보안

토픽 브리핑 | 레노버의 슈퍼피시 사건과 중국, 그리고 미국

이대영 기자 | ITWorld 2015.02.27
이번 한주에도 각종 보안사건이 줄을 잇는 가운데, 국내 최대 명절인 설날 시즌 중에 전세계적으로 떠들썩한 보안사건이 발생했다.

이 보안 사건의 주체는 크래커도, 사이버 범죄 집단도 아닌 세계 최대의 PC 제조업체인 레노버였다. 레노버의 노트북에 슈퍼피시라는 애드웨어가 포함된 것으로 드러났는데, 이것이 엄청난 파장의 시발점이 됐다.

레노버 노트북, 슈퍼피시 애드웨어 탑재 논란

'슈퍼피시(Superfish)의 비주얼 디스커버리'라는 이름의 이 애드웨어는 사용자 동의 없이 구글 크롬 및 인터넷 익스플로러 웹 검색 상에 서드파티 광고를 노출시킨다.

이 사건의 발단은 지난해 9월부터 레노버가 자사의 제품에 애드웨어를 사전 설치하면서부터다. 이후 레노버 포럼에는 애드웨어에 대한 불평글이 게재되었고 불평이 많아지자 레노버 소셜 미디어 프로그램 매니저 마크 홉킨스가 진화에 나섰다.

홉킨스는 "슈퍼피시는 협력업체인 슈퍼피시 사의 제품으로 사용자가 제품을 손쉽게 찾을 수 있도록 시각적 도움을 제공할 수 있는 기술이며, 레노버 소비자 제품군에만 탑재됐다"고 설명했다.

그러나 이 애드웨어가 보안상의 문제로 부각된 것은 해커인 마크 로저가 '중간자 공격' 및 프라이버시에 대한 문제를 제기함에 따라 레노버는 지난 1월 말 소비자 제품군에서 이 애드웨어를 제거하기에 이르렀다.

이에 대해 홉킨스는 "일단 슈퍼피시를 제품에서 제거했다. 보안 등의 이슈에 대한 대처 능력을 강화할 예정이다. 이미 시장에 출하된 제품에 대해서는 자동 업데이트 픽스를 제공하도록 권고했다"고 전했다.

레노버 측은 또 제어판에 들어가 프로그램 삭제를 선택한 후 비주얼 디스커버리를 선택해 삭제하면 된다고 덧붙였다.

이 애드웨어가 본격적으로 전세계적인 이슈로 떠오른 것은 미국 보안업체인 에라타 시큐리티가 해당 애드웨어의 취약점을 이용해 공격자가 SSL 암호화 통신을 중간에 가로채는, 이른바 중간자 공격(Man in the Middle)을 통해 개인정보 및 금융정보에 접근하는 해킹을 시연하면서부터다.

에라타 시큐리티 측은 슈퍼피시 비주얼 디스커버리에 의해 생성된 접속을 보호하기 위한 보안 수준이 매우 취약하고 구식이었다. 보안 전문가들은 서명 인증에 사용된 보안 키를 몇 분 만에 깰 수 있는데, 이는 공격자들도 그만큼 빨리 해킹을 할 수 있다는 의미라고 설명했다.

에라타 시큐리티의 시연은 사용자가 레노버 노트북을 공공 장소에서 사용하고, 보안이 구현된 웹 사이트를 방문한다면, 사용자의 이름과 패스워드가 사용자가 알 수 없는 상태에서 유출되는 것을 보여준 것이다. 더구나 사용자는 범죄자가 사용자의 이메일과 온라인 뱅킹, 또는 소셜 미디어 계정을 장악할 때까지 이런 사실을 알지 못한다.

레노버는 2014년 9월부터 12월 사이에 출하된 노트북 제품에는 슈퍼피시 비주얼 디스커버리가 설치되어 있다고 밝혔다. 수천만 대의 노트북이 이 애드웨어를 사전 탑재한 채로 출하되었다는 의미다. 슈퍼피가 사전 설치된 노트북은 다음과 같다.

- G 시리즈 : G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
- U 시리즈 : U330P, U430P, U330Touch, U430Touch, U530Touch
- Y 시리즈 : Y430P, Y40-70, Y50-70
- Z 시리즈 : Z40-75, Z50-75, Z40-70, Z50-70
- S 시리즈 : S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
- 플렉스 시리즈 : Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
- MIIX 시리즈 : MIIX2-8, MIIX2-10, MIIX2-11
- 요가 시리즈 : YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
- E 시리즈 : E10-30

국내에서도 해당 기종의 노트북이 판매됐지만, 점유율이 그리 높지 않으며, 기업용 제품이나 씽크패드 기종은 해당되지 않는다는 것이 한국 레노버 측의 답변이었다. 자신의 노트북이 해당되는 지를 파악하기 위해서는 다음 사이트를 방문해 설치 여부를 확인할 수 있다.

https://filippo.io/Badfish/


만약 자신의 노트북이 해당된다면 다음과 같은 삭제 방법이나 대처 방안을 찾을 수 있다.

FAQ : 레노버 노트북에서 슈퍼피시를 찾아 제거하는 방법

문제는 이것으로 끝이 아니었다. 미국 IT 전문지 아스테크니카는 레노버가 고객 노트북에 사전 탑재한 슈퍼피시처럼 SSL 암호화 트래픽을 중간에서 가로채는 프로그램을 10개나 더 확인했다고 보도한 것이다.

이 가운데 한 프로그램인 Trojan.Nurjax은 지난해 12월 시만텍이 트로이 목마로 분류한 악성코드였다.

이 프로그램은 슈퍼피시를 만든 이스라엘 소프트웨어 개발업체인 코모디아가 만든 것으로 슈퍼피시와 마찬가지로 사용자 컴퓨터에 임의로 루트 인증서(root CA)를 심어두고 이걸 이용해 중간자 공격이 가능했다. 슈퍼피시와 같이 SSL 암호화 트래픽을 들여다 보는 코모디아 프로그램은 다음과 같다.

- Trojan.Nurjax
- CartCrunch Israel LTD
- WiredTools LTD
- Say Media Group LTD
- Over the Rainbow Tech
- System Alerts
- ArcadeGiant
- Objectify Media Inc
- Catalytix Web Services
- OptimizerMonitor

물론 루트 인증서를 만들어 SSL 암호화 트래픽을 보는 것은 나쁜 짓이 아니다. 바이러스 백신과 같은 보안 프로그램도 같은 작업을 한다. 문제는 코모디아가 똑같은 루트 인증서를 여러번 썼다는 점이다.

에라타시큐리티 CEO 로버트 그레이엄은 "슈퍼피시 루트 인증서를 암호화한 비밀키가 다름 아닌 '코모디아'였다"고 밝혔다. 로버트 그레이엄은 슈퍼피시 루트 인증서를 이용해 뱅크오브아메리카나 구글 같이 SSL 암호화 기술을 쓰는 웹사이트에서 손쉽게 비밀번호를 빼돌릴 수 있음을 확인했다.

코모디아가 똑같은 루트 인증서를 모든 컴퓨터에 쓴 탓에 공격자들은 이미 알려진 비밀번호를 이용해 코모디아 애드웨어의 루트 인증서를 악용해 사용자와 서버와의 암호화 트래픽을 들여다 볼 수 있다.

이와 같이 문제가 불거지자, 미국의 레노버 사용자들은 손해배상소송을 제기했다. 제시카 버넷은 스파이웨어라고 부르는 슈퍼피시로 인해 자신의 노트북이 피해를 입었다고 레노버를 상대로 소송을 했다. 버넷은 레노버가 프라이버시를 침해하고 자신의 인터넷 사용 행위를 관찰해 돈을 벌었다고 주장했다.

코모디아 홈페이지는 해커들의 공격으로 다운됐으며, 2월 26일, 레노버 웹사이트 또한 해킹 공격을 당해 상품소개 대신, 동영상이 게재됐다. 레노버 홈페이지는 해킹 사실 발견 이후 한 시간이 지난 뒤에 정상화됐다. 해커집단 리저드스쿼드는 이번 해킹이 자신들의 소행이라고 주장했다.

이번 레노버 슈퍼피시 사건은 레노버가 중국업체이기 때문에 일어난 해프닝에 가깝다. 멀쩡한 IT 제품에 애드웨어 정도가 아닌 백도어가 설치되어 있다는 의혹은 끊임없이 제기되어왔다.

특히 중국 IT 업체에 대한 미국의 불신은 몇년 전부터 커져왔다. 2012년 미국 하원 정보특별위원회는 보고서를 통해 중국 통신장비업체인 화웨이와 ZTE에 대해 보안 의혹을 제기했다.

이 보고서는 "중국이 경제, 군사적 활동에 기업을 이용하고 있는데, 화웨이와 ZTE가 미국 안보에 위협이 될 수 있어 미국 기업의 인수, 합병을 금지해야 한다"고 주장했다. 또한 "중국이 백도어가 있는 통신장비를 이용, 전시에 미국의 안보 시스템을 마비시킬 수 있으며, 미국 정부는 부품을 포함해 이 업체들의 장비 일체를 사용해서는 안 된다"고 말했다.

이와 함께 화웨이가 중국군의 사이버 전쟁 부대에 특별 네트워크 서비스를 제공했기 때문에 화웨이가 중국 정부의 강력한 지원을 받았을 가능성이 있다고 설명했다.

사실을 추출해 본 화웨이 사태

이에 대해 화웨이는 강력하게 부인하면서 결백을 주장했으나 결국 해당 사업을 미국에서 철수했다. 여파로 호주 정부 역시 자국의 기간망 구축 사업에 화웨이 참여를 제한했다.

이는 국내도 마찬가지였다. 국내 재난망 사업에 화웨이가 적극적인 참여를 원하고 있지만, 보안을 이유로 도입을 꺼리고 있다. 2013년 12월 미국은 국내 LTE 망 구축에 화웨이 장비가 도입되는 것에 대해 우려를 표하며 비공식적으로 압박을 가한 바 있다.

그러나 2014년 3월 미국 NSA가 오히려 화웨이 본사 서버를 해킹하고 화웨이 장비에 백도어를 설치했다는 독일 슈피겔지와 미국 뉴욕타임스의 보도는 엄청난 파장을 일으켰다.

뉴욕타임스 보도에 따르면, 코드네임 '샷자이언트(Shotgiant)'라 불리는 이 작전은 오랫동안 의심받던 화웨이와 중국인민해방군과의 연계고리를 찾고 전세계에 판매되고 있던 화웨이 장비에 백도어를 심기 위해 시도된 것이다.

또한 2010년 샷자이언트의 상세 운용 계획을 인용해 화웨이에 대한 비밀 작전을 펼치게 된 것은 2007년으로 거슬러 올라가며 NSA는 화웨이 경영진들의 통신을 모니터링했다고 밝혔다.

지난해 12월 독일 슈피겔지는 NSA가 새로운 컴퓨터 장비에 어떻게 스파이웨어를 심었는 지에 대해 보도한 바 있다. 이는 컴퓨터에 침입하는 데 특화된 NSA의 TAO(Office of Tailored Access Operations)라는 조직에 의해 만들어졌다.

이 기사에 따르면, TAO는 2010년에 화웨이 본사 서버를 해킹하는데 성공해 화웨이 창업자인 렌 쳉페이의 통신 내역을 수집할 수 있게 됐다. 그러나 NSA 조직은 화웨이와 중국인민해방군과의 특별한 연계 고리를 찾아내는데 실패했다고 지적했다.

NSA, 화웨이 본사 서버 해킹...뉴욕타임스 & 슈피겔

오히려 더 수상한 것은 중국이 아니라 미국이었다. 네트워크 장비에 백도어가 있다든지, 미국은 암호화 프로그램을 무력화해 모든 것을 엿본다는 식의 주장은 간혹 제기됐지만, 그동안 증거가 없었기 때문에 음모론으로 치부됐다.

하지만 2013년 에드워드 스노든의 폭로를 통해 미국이 그동안 전세계를 대상으로 감시체계를 구축, 운영해왔던 것으로 드러났다. 특히 RSA는 NSA와 비밀 거래를 주고받은 정황도 포착됐다. 이런 뒷거래는 신뢰로 살아가는 보안업계에 큰 타격을 줬다.

RSA, 암호화에 NSA와 비밀 거래···로이터

NSA, 5만 이상의 전세계 컴퓨터 네트워크를 감시

RSA-NSA 거래 의혹, 보안 업계 신뢰에 영향

무엇보다 지난해 5월 시스코 제품에 NSA가 백도어를 심었다는 폭로는 IT업계에 핵폭탄급 충격을 안겨줬다. 네트워크 장비 관련 대표업체인 시스코가 수출하는 라우터 제품에 감시 툴을 심었다는 내용에서 그 대상국에는 우리나라도 포함된다는 점이다.

글로벌 칼럼 | 시스코 제품에 NSA 백도어가 있다...스노든

중국의 산업 스파이 활동이 많아지면서 미국 정부는 기업들에게 중국 업체들의 IT 제품을 신뢰하지 말라고 반복적으로 경고해왔다. 하지만 우리나라를 비롯한 대부분의 국가는 중국과 미국 모두의 제품에 대해 이런 경고를 해야할 것이다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.