mir.pe (일반/어두운 화면)
최근 수정 시각 : 2024-10-27 17:36:43

백도어

Backdoor에서 넘어옴
👁️ 검열 감시
{{{#!wiki style="margin:0 -10px -5px; min-height:calc(1.5em + 5px); word-break: keep-all"
{{{#!folding [ 펼치기 · 접기 ]
{{{#!wiki style="margin:-5px -1px -11px"
<colbgcolor=#003478><colcolor=#fff> 대상 분야 인터넷 · 게임 · 도서 · 문학 · 음악 · 언론
관련 양상 감청 · 검열삭제 · 게이트키핑 · 국가의 감시 · 금지어 · 기록말살형 · 기획고소 · · 도청 · 모자이크 · 방송금지 · 백도어 · 분서 · 블랙리스트 · 사찰 · 소음 검열 · 자기검열 · 전파 방해 · 필터링 · 필터링 소프트웨어 · 해외접속차단
관련 개념 명예훼손 ( 명예훼손죄 · 모욕죄) · 기업 검열 · 개인정보 · 통신이용자정보 제공 · 빅 브라더
관련 권리 표현의 자유 · 사생활 · 인터넷 프라이버시 · 개인정보자기결정권
관련 통계 세계의 자유 · 언론자유지수 · 인터넷 자유 지수
국가별 사례 한국 ( 인터넷 · 만화 · 문학 · 음악 · 언론 · 도서) · 북한 ( 도서정리사업) · 미국 · 중국 ( 황금방패) · 이란
}}}}}}}}} ||


1. 악성코드
1.1. 관련 사건 사고
1.1.1. 프리즘 폭로 사건1.1.2. 대한민국의 인터넷 감시 규정1.1.3. 중국의 인터넷 감시 규정
1.1.3.1. 화웨이, ZTE 중국공산당과의 연계 의혹
1.1.4. 미국의 백도어
1.1.4.1. 크립토AG 사건1.1.4.2. FBI의 IOS 백도어 요구 사건
1.1.5. 영국의 백도어1.1.6. 기타 사건 사고
1.2. 불확실한 정보 주의1.3. 관련 문서
2. 기타 의미로서의 백도어

[clearfix]

1. 악성코드

백도어는 뒷문이라는 뜻으로, 하드웨어 소프트웨어 등의 개발과정이나 유통과정 중에 몰래 탑재되어 정상적인 인증 과정을 거치지 않고 보안을 해제할 수 있도록 만드는 악성코드이다. 넓은 의미에서는 프로그래머의 실수로 만들어진 취약점( 익스플로잇)을 백도어라고 부르기도 하나, 대개 백도어라고 하면 의도적으로 만들어진 보안 구멍을 의미한다. 쉽게 설명하면 모든 도어락을 열 수 있는 마스터 패스워드를 생각하면 될 것이다.

IT제품의 유지보수를 위해 명시적인 백도어를 만들기도 한다. 제품의 진단 기능이나 윈도우의 원격 접속 기능, 오류 기록 전송 같은 기능이 대표적이다. 그러나 이들은 모두 고객이 직접 활성화 단추를 누르거나 원격지원을 요청하였을 때만 작동하며, EULA상에도 명시되어 있는 내용이다. 즉 이런 기능들을 악성코드라고 부르기에는 무리가 있다.

일반적으로 백도어는 발각되는 것을 방지하기 위해서 찾기 어렵게 설계된다. 해당 프로그램의 제작자가 악의를 가지고 만드는 경우가 많으나, 종종 정부 기관 등의 외압으로 인해서 만들어지는 경우도 있다. 백도어는 많은 곳에 있을 수 있다. 운영 체제의 커널에 삽입되기도 하고, 많은 사람들이 사용하는 프로그램에 들어갈 수도 있다. 암호화 알고리즘에도 들어갈 수 있다. 심지어는 오픈소스 소프트웨어에도 들어갈 수 있다. 하드웨어 단계에서도 백도어가 들어갈 수 있는데, 이 경우는 발견하기가 아주 힘들다.

이 논문[1]을 근거로 절대 탐지가 불가능한 백도어 제조법이 존재한다는 주장이 퍼져 있는데, 해당 공격법이 까다로운 것임은 맞으나 탐지가 불가능하다는 것은 전혀 사실이 아니다. 이미 해당 공격법을 효과적으로 탐지하거나 무력화하기 위한 여러 방법이 제시되어 있다.[2] 이처럼 인터넷에 도는 정보는 비정확하거나 과장된 경우가 많으므로 너무 맹신하지 않는 것이 좋다. 아래의 불확실한 정보 주의 문단 참고.

1.1. 관련 사건 사고

1.1.1. 프리즘 폭로 사건

1.1.2. 대한민국의 인터넷 감시 규정

국경 없는 기자회에 따르면 대한민국은 튀르키예 다음으로 인터넷 검열이 심한 국가로 규정되었다. 특히 박근혜 정부의 경우 역대 정권들 중에서 가장 많은 검열 논란이 있었으며, 대표적인 예시로는 아래와 같은 것들이 있다.

1.1.3. 중국의 인터넷 감시 규정

중국은 정보 기관의 국내외 감청과 그에 대한 전국민의 협조를 의무화한 상술된 국가정보법 외에, 2018년 11월 또 새로운 정책이 발효되었다.

‘인터넷 안전 감시와 감독에 관한 규정(Internet Safety Supervision and Inspection Regulations)’인데, 중국의 내부 경찰 기관인 공안부(Ministry of Public Security, MPS)에 막강한 권한을 부여하여 중국에서 운영되는 기업들에 대한 물리적 감독과 원격 감시가 모두 활성화 되어 중국 공안들은 사기업 내부의 컴퓨터실과 사무 공간에 들어가 모든 컴퓨터의 정보를 열람할 수 있으며, 이 새 규정이 적용되는 건 고정 IP 주소를 한 개 이상 가지고 있거나 인터넷에 연결된 컴퓨터를 5대 이상 보유한 모든 기업들로, 사실상 중국에 있는 모든 회사 및 외국 자본으로 설립된 기업들은 하나도 빠짐 없이 포함된다고 한다.

여기에 원격 감독도 가능하게 되어 수사 기관용으로 상시 백도어를 열어 두게 되며, 중국 공안은 사전에 연락도 없고 경고도 없으며, 당사자조차 인지하지도 못한 채로 외국 기업들에 대한 감독 행위를 할 수 있으며, 감독 결과를 공개할 책임도 없다고 한다. 영장 없이도 자료를 열람하고 복사조차할 수 있다고 하니, 중국 정부의 합법적인 관제 스파이 활동도 가능한 것으로 보인다.

이에 대해 중국에 진출한 조직과 기업들은 중국 내 망과 해외 망을 분리하는 것이 최선책이라고 한다.[3] # # #
1.1.3.1. 화웨이, ZTE 중국공산당과의 연계 의혹
모든 조직과 시민들은 법률에 따라 국가 정보 작업을 지원하고 협조하고 협력해야 하며 국가 정보 업무의 비밀을 대중에게 알리면 안된다. 국가는 국가 정보 작업을 지원협력하는 개인 및 조직을 보호한다.
任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。国家对支持、协助和配合国家情报工作的个人和组织给予保护。

국가정보공작기관은 필요시 법에 근거해 필요한 방식과 수단 및 경로를 이용해 국내 및 해외에서 정보공작을 전개한다.
国家情报工作机构根据工作需要,依法使用必要的方式、手段和渠道,在境内外开展情报工作。
중국 국가정보법[4]
국가안전기관이 관련 간첩 행위의 정황을 조사하여 이해하고, 관련 증거를 수집할 때, 관련 조직과 개인은 마땅히 사실대로 제공해야 하고, 거절해서는 안 된다.
在国家安全机关调查了解有关间谍行为的情况、收集有关证据时,有关组织和个人应当如实提供,不得拒绝

모든 국가기관과 무장역량, 각 정당과 각 사회단체 및 각 기업사업조직은 모두 간첩 행위를 방지하고, 제지하고, 국가 안전을 유지 보호할 의무가 있다.
一切国家机关和武装力量、各政党和各社会团体及各企业事业组织,都有防范、制止间谍行为,维护国家安全的义务。

국가안전기관은 방첩 업무의 수요에 따라, 규정에 의거해 관련 조직과 개인의 전자통신기구, 기자재 등 설비, 시설을 검사할 수 있다.
国家安全机关因反间谍工作需要,可以依照规定查验有关组织和个人的电子通信工具、器材等设备、设施。
중국 반간첩법[5]
국가안전기관이 법으로 반간첩공작업무를 수행할 때, 공민과 조직은 법에 따라 편의를 제공하거나 기타 협조를 제공할 의무가 있으며, 이를 거부할 시 고의적으로 반간첩공작업무를 방해하는 것으로 간주하여 반간첩법 제30조의 규정에 따라 처벌된다
国家安全机关依法执行反间谍工作任务时,公民和组织依法有义务提供便利条件或者其他协助,拒不提供或者拒不协助,构成故意阻碍国家安全机关依法执行反间谍工作任务的,依照《反间谍法》第三十条的规定处罚
중국 반간첩법 실시세칙[6]
통신 서비스 운영자와 인터넷 서비스 제공자는 공안기관과 국가안전기관의 법에 따른 방범과 테러 조사를 위한 접속기술과 암호해독 등의 기술지원과 협조를 제공해야 한다.
电信业务经营者、互联网服务提供者应当为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助
중국 반테러법[7]
2017년 6월, 중국에서는 중국 국내뿐만 아니라, 국외에서도 개인이나 단체를 감시할 수 있는 국가 정보법이 발효되었다. 중국 공산당 장더장(張德江) 전인대 상무위원장에 의하면 "국가정보법은 국가 정보공작과 정보능력 건설을 위한 법률적 근거를 제공하는 법이다. 관련 기관들은 국가 안전과 이익을 보호하기 위해 '열심히 규정을 관철하고 긴밀히 협력'하기를 바란다"고 하였다.

이 법에 의하면, 중국의 정보 기관들은 정보 수집을 위해 개인 및 단체가 소유한 차량이나 통신 장비, 건축물 등에 도청 장치나 감시 시설을 설치하거나 압수 수색을 영장 없이도 언제든 자유로이 할 수 있다. 정보 공작 범위와 정보 당국의 권한이 광범위하고 모호한 점이 논란이 되었다. #, #

반간첩법의 경우도 악용의 여지가 다분한데, 중국 정부가 "간첩행위 조사다"고 주장하기만 하면, 검사/조사/증거수집 등이 영장 집행 같은 사법기관의 절차 없이도 언제든 아무 곳에서나 가능한 것이다. 애초에 중국은 삼권분립 국가 아니기도 하다.

대한민국의 법조계 관계자는 "간첩 행위에 대한 판단이 모호한 만큼 중국 정부는 이 법을 근거로 접근할 수 있는 모든 정보를 손에 넣을 수 있을 것"이라고 하였다. #

중국의 국가 정보 공작에 협조해야 하는 단체에 모든 조직과 시민이라고 명기되어 있고, 모든 조직과 개인은 정부가 원하는 대로 제공해야 하고 거절해서는 안 된다고 법으로 명시되어 있어서, 중국의 모든 회사와 조직은 이 법을 따라야 한다.

그래서 만약 중국 통신장비 업체가 타국의 통신 업체나 기업, 관공서 등에 납품하는 장비에 백도어를 몰래 심어놓고,[8][9] 아프리카 연합 도청 사건처럼 중국 정보 기관이 감청해왔다면, 중국 법에 의하면 아무 문제가 없는 것이 된다. 오히려 중국 정부의 정보 공작에 협조한 것으로 그 쪽에서는 표창을 받을 일이다.

물론 중국 정부에 항의할 수는 있지만 시진핑 집권 이후 급속도로 내로남불 국가주의 민족주의, 패권주의에 물들어가는 중국 정부나 중국 여론이 "아 예 잘못했습니다"라고 할 지는 미지수이다. 해킹 등이 발각되었을 경우 '의도적'으로 숨겨둔 백도어를 실수에 의한 보안 문제로 치부하여 "몰라서 그랬다"고 변명할 거리를 만들어 낼 수 있으며[10], 중국 기업은 "사소한 보안 결함이 발견되어 패치를 제공했다"고 할 것이고, 유출된 정보는 무엇인지는 전혀 알 수가 없을 것이다. 또한 증거 없음을 빌미로 오히려 관영 환구시보를 비롯한 중국 언론들은 "남의 나라에서 오버한다" 혹은 "애꿎은 중국 기업을 모함한다"는 식으로 지극히 자국 보호적인 기사를 쓸 것이며, 중국 정부와 중국 국민 반응도 이와 다르지 않을 것이다.

2016년에 발간된 미국 펜타곤의 내부 조사 보고서에 의하면, 중국 정부 및 인민해방군과 밀접한 관련이 있는 화웨이의 경우, 중국 국가안전부 산하 기업 보유섹(Boyusec)과 함께 백도어를 심은 보안 제품을 개발하기 위해 서로 협업했다고 지적했으며, 이런 백도어로 컴퓨터와 네트워크를 제어하거나 감시하려고 했다고 한다. #

2018년, 미국 FBI, CIA, NSA는 공식적으로 미국 국민에게 화웨이 ZTE 폰을 쓰지 말라고 권고하였다. 미국 3대 정보 기관이 쓰지 말라고 자국 국민에게 공개적으로 경고하는 것에는, 그러한 결정을 이끌어내는 과정에서 화웨이, ZTE 측의 알려지 않은 스파이 행위가 발각된 적이 있었음을 추론할 수 있고, 그에 의한 경고로써 함의가 크다고 하겠다. #

2018년 8월, 미국 의회는 백도어가 몇차례 발각되어 백도어 이슈에서 자유롭지 않은 중국산 CCTV를 미국 주요 시설에서 사용을 금지하도록 하는 법안을 통과시켰다. #

참고로 중국에서는 이처럼 CCTV에도 백도어를 설치해서 산업 기술을 훔치는 용도 등으로 사용한다. 중국산 CCTV, 백도어 공포. 꼭 이런 것뿐만 아니라 중국 해커들이 여성들의 원룸 등에 설치된 홈 IP 카메라를 해킹하여 사생활이 촬영된 영상을 유포하는 등 백도어 문제가 심각하다. 대한민국에서도 이와 관련된 적발 사례가 있다. 중국산 CCTV 쓴 대가? 사생활까지 털리는 한국

해외에서도 이런데 국내라고 다를 건 없다. 중국 정부는 위구르족 같은 분리 독립 우려가 있는 소수 민족에게 특정 스마트폰 앱 설치를 강요하고 있는데, 해당 스마트폰 앱은 "불법 종교 비디오, 이미지, e북, 전자 문서를 자동으로 탐지해서 보고한다"고 하며, 뿐만 아니라 사용자의 웨이보와 위챗 기록, 스마트폰 고유번호(IMEI 번호), SIM카드 데이터 및 와이파이 로그인 데이터도 보관해서 보고한다고 한다. 만일 설치하지 않으면 최대 10일까지 유치장에 구금된다고 한다. #, #, #, #, #

또한 해외구매 등으로 유명한 타오바오 앱에서도 예전에 백도어가 발견되어 이슈가 된 적도 있어서 타오바오 웹을 사용하길 권장하는데, 웹판 타오바오에서 상품을 검색하면 강제로 앱 다운 페이지로 이동시켜서 사실상 모바일 웹에서의 검색이 불가능하다. 가급적 PC에서 사용하도록 하자.

1.1.4. 미국의 백도어

1.1.4.1. 크립토AG 사건
스위스의 보안업체 크립토AG를 독일 연방정보원과 CIA가 비밀리에 공동으로 소유했던 것이 밝혀졌다.
1.1.4.2. FBI의 IOS 백도어 요구 사건
2016년 FBI는 테러리스트의 암호화를 무력화 하기 위하여 애플에게 백도어 프로그램을 요청하였다. 애플은 이것이 법을 준수하는 수많은 시민의 프라이버시를 침해할수 있으며 위험한 선례가 될 수 있다며 공개성명을 내며 거부하였다. FBI는 이 성명이후 몇 주 뒤 테러리스트의 아이폰을 해킹하는데 성공하였다.

1.1.5. 영국의 백도어

영국이 온라인 서비스 제공자에게 암호 해제 요구를 할 수 있도록 하는 법률을 만들어 논란이 되었다.

1.1.6. 기타 사건 사고

1.2. 불확실한 정보 주의

백도어 관련 정보는 너무 신뢰하지 말고 걸러 듣는 것이 좋다. 일반인들이 잘 알기 힘든 내용이기 때문인지 잘못됐거나 불확실한 정보가 매우 많고, 특히 중국과 관련해서는 반중 감정에 기반한 선동도 자주 일어난다.

예를 들면 화웨이, ZTE 등의 중국 IT 회사가 백도어를 탑재한 것이 인터넷에서는 사실인 것처럼 알려져 있으나 사실 명확한 증거가 제시된 적은 없다. 역으로 NSA가 중국의 백도어 증거를 찾기 위해 화웨이, ZTE 등의 서버를 해킹하고 통신을 감청했지만 어떤 증거도 찾지 못했다. # # 프랑스 사이버보안청(ANSSI)과 영국 국가사이버보안센터(NCSC)도 화웨이가 스파이 활동을 했다는 증거가 없다고 밝혔다. # #

대한민국의 보안 전문가인 김승주 교수[12]도 화웨이 논란에 대해서 "현재는 기술적으로 명확한 증거들이 제시되지 않은 상태에서 정황증거만 갖고 미국과 중국 사이의 파워게임에 끼어있는 형국"[13]이라고 했다. 즉 실제 백도어 증거를 가지고 싸우는 게 아니라 정치적인 파워 게임이라는 것이다. 이처럼 전문가들은 보안 문제가 아닌 정치 문제로 보고 있다.[14]

실제로 빈스 케이블 영국 전 상무장관 또한, 영국이 화웨이를 배제한 것은 "국가안보와 무관하며 미국의 압박으로 부득이하게 내린 결정"이라고 폭로한 바 있다. # 그에 따르면 영국의 안보 부처는 수차례에 걸쳐 화웨이 장비 및 서비스 사용으로 인한 그 어떤 위험도 없음을 담보했다.

파일:Bloomberg-The-Big-Hack.jpg
일반인들이 잘못된 정보에 얼마나 취약한지 보여주는 대표적인 사건이 바로 슈퍼마이크로[15] 백도어칩 논란[16]이다. 최초로 보도한 블룸버그어떠한 증거도 제시하지 못했지만 손가락 위에 커패시터(…)를 얹은 연출 사진만으로 슈퍼마이크로의 주가를 50% 가까이 하락시켜 버렸다. 이후 슈퍼마이크로, 아마존, 애플 등 관련 기업들이 모두 사실이 아니라며 부정했고 미국 국토안보부와 영국 정보통신부도 부정했음에도 아직도 일부 기사나 인터넷 커뮤니티에선 사실인 것처럼 언급이 되고 있다.

또 서브컬쳐 계에서는 원신이 백도어 논란에 휩싸이기도 했다. 관련 분야 개발자라면 안티치트 설계상[17] 어쩔 수 없는 내용인데도 중국 게임이라는 이유로 백도어 논란이 이어졌었다. 항목 참고.

안티 치트 서비스나 은행 보안 플러그인에 들어 있는 개인 정보 수집 기능에서 백도어 논란이 생기는 경우가 있는데. 이 경우는 프로그램 설치 시 표시되는 EULA상에서 문서화된 기능일 가능성이 크다. 그것이 아니라면 법적인 문제가 발생하여 대한민국에서 버젓이 판매할 수 없다. 물론 이를 동의하지 않으면 서비스 이용이 제한됨으로 사실상 합법적 백도어에 가까운 기능은 맞다.

백도어와 관련한 잘못된 정보를 거르는 방법은 다른 가짜 뉴스나 선동을 거르는 방법과도 동일한데, 바로 그 주장에 명확한 증거가 있는지를 따지는 것이다. 기술적인 증거 등 명확한 증거 없이 단지 카더라나 일방적인 주장으로 이루어진 보도는 신뢰성이 없다. 이러한 방법으로 일반인도 대부분의 경우를 대처할 수 있다. 예를 들어 위에서 언급한 슈퍼마이크로 백도어칩 논란도 명확한 증거가 있는지부터 따졌더라면 큰일이 되지도 않았을 것이다. 블룸버그는 정말로 단 하나의 기술적인 증거도 제시하지 못했기 때문이다.[18]

백도어 선동이 자주 일어나는 이유도 이 부분에 있다. 사람들이 명확한 증거가 있는지부터 따진다면 대부분의 선동이 막히겠지만, 안타깝게도 많은 사람들이 그렇지 않다. 제대로 된 증거 없이 의혹을 제시하는 건 너무나도 쉬운 반면에 그것을 반박하는 것( 무죄를 증명하는 것)은 많은 노력이 필요하다. 슈퍼마이크로 백도어칩 논란을 보면 블룸버그는 그 어떤 증거도 제시하지 않았지만, 슈퍼마이크로는 주가가 폭락하고 생산·관리 공정을 공개하고 제품들을 검사하는 생고생을 해야 했다. 그러고도 지금까지 그 의혹이 꼬리표로 따라다니고 있다. 의혹을 제기하는 측에선 반박당하든 말든 제기하는 것 자체로 이득인 셈이다.

1.3. 관련 문서

2. 기타 의미로서의 백도어


[1] 아날로그 악성 하드웨어, 가짜 논리 게이트 등으로 알려져 있다. [2] 1, 2, 3 [3] 이는 군사보안에 준하는 보안 레벨이다. 당장 행정병으로 군복무를 마쳐본 사람들은 인트라넷인 국방망과 일반 인터넷망이 분리되어, 절대 혼용할 수 없도록 물리적 제한을 걸어놓은 사례를 생각하면 편하다. [4] 원문. 혹은 대한민국 정부가 운영하는 세계법제정보 센터 사이트에서도 찾을 수 있다. [5] 원문. 혹은 대한민국 정부가 운영하는 중소기업수출지원센터에서도 번역문을 볼 수 있다. [6] 원문. [7] 원문. [8] 펌웨어 루프홀 등 기술적으로 걸리지 않고 백도어를 심는 방법은 얼마든지 있으며, 이것이 발견되면 몰랐다고 하면서 보안 패치 등으로 막는다고 하며 빠져나갈 구멍은 얼마든지 있다. 혹은 보안 테스트 때만 정상적이고 클린한 상태로 만들어 놓고, 보안 테스트가 통과된 후 중국 정부가 요구하는 특정 시점에 보안패치 혹은 펌웨어 업그레이드를 통해 비활성화된 백도어 기능을 활성화할 수 있다. 원격 유지보수 기능에도 백도어가 있을 수밖에 없다. 이처럼 마음만 먹으면 백도어 검출을 피할 수 있는 방법 혹은 발각됐을 경우에도 변명할 거리는 무궁무진하다. [9] 보안 취약점 통계·분석 사이트 CVE디테일에 따르면 2018년 6월 기준으로 화웨이 제품에서 드러난 보안 취약점만 152개에 달하는 것으로 나타났다. 벌써 2017년 발견된 취약점 숫자(169개)와 맞먹는 수치다. [10] 인텔의 CPU게이트 등 외국 기업, 특히 미국 기업의 사례를 들며 중국 언론들은 물타기를 할 것이다. [11] 대체품으로는 싱가포르 및 미국의 브로드컴이 있다. [12] 현 고려대학교 정보보호대학원 사이버국방학과 교수, 전 합동참모본부 자문위원, 전 국방부 정보화책임관 자문위원, 전 한국카카오은행 정보보호 부문 자문교수, 전 대검찰청 디지털수사자문위원회 위원 등 [13] https://blog.naver.com/amhoin/222041928145 [14] https://zdnet.co.kr/view/?no=20200726200630 [15] 여담으로 이 회사는 대러제재에 동참하여 총판까지 러시아에서 철수시켰다. 현재까지 이 회사가 제품 제3자 대러반출을 엄격히 통제하고 있다. [16] 중국 생산 공장에서 슈퍼마이크로사의 메인보드에 백도어칩을 심었다고 블룸버그가 주장한 사건 [17] EasyAntiCheat라는 안티치트 API도 비슷한 논란에 휘말리기도 했다 [18] 그나마 슈퍼마이크로 논란은 크게 이슈가 됐었기 때문에 정보기관이 입장을 밝혀 정리가 된 것이다. 자잘한 루머들은 검증되지 않은 채 괴담처럼 계속 떠돌기도 한다. 예) 다리미 백도어 루머