 소설 '유령함대' 내용이다.
블룸버그비즈니스위크 보도로 시작된 '스파이 칩' 논란이 지속되고 있다. 중국에서 제조된 마더보드에 쌀알 크기 스파이 칩이 들어갔다는 내용이다. 해당 마더보드가 쓰인 서버가 특정 기업에 공급됐고, 이 기업의 정보를 빼돌린다는 의혹을 받고 있다. 스파이 칩 존재 여부부터 해킹이 가능한가를 놓고 의견이 시끌시끌하다.
부랴부랴 스파이 칩이 심어져 있을지도 모를 서버 대수 파악에 들어갔다. 관련 부처는 국감에서 지적하니 어쩔 수 없는 상황이다. 서버 유통사는 정부 조사에 응할 의무가 없다. 불과 며칠 만에 서버 대수를 제대로 파악했는지는 의문이다. 오늘 국감이 끝난다. 국감이 끝나면 국회의원과 정부는 여전히 관심을 가질지 궁금하다. 사이버 보안 관심은 사고가 났을 때만 반짝인다.
스파이 칩 논란을 보면서 우리 현실을 돌아본다. 과연 검증 체계는 갖췄는가. 안타깝지만 우리는 하드웨어(HW)는 물론 소프트웨어(SW) 공급 망 관리도 제대로 안 된다. 지난 20여년 동안 국내 발생 대형 사이버 테러는 SW 공급 망 공격이었다.
3·20 사이버테러를 비롯해 한국수력원자력 도면 유출 사고 등 주요 기관에 SW를 공급한 기업이나 협력사가 해킹됐다. 이를 통해 기관과 기업이 다시 피해를 보는 구조였다. HW 공급 망 관리는 더욱 어렵다. 전자기기와 서버 등에 들어가는 부품이 다양한 나라에서 개발된다. 네트워크 기능이 있는 군의 최첨단 무기 체계부터 각종 정보기술(IT) 기기는 해킹 통로가 된다. 높은 수준의 검수는 필수다.
미국은 이미 CC인증 6등급(EAL6) 이상 안전도를 평가할 기술 체계를 갖췄다. 그럼에도 스파이 칩 논란이 불거졌다. 우리는 심지어 군조차 무기 전반에 대해 해킹 위협을 평가하고 검수하는 능력을 갖추지 못했다. 공공기관 역시 자체 검수 능력이 없다. 국가정보원이 인증한 제품을 도입할 뿐이다. 관련 검증 인력은 턱없이 부족하다.
IT 기기는 한 회사에서 전부 개발하지 않는다. 부품을 만드는 모든 업체를 안전하게 관리하지 않으면 제조 단계에서 해킹 프로그램이나 스파이 칩을 넣을 가능성은 언제나 열려 있다. 일부 칩이 고장이면 교체하는 과정에서도 공급 망 보안 이슈가 발생한다.
소설 '유령함대' 역시 미군 스텔스기 조종사가 쓴 헬멧에 교체 장착된 반도체 칩이 미사일 유도 장치로 돌변한다. 소설에 나오는 이야기가 아니다. 공급 망 보안을 통과한 부품마저도 전시 상황에서 어떻게 활용될지 모른다. 미국은 의심되는 기업 제품을 정부가 나서서 원천 금지한다. 우리는 국력이 안 된다. 그렇다고 손 놓고 있을 수는 없다. 공급 망 보안 평가 기술을 확보해야 한다. 정부는 물론 기업 역시 내부로 들어오는 SW와 HW에 대한 철저한 평가 체계 확보가 시급하다. 사이버전 시대 공급 망 보안은 안보의 첫걸음이다.
김인순 SW융합산업부 데스크 insoon@etnews.com
