틱톡 싫어요, 실은 백도어 싫어요?
지난달 14일 트럼프 美 대통령은 중국 AI 기업 바이트댄스 측에 ‘틱톡’의 미국 내 사업체 및 자산을 90일 내에 모두 매각하라고 명령했다. 중국 정부가 틱톡의 모기업인 바이트댄스를 통해 미국과 관련된 정보를 빼돌릴 수 있다는 우려에서 비롯된 조처였다. 틱톡은 2016년 출시된 동영상 플랫폼으로, 60초 이내의 분량으로 영상을 촬영해 사용자들과 공유하는 기능을 탑재하고 있다. 특히 코로나19의 확산세 속에서 올해 1분기 세계 최다 다운로드 앱에 선정되며 누적 다운로드 회수가 20억 건을 넘기는 등 흥행을 거두고 있었다. 그러나 해당 앱이 국가적 안보에 위협이 된다는 주장이 다발적으로 등장하면서 정보가 새어 나가는 것을 경계해야 한다는 목소리가 힘을 얻고 있다.
월스트리트저널(WSJ)에 따르면 틱톡은 작년 11월 미국 정부의 조사를 받기 전까지 최소 15개월간 사용자들의 *맥 주소와 개인정보를 수집한 것으로 나타났다. 특히 약관 동의 없이 앱 설치만으로도 맥 주소를 유출케 해 구글 플레이스토어의 프라이버시 정책을 위반한 사실도 드러났다. 그러나 주목할 사실은 미국과 일본 등 많은 국가에서 틱톡 ‘퇴출’이 아닌 ‘인수’정책을 추진하고 있다는 점이다. 국가별 서버가 나뉘므로 해당 국가에서 인수를 추진한다면 독자적 운영이 가능하기 때문이다. 트럼프 대통령의 매각 명령도 이와 같은 궤에서 해석할 수 있으며 현재 마이크로소프트와 트위터 등 굴지의 기업들이 인수 전쟁에 뛰어들고 있다. 결국 세계는 틱톡이 아니라 틱톡을 통한 중국으로의 ‘백도어’를 예의주시하고 있는 셈이다.
내 정보가 순식간에 빠져나간다?
백도어는 시스템 접근에 대한 사용자 인증 등 정상적인 절차를 거치지 않고 응용 프로그램 또는 시스템에 접근할 수 있도록 하는 통신 연결 기능을 뜻한다. 백도어가 설치된 기기를 사용할 경우 기기 사용자의 의사와 무관하게 개인정보가 유출될 수 있다. 주의할 점은 백도어가 단순 네트워크 기반 기기에만 침투하는 것이 아니라는 사실이다. 2015년 러시아에서는 중국산 다리미와 전기 주전자 등 30여 개의 가전기기에 스파이 마이크로칩이 발견된 바 있다. 아울러 2018년에는 미 국방부와 애플, 아마존웹서비스를 비롯한 미국 주요 기업과 기관의 데이터센터 서버에서 중국 정부의 감시용 마이크로칩이 발견돼 안보상의 우려를 사기도 했다.
백도어가 중국에서만 태동하는 현상은 아니나 그 근간과 유행성이 중국에 집중돼 있음은 자명하다. 중국의 대표적인 통신장비업체인 화웨이와 샤오미가 자사 장비에 백도어를 설치해 중국의 사이버 해킹을 돕는다는 의혹은 수년간 꾸준히 제기됐다. 지난 2월 12일 WSJ는 미국 정보 관료의 말을 인용해 화웨이가 백도어를 기반으로 세계 각국 이동통신망에 몰래 접근할 수 있다고 보도했다. 런정페이 화웨이 회장이 중국 공산당과 밀접한 관계를 맺고 있다는 정황이 지속적으로 포착되고, 기업 자체도 중국 정부의 적극적인 후원을 받고 있는 터라 더 큰 의심을 샀다. 이에 화웨이는 “통신장비만 공급할 뿐 고객의 허가나 감독 없이 통신망에 접근하는 것이 불가능”하며 “방화벽이나 보안시스템을 뚫고 데이터를 추출할 능력이 없다”며 의혹을 전면 부정했다. 샤오미 또한 해당 기업 제품인 ‘홍미노트8’ 사용자의 인터넷 검색 기록 및 앱 사용 기록 등을 수집해 싱가포르 및 러시아에 있는 원격 서버로 전송했다는 논란에 휩싸인 바 있다. 아직 샤오미가 이렇다 할 성명을 내놓지 않은 가운데 새로운 제품이 계속 출시되면서 백도어 논쟁은 더욱 불거질 수 있다는 게 전문가들의 중평이다.
최근에는 기술이 발전함에 따라 백도어가 개인정보뿐 아니라 국가기밀 등을 유출해 안보 위기를 초래할 수 있다는 주장이 나오고 있다. 2017년 뉴욕타임스는 중국 소재의 드론업체 DJI가 미국의 인프라 데이터를 수집해 중국 정부에 제공하고 있다는 미국 관세사무소 공문을 공개했다. 해당 공문은 같은 해 8월에 작성됐으며, 미국의 인프라 데이터가 테러 조직이나 반미 국가로 전달돼 공격을 유발할 수 있다는 내용도 포함된 것으로 나타났다. 공문에 따라 미 육군은 DJI 장비 사용을 금지했고, DJI 측은 공문이 “사실적 근거나 기술적 논리와는 거리가 먼 내용”이라고 반박했다. 그러나 중국 정부가 IT 기업에 계속해서 중국 국경 내에 데이터를 저장할 것을 요구하는 탓에 중국산 제품의 백도어 가능성을 염두에 둘 필요가 있다는 여론은 현재까지도 힘을 얻고 있다.
中, 왜 백도어의 온상이 되었나
그렇다면 왜 중국과 연관된 백도어가 만연한 것일까. 중국 정부가 2017년 6월 제정한 사이버보안법을 살펴보면 그 행간을 읽을 수 있다. 해당 법안은 인터넷 공간의 주권과 국가 안전 유지를 명목으로 도입됐으나 중국 정부는 이를 통해 외국 기업의 중국 내 서비스를 사실상 검열 및 통제할 수 있게 됐다. 사이버보안법의 구체화되지 않은 하위 규정과 불명확한 적용 범위 및 용어 사용으로 법안의 악용 소지는 더욱 커졌다. 이와 관련해 세계 각국은 물론 한국 정부 역시 반발하고 나섰다. 같은 해 11월 WTO 무역기술장벽위원회 정례회의에서 국가기술표준원은 중국 사이버보안법이 ▲기업 비밀 침해 ▲과도한 핵심정보시설 지정 우려 ▲범용 정보통신기술 제품에 대한 불필요한 암호 면허 취득 요구 가능성이 있다며 공식적으로 이의를 제기했다.
중국은 당시 제품 인증과 안전 심사 과정에서 소스 코드나 기업의 영업비밀을 요구하지 않을 것이라며 규제를 개선하겠다는 공식 답변을 내놨다. 그러나 이에 상반되게도 중국 정부는 2018년 11월 ‘인터넷 안전 감시와 감독에 관한 규정’을 추가로 발효하며 백도어에 대한 세계적인 경각심을 더 키우는 행보를 보였다. 규정에 따르면 공안은 수사와 직접적인 관련이 없어도 사전 경고 없이 중국 내 모든 회사의 서버에 접근해 자료를 열람하고 복사할 수 있다. 중국에 소재지를 둔 외국 기업 역시 동일한 적용을 받는다. 결국 규제 개선을 내걸었던 중국 정부는 1년 만에 직접적인 감독과 원격 감시를 모두 강화했고, 해당 법안들이 현재까지 존속함에 따라 백도어에 대한 우려 불식은커녕 그 위험이 증대되는 결과를 맞았다.
정보의 누수를 막으려면
백도어로 인해 국가의 안보와 개인의 프라이버시가 위협을 받음에 따라 세계 각국서 백도어를 막으려는 움직임을 보이고 있다. 미국은 2019년 트럼프 대통령이 ‘정보통신 기술 및 서비스 공급망 확보에 관한 행정명령’을 발동하면서 백도어 의심 기업의 퇴출을 선포했다. 특히 제재 기업 리스트에 화웨이와 68개 화웨이 계열사를 추가하면서 중국으로의 기술 유출을 막겠다는 뜻을 내비쳤는데, 이때 제재 대상과 거래하는 제3자에게도 제재를 가하는 ‘세컨더리 보이콧’도 불사하겠다는 의지를 보였다. 이로 인한 미중 갈등은 기술전쟁으로 비화하고 있어 백도어 차단을 둘러싼 공방전은 계속될 것으로 여겨진다.
국내에서도 2016년 9월 제정된 ‘정보보호산업의 진흥에 관한 법률’의 시행과 개정을 통해 기업 정보보호수준 공시제를 실시하는 등 백도어 횡포를 막고자 노력하고 있다. 백도어 자체뿐만 아니라 백도어로 획득한 정보를 유출하는 등의 2차 피해를 최소화하고자 지난 5월 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’과 전기통신사업법의 하위 규정을 추가하는 절차도 진행됐다. 허성욱 과학기술정보통신부 정책관은 해당 절차가 백도어는 물론 “날로 지능화되는 사이버 위협에 적극 대응할 수 있는 법적 기반을 마련”한 것이라 평했다.
정부의 법적 조치를 뒷받침할 시민들의 조심성도 요구된다. 보안업계 관계자들은 코로나19 확산과 맞물려 언택트 시대가 열림에 따라 화상통신 프로그램이나 동영상 촬영 앱을 통한 백도어가 횡행할 수 있다고 지적했다. 특히 원격수업과 인터넷 매체를 이용한 여가생활이 크게 늘어난 만큼 사이버 범죄에 대한 문제의식을 가져야 한다고 당부했다. 날로 커지는 백도어의 규모와 용이성에 대해 국가와 시민 모두의 관심이 필요한 때다.
*네트워크에 사용되는 모든 기기의 고유식별정보를 뜻한다.
권민규·이가영·황제동 기자
dmaria4749@korea.ac.kr
