지난 2019년 대만 슈퍼마이크로시스템 서버에 중국산 ‘스파이칩’이 탑재된 것으로 알려지면서 큰 파문이 일었다. 당시 막 시작된 미중 갈등과 맞물려 대만 서버(주기판) 제조공장의 탈 중국화를 가속화하는 결과를 가져왔다. 대만은 세계최대 서버 수출국이다. 여기에 중국 화웨이 통신장비의 개인정보 수집 의혹과 논란은 물론, 세계최대 민간 드론 업체인 중국 DJI 드론에 들어간 모든 사용자의 정보를 수집해 중국본사로 보내는 기능 등이 정보유출에 대한 경계심을 부추겼다. 그런데 문제가 된 비슷한 유형의 스파이칩 논란이 4년 만인 최근 또다시 불거졌다. 미국 상무부가 엔터티리스트(사실상 무역금지업체 리스트)에 올린 중국기업 자회사의 암호화칩이 미 국방부, 영국 국방부는 물론 미항공우주국(NASA)에서도 사용되고 있다고 지난 17일 와이어드가 보도했다. 이는 중국정부가 자국회사 자회사의 암호화칩이 사용된 미국 핵심기관 내에 침투해 백도어를 통해 핵심정보를 빼돌릴 수 있다는 것을 의미한다.

이 소식은 지난 2019년 중국산 스파이 칩 유출 충격 이후 4년이 지났지만 여전히 서방국가의 핵심 정보가 중국으로 유출될 위험성에 노출됐거나 노출될 위험성 아래 있음을 알려주는 것이어서 충격을 주고 있다.

와이어드가 짚은 끝나지 않은 중국산 스파이칩의 서방 국가 및 핵심조직의 핵심 정보 빼내기 의혹을 따라가 본다. 지난 2019년에는 서버용 칩이었다면 이번에는 네트워킹 스토리지 하드드라이브에 사용된 암호화 칩이다.

“중국 암호화칩, 미·영 국방부에 나사까지 침투···사실상 발견 불가능”

틱톡에서 화웨이 라우터 DJI드론에 이르기까지 미·중 긴장이 고조되면서 미국인들과 미국 정부는 중국이 소유한 기술에 대해 점점 더 경계하고 있다.

그러나 하드웨어(HW) 공급망의 복잡성 덕분에 미 상무부가 중국 군대와의 관계에 대해 특별경고대상으로 올린 회사의 자회사가 판매한 암호화 칩이 서방 전역의 군사 및 정보 네트워크 스토리지 HW(하드드라이브) 에 침투했다.

지난 2021년 7월 미 상무부 산업안전청은 중국 항저우 소재 암호화 칩 제조업체인 활란 마이크로일렉트로닉스(Hualan Microelectronics)를 블랙리스트인 소위 ‘엔티티 리스트’에 추가했다. 이 리스트는 미국의 외교 정책 이익에 반하는 행동을 하는 기업들을 강조하는 모호한 이름의 무역 제한 목록이다. 미상무부는 구체적으로 활란이 “중국 인민해방군을 위한 군사 현대화를 지원하기 위해 미국 원산지 물품을 획득하고, 획득하려는 시도를 한 행위”로 이 목록에 추가됐다고 언급했다.

그러나 거의 2년이 지난 지금도 활란(특히 이 회사가 2016년에 인수한 대만에 본사를 둔 자회사 이니시오(Initio))은 암호화된 하드 드라이브를 제조하는 서방 제조업체에 암호화 마이크로컨트롤러 칩을 공급하고 있다. 이 회사 웹사이트에 등록된 고객으로는 미 항공우주국(NASA), 나토, 그리고 미국과 영국 군대까지 포함돼 있다. 미 연방 조달 기록에 따르면 미연방항공청(FAA),마약청, 미 해군에 이르기까지 이 칩을 사용하는 암호화된 하드 드라이브를 구입했다.

상무부의 경고와 서방 정부 고객들 간 정보 단절로 활란 자회사가 판매한 칩이 (2016년 이전 이니시오 브랜드와 대만 원산지의 모호성 때문인지) 민감한 서방국가 정보 네트워크에 깊숙이 들어간 것이다.

보안 연구원들과 중국에 초점을 맞춘 국가 안보 분석가들 사이에서는 이처럼 미 상무부 블랙리스트에 오른 중국 업체 산하의 대만기업 소유권을 갖고 있는 것은 중국 정부가 서방 기관의 비밀을 몰래 해독할 수 있는 숨겨진 뒷문(백도어)을 갖게 될 수 있다는 우려를 불러일으켰다. 그리고 그러한 뒷문은 발견되지 않았지만, 보안 연구원들은 만약 그것이 존재한다면 이를 발견하기란 사실상 불가능할 것이라고 경고하고 있다.

워싱턴 D.C. 소재 싱크탱크인 애틀랜틱 카운슬의 중국 전문 연구원 다코타 캐리는 미국정부의 엔터티 리스트 기업에 대해 “이는 수출 통제 목록이기도 하다. 이는 종종 미국 고객들에게 이 리스트에 오른 외국 기업에서 구매하지 말라는 사실상의 경고로도 사용되고 있다”고 말한다. 예를 들어 네트워킹 회사인 화웨이와 드론 제조업체인 DJI는 모두 중국 군대와 관련이 있다는 혐의로 엔터티 리스트에 추가됐다.

미 상무부 산업보안청(BIS) 대변인은 “이니시오와 같은 비상장 자회사는 엔터티리스트의 법적 제한에 기술적으로 영향을 받지 않는다”면서도 “일반적으로 엔터티리스트 자회사는 붉은 깃발(경고대상)로 간주돼야 한다”고 말했다.

사실상 발견 불가능...이니시오 칩이 뭐길래?

활란은 와이어드의 의견 요청에 응하지 않았지만, 이니시오 대변인은 발표문을 통해 “이니시오는 주로 소비자 스토리지 제품용 컨트롤러 칩을 제조하고 있으며, 현 제품은 이니시오가 자체 개발한 것”이라고 답했다. 그는 “이니시오는 제품에 어떤 백도어도 설정할 수 없다”고 덧붙였다.

활란의 이니시오 칩은 암호화된 저장 장치에서 이른바 브리지 컨트롤러로 사용되며, 저장 장치의 USB 연결과 메모리 칩 또는 자기 디스크 사이에 위치해 USB 썸 드라이브 또는 외장 하드 드라이브의 데이터를 암호화 및 해독한다.

보안 연구원들의 분석에 따르면 레노버, 웨스턴디지털, 버바팀, 잘만을 포함한 스토리지 장치 제조업체들은 이니시오에서 판매하는 암호화 칩을 항상 사용하고 있다.

그러나 특히 잘 알려지지 않은 3개의 하드 드라이브 제조업체도 이니시오칩을 통합해 서방 정부, 군사 및 정보 기관을 고객으로 등록하고 있다.

예를 들면 영국에 본사를 둔 하드 드라이브 제조업체인 아이스토리지(iStorage)는 웹 사이트에 나토 및 영국 국방부를 포함한 고객들을 소개하고 있다.

캘리포니아주 사우스 패서디나에 본사를 둔 시큐어 드라이브(SecureDrive)는 미 육군과 나사를 고객목록에 올리고 있다.

또한 미국 연방 조달 기록에 따르면 캘리포니아주 포웨이에 본사를 둔 애프리콘(Apricon)도 자사의 암호화된 스토리지 제품을 나사, 미해군, FAA 및 마약단속청(DEA) 등에 판매했다.

뭐가 문제 되길래?

이러한 드라이브에 사용된 이니시오 칩을 통해 활성화된 암호화 기능은 드라이브가 물리적으로 액세스, 분실 또는 도난당한 경우 데이터가 손상되지 않도록 설계됐다.

그러나 암호화 전문가들은 암호화 기능의 보안은 본질적으로 칩 설계자를 신뢰하는 데 달려 있다고 경고한다.

칩에 비밀 취약점이나 의도적인 백도어가 있다면, 칩을 사용하는 드라이브(드라이브는 종종 현장에서 사용될 수 있는 것으로 마케팅된다)를 손에 넣은 사람이라면 누구나 이러한 기능을 없앨 수 있을 것이다. 그리고 그 뒷문은 탐지하기는 아주 어려울 수 있으며, 심지어 가장 가까운 검사에서도 탐지하기 어렵다고 암호학자들은 지적한다.

독일 전문가의 이니시오 칩 분석 결과

이니시오 칩을 분석한 독일 사이버 보안 회사 시스(Syss)의 보안 연구원 마티아스 디그는 “결국 이 공급업체와 모든 민감한 데이터를 가지고 있는 해당 부품 요소를 실제로 신뢰하는지의 문제다. 이러한 종류의 마이크로 컨트롤러는 이 장치가 어떻게 작동하는지 이해하려는 나와 다른 모든 연구원들에게 블랙박스다”라고 말했다.

다만 그에게서 한가지 단서를 얻을 수 있을 수는 있을 것 같다.

디그 연구원은 지난해 이니시오 칩을 사용하는 버바팀 보안 USB 썸 드라이브의 첫 번째 펌웨어를 분석해 여러 보안 취약점을 발견했다.

그 중 하나는 디그가 드라이브의 지문 판독기나 PIN을 빠르게 우회해 IT 관리자가 사용자의 기기를 해독할 수 있도록 설계된 마스터 암호 기능인 드라이브에 설정된 ‘관리’ 암호에 액세스할 수 있었다는 점이다.

그는 또다른 이 드라이브의 결함을 이용, 최대 36시간 내에 드라이브의 콘텐츠에 액세스할 수 있는 키를 파생시켜 드라이브의 암호 해독 키를 ‘브루트 포스’할 수 있었다.

이니시오, 취약성 수정했다는데 과연?

디그는 이후 이니시오가 이러한 취약성을 수정했다고 말한다.

그러나 그는 더 문제가 되는 것은 기기의 펌웨어를 분석하는 것이 아주 어려웠다는 점이었다고 말한다. 그 코드에는 공개 문서가 없었고, 활란은 더 많은 정보를 요구하는 그의 요청에 응답하지 않니다.

디그는 투명성 부족은 칩에서 하드웨어 기반 백도어를 찾는 것이 얼마나 어려울지를 알려준다고 말한다. 예를 들어 물리적 설계에 숨겨진 극소량의 구성 요소는 비밀 암호 해독을 가능케 한다. 그는 또한 자신이 발견한 취약성이 우발적이었는지 여부를 알 수 있는 방법이 없다고 지적한다.

디그는 “숨겨진 백도어를 갖고 있는 게 더 나은가, 아니면 더 눈에 띄지만 개발자의 부주의로 인한 것일 수 있는 더 잘 보이는 백도어가 더 나은가?”라고 묻는다.

와이어드는 이니시오 칩을 사용하는 기기 제조업체인 영국 암호화 하드 드라이브 제조업체인 아이스토리지에 연락을 취했다.

이 회사는 와이어드에 자사 스토리지 장치 아키텍처는 사용자들은 활란이나 이니시오를 신뢰할 필요가 없다는 것을 의미한다고 말했다. 그 이유로 이 회사는 자사가 “프랑스에 기반을 둔 다른 제조업체의 별도 칩에서 활란 자회사 이니시오칩에 저장된 데이터를 암호화 및 암호 해독하는 데 사용되는 개인 키를 생성 및 저장하며 이니시오칩은 결코 이 키를 저장하지 않기 때문”이라고 설명했다.

존 마이클 아이스토리지 최고경영자(CEO)는 “중국 기술을 사용하는 것에 대한 우려는 감사하지만, 우리가 이러한 칩을 사용하더라도 이니시오나 활란에 의해 우리 제품이 해킹될 수 없다는 것을 매우 확신한다”고 말한다. (또한 마이클 CEO는 일부 아이스토리지 제품은 활란이나 이니시오 대신 대만 회사인 파이손(Phison)이 판매하는 칩을 사용한다고 밝혔지만 어떤 제품을 사용하는지는 명시하지 않았다.)

우려

매튜 그린 존스 홉킨스 대학 암호학 중심 컴퓨터 과학 교수는 “브릿지 컨트롤러 칩이 비밀 키를 생성하지 않고 이를 저장하지 않더라도 백도어를 사용할 수 있는 충분한 액세스 권한을 가지고 있다”고 말한다.

결국 브리지 컨트롤러는 해당 비밀 키를 사용해 암호화 및 암호 해독을 수행하므로 암호를 몰래 빼내어 저장하거나 데이터를 자신의 데이터로 몰래 암호화할 수 있다.

그린 교수는 “칩이 키를 가지고 있고 암호화를 수행하면 불법 행위의 가능성이 있다”고 말한다.

아이스토리지는 이니시오가 미상무부의 엔터티 리스트에 구체적으로 이름이 오르지 않았다는 점을 지적하며 활란이 엔터티 리스트에 포함된 것은 이니시오에는 적용되지 않는다고 주장하는 이니시오의 성명서도 전했다.

그러나 어틀랜틱 카운슬의 캐리는 “상무부의 경고를 인용해 목록에 있는 회사의 완전한 자회사도 일반적으로 실질적으로 목록에 포함되는 것으로 간주된다”고 말했다. 캐리는 엔터티 리스트의 영향을 받지 않는다는 이니시오의 주장에 대해 “나는 그런 주장을 받아들이지 않는다”며 “그렇지 않으면 자회사를 이용해 엔터티 리스트 제한을 쉽게 우회할 수 있다”고 지적한다. 그는 “당신을 소유한 모회사가 엔터티 리스트에 있으면 당신도 포함된다”고 말했다.

미국방부, 나토, 나사는 어떤 반응을?

와이어드는 나토, 나사, 미 해군 및 육군, 마약단속청, 미연방항공청을 포함한 활란 및 이니시오의 고객들에게 연락을 취했다.

응답자들 중 아무도 어떤 HW를 구입하는지에 대해 언급하지 않았다.

그러나 나토, 미 해군 및 영국 국방부의 성명은 모두 그들이 사용하는 기술의 보안을 신중하게 검토한다는 것을 반복적으로 보여주었다.

예를 들어 미국 해군은 성명을 통해 “우리는 공급망 위험 관리를 해결하기 위한 정책을 시행하고 있으며, 조달된 모든 상용 제품과 서비스가 보안 취약성을 검사하도록 보장하는 보안 표준을 수립했다”라고 밝혔다.

FAA 대변인은 “국방부가 HW 구매와 관련된 국방수권법과 같은 정부 규정을 준수하고 있다”면서도 상무부 엔터티 리스트에 있는 기업들로부터 부품을 구매했는지에 대한 질문에는 답하지 않았다.

FFA는 활란과 이니시오의 칩을 사용하는 암호화된 하드 드라이브 중 일부는 미국립표준기술 연구소(NIST)의 FIPS 140-2 표준과 같은 사이버 보안 인증을 보유하고 있다고 주장한다.

그러나 존스 홉킨스대의 그린 교수는 NIST는 일반적으로 그러한 수준의 인증에서는 암호화 제품의 우발적 취약점만 확인하며, 마음먹은 적이 의도적으로 만든 취약점은 확인하지 않는다고 지적한다.

그린 교수는 “이 백도어는 매우 미묘하고 영리할 수 있으며 코드에서 볼 수 없게 하는 아주 많은 방법이 있다. 이러한 테스트 결과 하나라도 신뢰할 수 없는 제조업체가 나온다고 한다면 정말 충격적일 것이다”라고 말한다.

애틀랜틱 카운슬의 캐리는 “많은 서방 정부 기관들이 상무부의 무역 제한 목록에 있는 회사의 자회사가 판매한 칩을 포함한 제품을 구매하고 있다는 사실만으로도 컴퓨팅 HW 공급망 탐색이 복잡하다는 점을 지적한다”고 말한다.

그는 “적어도 그것은 진정한 실수다. 이러한 수준의 보안을 우선시해야 하는 조직은 이러한 테스트들을 수행할 수 없거나 이러한 제품이 자신의 환경에 침투할 수 있도록 하는 실수를 저지르고 있다. 그것은 매우 중요해 보인다. 그리고 그것은 아마도 일회성 실수가 아닐 것이다”라고 말했다.