최근 전 세계를 들썩이게 한 소식이 전해졌습니다. 반세기 동안 수많은 정부가 신뢰하며 사용해온 암호장비들이 오히려 첩보수집의 통로로 기능했다는 사실인데요. 지난 11일 워싱턴포스트(WP)는 특집 기사를 통해 스위스의 보안장비업체 크립토AG의 실소유주가 미국 CIA라는 사실을 폭로했습니다.
세계 2차대전 이후 미국은 독일정보기관과 비밀리에 크립토AG사를 설립, 조작 프로그램으로 암호화장비를 이용하는 전세계 120여개국의 기밀정보를 빼돌리는 행위를 이어왔습니다. 이같은 정보공작은 1970년대부터 크립토AG가 매각된 2018년까지 진행됐으며 주요 고객 중에는 한국 정부도 포함됐습니다.
이번 사례를 통해 전세계가 정보유출의 위험을 인지하고 비슷한 사례로 피해를 보지 않도록 대비할 수 있는 계기가 되었으면 합니다.
▲ 크립토AG의 정체
2차 세계대전 이후, 미국 중앙정보국 CIA는 옛 서독 연방 정보원 BND와 함께 스위스에 암호 생성 장비업체인 크립토 AG를 설립했습니다. 미국의 동맹국들은 물론 적국인 이란이나 남미의 게릴라 단체들까지도 배후의 소유주를 알지 못한 채 이 위장기업의 고객이 되었는데요.
WP는 미국이 크립토AG를 이용해 1978년 이집트와 이스라엘의 평화 협상을 중재하던 당시 안와르 사다트 이집트 대통령이 참모들과 논의하는 내용을 모두 엿들었음을 밝혔습니다. 또한 1979년 이란 테헤란 대사관에서 발생한 444명의 미국인 이질 사태 당시에도 이슬람 율법학자들을 감시했으며, 1982년 영국과 아르헨티나가 대서양 포클랜드제도에서 벌인 전쟁 때도 아르헨티나군의 정보를 빼내 핵심 동맹국인 영국에 넘겼다고 합니다.
CIA와 BND는 납품할 장비에 미리 프로그래밍한 코드를 심어놓는 방식으로 고객들의 기밀 정보를 취득할 수 있었습니다. 본인들이 쉽게 해독할 수 있는 코드를 탑재하여 수많은 정보를 빼돌린 것이죠. 두 정보기관은 크립토AG를 통해 세계 120여 개 정부에 암호장비를 팔고 수십 년간 각국의 기밀정보를 탈취해왔습니다.
▲ 루비콘 작전
이렇게 확보된 정보는 미국, 독일뿐이 아니라 파이브 아이즈라 불리는 영국, 캐나다, 호주, 뉴질랜드와 공유했을 것으로 짐작합니다. 그리고 정보를 원하는 수많은 기관으로부터 막대한 이익을 챙겨 왔겠죠.
CIA는 이 첩보 작전을 '루비콘'이라 칭했습니다. 그들은 내부 보고서를 통해 크립토AG야말로 '세기의 첩보활동 성과’(The intelligence coup of the century)라고 자평했습니다.
루비콘 작전의 한계라 하면 냉전 시대 미국 첩보전의 주요 대상이었던 소련과 중국, 북한과 같은 국가들은 이 장비를 사용하지 않았다는 점입니다. 이들 정부는 크립토사가 서방과 연계됐을 수 있다는 의심으로 이 회사 장비를 일절 들이지 않았으며, 미국도 뚫을 수 없는 고도의 암호 시스템을 자체 개발해 사용해왔습니다.
그러나 CIA는 다른 나라들이 모스크바와 베이징 당국과 연락하는 것을 추적하는 등의 다른 경로를 통해 상당량의 정보를 취득할 수 있었던 것으로 파악됩니다. WP는 1980년대 미 정보기관이 입수한 해외 첩보의 40% 정도가 루비콘 작전으로 입수됐으며 CIA역사상 가장 대담한 작전이라고 평가했습니다.
오랜 공조 끝에 독일 BND는 위험부담이 크다는 판단 하에 동서독 통일 이후 루비콘 작전에서 손을 떼며 90년대부터는 미국 CIA 단독으로 작전을 이어옵니다. 하지만 국제 보안시장에서 온라인상의 암호화 기술이 고도로 발전하는 시대가 도래, 크립토의 위상이 떨어지기 시작했고 2018년 다른 보안회사에 자산을 매각하면서 반세기에 걸친 첩보전쟁도 막을 내리게 됩니다.
▲ 크립토AG의 주 고객이었던 대한민국
현대사 주요 사건들이 집약된 시기에 우리는 그 회사의 주 고객이었습니다.반세기 가까이 크립토AG의 장비를 사용한 나라는 120개국 이상인 것으로 파악되며, 확인된 62개국에는 한국이 포함돼 있습니다. 보도에 따르면, 1981년 기준 최우수 고객은 사우디아라비아였고 이란과 이탈리아, 인도네시아, 이라크, 리비아, 요르단에 이어 우리나라가 8번째로 큰 고객이었습니다.
크립토AG를 사용한 나라들은 비싼 돈을 내고 미국에 기밀 정보를 갖다 바친 꼴이 되는데요. 논란이 커지자 13일 국가정보원은 우리나라가 과거 1970년대 중반부터 80년대 초반까지 일부 공공분야에서 크립토AG사 암호장비를 사용한 이력은 사실이지만 외국산 장비 도청 및 감청 우려에 따라 국가용 암호장비 독자 기술을 개발해 1984년 전량 국산 장비로 대체한 이후 전혀 사용하지 않고 있다고 발표했습니다. 다행히 우리나라의 국가 기밀이 유출된 기간은 70년대 중반부터 10년 동안으로 좁혀졌지만 바로 이 기간이 한국 현대사를 바꾼 주요 사건들이 집중적으로 일어난 시기였다는 점에서 문제의 심각성은 결코 적지 않아 보입니다.
▲ 과연 크립토AG 뿐인가? 제2, 제3의 크립토 AG는?
최근 미국은 중국 화웨이, 샤오미 같은 회사들의 제품에 중국 당국이 백도어를 심었다는 논란을 제기하며 강하게 질타를 했었는데요. 미국은 화웨이가 중국 정부에 통신 기밀을 흘릴 수 있다며 세계 모든 국가에 5G 장비 사용을 금지할 것을 촉구했습니다. 현시점에서 돌아보면 미국의 의심은 '내로남불'이라는 비판을 받아 마땅하지만 이와 비슷한 맥락의 의혹이 끊임없이 제기되면서 다른 보안장비들의 해킹 가능성에 대한 우려의 목소리 또한 커지고 있습니다.
우리나라는 어떨까요? 과학기술정보통신부는 1990년대 이후 인터넷 발전에 따라 국내의 독자적인 암호화 기술을 표준화했고 소프트웨어적 보안기술을 발전시켜 현재는 외산 보안장비 의존도가 낮다고 밝혔습니다. 그러나 여전히 IT 관련 주요 제품 및 하드웨어/소프트웨어는 대부분 외산 제품에 의존도가 높은 것이 현실입니다.
이러한 정보보안 이슈에 대해 국가적 차원은 물론이고 기업 등 민간 영역에서도 보안의식에 대한 제고가 필요한 상황입니다. 특히 암호화의 중요성을 인지하고 항상 위협에 노출되어 있다는 의식하에 조직마다 적합한 암호화 솔루션을 적용하여 정보자산을 관리할 필요가 있습니다.
주요 데이터는 언제 어디서든 암호화되어있어야 하며, 파일 전송 중에도 반드시 신뢰할 수 있는 방법으로 암호화되어야 합니다. 특히 클라우드에 저장하는 문서는 반드시 암호화해야 하며, 암호화 키는 반드시 개인 또는 고객이 보관하는 등 우리는 보안 위협 대응의 일상화를 실천할 때입니다.
'보안 이야기' 카테고리의 다른 글
| [데이터 3법 시행령] 가명정보 너는 다 데이터 활용 계획이 있구나. (0) | 2020.04.14 |
|---|---|
| ‘타협 없는 보안’을 위한 재택근무 보안 수칙 Top5 (0) | 2020.03.31 |
| 2020년 주시해야 하는 사이버 보안 위협 Top 5는? (0) | 2020.01.13 |
| 4차 산업혁명 대정부 권고안 발표. 우리의 '사이버 보안' 정책방향? (0) | 2020.01.08 |
| 엣지 컴퓨팅(Edge Computing) 적용 사례와 보안 (0) | 2019.02.27 |
