백도어

최근 수정 시각:

파일:나무위키+유도.png   스포츠 및 게임 플레이 스타일에 대한 내용은 백도어 플레이 문서를, Ca$h Out의 노래 Back Door에 대한 내용은 백 도어 문서를 참조하십시오.


1. 컴퓨터 보안 용어 backdoor
1.1. 중국 회사와 중국 정부와의 연계 의혹1.2. 관련 문서
2. 기타 의미로써의 백도어

1. 컴퓨터 보안 용어 backdoor[편집]

뒷 구멍으로 호박씨 깐다
- 한국속담

backdoor는 운영 체제프로그램 등을 만들 때 정상적인 인증 과정을 거치지 않고, 운영 체제나 프로그램 등에 접근할 수 있도록 만든 일종의 뒷구멍 같은 개념이다. 혹은 네트워크에 허가받지 않고도 들어갈 수 있을 만큼 허술한 부분을 일컫는 용어. 넓은 의미에서는 프로그래머의 실수로 만들어진 취약점(익스플로잇)을 백도어라고 부르기도 하나 대개 백도어라고 하면 의도적으로 만들어진 보안구멍을 의미한다. 쉽게 설명하면 모든 도어락을 열 수 있는 마스터 패스워드를 생각하면 될 것이다.

일반적으로 백도어는 발각되는걸 방지하기 위해서 찾기 어렵게 설계된다. 해당 프로그램의 제작자가 악의를 가지고 만드는 경우가 많으나 종종 정부기관 등의 외압으로 인해서 만들어지는 경우도 있다. 중국 국가안전부와 미국 NSA에서 하고있을 가능성이 높다. 이미 만천하에 드러난 러시아는 왜 빼시죠 이미 만천하에 드러났기 때문입니다

백도어는 많은 곳에 있을 수 있다. 운영체제의 커널에 삽입돼서 커널이 작살되기도 하고 많은 사람들이 사용하는 프로그램에 들어갈 수도 있다. 암호화 알고리즘에도 들어갈 수 있다. 하드웨어단에서도 백도어가 들어갈 수 있는데, 이 경우는 발견하기가 아주 힘들다. 삼성에도 과거에는 백도어가 들어갔다는 주장이 있었으나, 애플과는 달리 백도어가 있다고 주장한 사람도 삼성전자의 해명에 수긍하면서 단순 해프닝으로 끝난 거 같다.

현존 기술로 탐지할 수 없는 백도어 기술은 있는 것으로 보인다. 2016년 미시건 대학 연구자들은, 칩 생산 단계 직접 개입하여 HW에 몰래 심어놓는 '가짜 논리게이트 방식'으로 절대 눈에 띄거나 탐지될 일 없는 백도어 설치법을 발견한 바 있어, 이미 마음만 먹으면 발견할 수 없는 백도어를 심는 것은 현존 기술로도 가능하고 이를 알아 내는 것은 불가능에 가깝다. 그러므로 안심해서는 안된다. (해당 학술 논문 링크. 영어)

특히 언론자유가 없고 검열이 심하며 검열을 법으로 강제한[1] 수상한 나라의 회사 제품중 칩 자체를 따로 쓰거나 다른데서 안쓰는 자기만의 특이한 칩을 쓰는 회사의 제품이라면 유념해야 할 것이다.

전문가는 말하길 "특히 국가가 운영하는 정부기관이라면 이미 이런 방법을 썼을 법한데, 무서운 건 그렇다 하더라도 오염된 칩이 어디에 있는지 추적이나 파악이 불가능하다는 것입니다. 이번에 발표된 백도어가 실제 우리 사이에 활용이 되고 있는지 아닌지 아무도 장담할 수 없다." 고 하였다.#

펌웨어 루프홀 같은 HW기반의 백도어는 특정국가가 잘 쓴다고 알려져 있다.#

1.1. 중국 회사와 중국 정부와의 연계 의혹[편집]

국가안전기관이 관련 간첩행위의 정황을 조사하여 이해하고, 관련 증거를 수집할 때, 관련조직과 개인은 마땅히 사실대로 제공해야 하고, 거절해서는 안 된다.
在国家安全机关调查了解有关间谍行为的情况、收集有关证据时,有关组织和个人应当如实提供,不得拒绝
(중화인민공화국 반간첩법[2])

"모든 조직과 시민들은 법률에 따라 국가 정보 작업을 지원하고 협조하고 협력해야 하며 국가 정보 업무의 비밀을 대중에게 알리면 안된다. 국가는 국가 정보 작업을 지원 및 협력하는 개인 및 조직을 보호한다."
任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。国家对支持、协助和配合国家情报工作的个人和组织给予保护。
"(중화인민공화국 국가정보법[3])


2017년 6월, 중화인민공화국에서는 중국 국내뿐만 아니라, 국외에서도 개인이나 단체를 감시할 수 있는 국가 정보법이 발효되었다. 중국 공산당 장더장(張德江) 전인대 상무위원장에 의하면 "국가정보법은 국가 정보공작과 정보능력 건설을 위한 법률적 근거를 제공하는 법이다. 관련 기관들은 국가 안전과 이익을 보호하기 위해 '열심히 규정을 관철하고 긴밀히 협력'하기를 바란다"고 하였다.

이법에 의하면, 중국의 정보기관들은 정보수집을 위해 개인 및 단체가 소유한 차량이나 통신장비, 건축물 등에 도청장치나 감시시설을 설치하거나 압수 수색을 영장 없이도 언제든 자유로이 할 수 있다. 정보공작 범위와 정보당국의 권한이 광범위하고 모호한 점이 논란이 되고 있다.##('중국 국외'의 정보공작에도 적용된다는 것을 상기바란다.)

이 국가 정보법에 의한, 중국의 국가 정보공작에 협조해야 하는 단체에 모든 조직과 시민이라고 명기됨으로써, 중국 전자회사들은 이 중국의 법을 따라야 한다.[4]

이는 한국에게 생각해 봐야할 문제를 주는데, 만약 중국 통신장비 업체가 한국내 통신업체나 기업, 관공서등에 납품하는 장비에 백도어를 몰래 심어놓고[5][6] 아프리카 연합 도청 사건처럼 중국의 정보기관이 감청해왔다면, 중국 법에 의하면 아무 문제가 없는 것이 된다.(오히려 중국 정부의 정보공작에 협조한 것으로 그 쪽에서는 표창을 받을 일이다) 우려한 사건이 발생시, 한국 정부는 중국 정부에 항의할 수 있으나, 주한미군 THAAD 배치 논란때 보여준 한국 정부의 약한 대응[7]을 감안하면, 알고도 쉬쉬하고 넘어갈 공산이 크다.

과거 중국의 행동 패턴에 의한 예상되는 반응으로, 해킹등이 발각되었을 경우 '의도적'으로 숨겨둔 백도어를 실수에 의한 보안문제로 치부하여 "몰라서 그랬다"고 변명할 거리를 만들어 낼 수 있으며(인텔의 CPU게이트등 외국 기업, 특히 미국 기업의 사례를 들며 중국 언론[8]들은 물타기를 할 것이다) , 중국 기업은 "사소한 보안 결함이 발견되어 패치를 제공했다"고 할 것이고, 유출된 정보는 무엇인지는 전혀 알수가 없을 것이다.

이에, 증거 없음을 빌미로 오히려 관영 환구시보를 비롯한 중국 언론들은 "한국 정부가 오바한다" 혹은 "애꿎은 중국 기업을 모함한다"는 식으로 지극히 자국 보호적인 기사를 쓸 것이며, 중국 정부와 중국 국민 반응도 이와 다르지 않을 것이고, 되려 반한 감정을 일으켜 한국이 조용하게 만들도록 물타기를 할 것이다.

즉, 감청이나 해킹이 나중에 발각된다고 해도, 해킹을 당한 회사나 관공서가 되려 "중국을 모함한다"는 식으로 중국 현지에 알려져, 적반하장격으로 되려 롯데가 중국에 당한 사드 보복(한한령관련기사 참고)과 비슷한 일을 당할 것이며 중국 기업및 정부가 배째라하면 이를 제재할 수단이 전무(全無) 하다는 것을 상기할 필요가 있다.[9]

2016년에 발간된 미국 펜타곤의 내부 조사 보고서에 의하면, 중국정부 및 인민해방군과 밀접한 관련이 있는 화웨이의 경우, 중국 국가안전부 산하 기업 보유섹(Boyusec)과 함께 백도어를 심은 보안 제품을 개발하기 위해 서로 협업했다고 지적했으며, 이런 백도어로 컴퓨터와 네트워크를 제어하거나 감시하려고 했다고 한다.#

한편 호주 정부는 이 중국법을 근거로 화웨이 장비 도입을 막고 있다.#

한편, 중국정부는 위구르족같은 분리 독립 우려가 있는 소수민족에게 특정 스마트폰 앱 설치를 강요하고 있는데, 해당 스마트폰 앱은 "불법 종교 비디오, 이미지, e북, 전자 문서를 자동으로 탐지해서 보고"한다고 하며, 뿐만아니라 사용자의 웨이보와 위챗 기록, 스마트폰 고유번호(IMEI 번호), SIM카드 데이터 및 와이파이 로그인 데이터도 보관해서 보고한다고 한다. 만일 사용자가 이 앱을 삭제할 경우 최대 10일까지 유치장에 구금된다고 한다.#####

2016년 11월, 중국회사들이 미국에 판매한 수백만대의 폰에 백도어가 발견되기도 하였다. 사용자가 어디에 갔는지, 누구와 통화했는지, 어떤 메시지를 보냈는지를 모니터링할 수 있는 백도어이며, 스마트폰에 선탑재돼어 72시간마다 이 정보를 중국에 있는 서버에 전송한다. 이 백도어가 탑재된 중국폰중에 화웨이ZTE의 폰이 있다.

백도어는 전체 문자메시지 내용, 연락처 목록, 통화 로그, 위치정보 등을 중국 서버에 전송한다. 이 코드는 스마트폰에 선탑재 돼어 있으며 사용자들은 인식하지 못한다.

화웨이 변호인측은 백도어 탑재를 인정하며 "중국에 있는 서버로 전송된 데이터는 중국 정부에게 전송된게 아니며, 탑재한 SW를 만든 중국 회사의 실수이다" 이라고 하였다.## 보안전문가들은 이 백도어가 탑재된 소프트웨어가 취약점이나 버그가 아니라 중국측 회사가 의도적으로 개발한 것으로 파악하고 있다.#

2018년, 미국 FBI, CIA, NSA는 공식적으로 미국 국민에게 화웨이와 ZTE 폰을 쓰지 말라고 권고 하였다. 미국 3대 정보 기관이 쓰지 말라고 자국국민에게 공개적으로 경고하는 것에는, 그러한 결정을 이끌어내는 과정에서 화웨이측의 알려지 않은 스파이 행위가 발각된적이 있었음을 추론할 수 있고, 그에 의한 경고로써 함의가 크다고 하겠다. #

2018년 8월, 미국 의회는 백도어가 몇차례 발각되어 백도어 이슈에서 자유롭지 않은 중국산 CCTV를 미국 주요 시설에서 사용을 금지하도록하는 법안을 통과시켰다.#

참고로 중국에서는 이 처럼 CCTV에도 백도어를 설치해서 산업기술을 훔치는 용도등으로 사용한다고 하니 각별한 주의가 필요하다. 중국산 CCTV, 백도어 공포

또한 중국산 CCTV는 중국 해커들이 한국 여성들의 원룸 등에 설치된 홈 IP 카메라를 해킹하여 사생활이 촬영된 영상을 유포하는 등 백도어 문제가 심각하기 때문에 개인 사생활 유출에도 각별히 신경을 써야 한다. 중국산 CCTV 쓴 대가?… 사생활까지 털리는 한국

1.2. 관련 문서[편집]

2. 기타 의미로써의 백도어[편집]

이 말이 가르키는 대상은 전부 구석진 곳이라는 인식이 있는 터라, 거꾸로 밝고 자주 드러나는 것을 침투로 삼는 반전이 생기기도 한다.

군대에서 자대배치는 전산 무작위 추첨(속칭 뺑뺑이)로 하는 것이 원칙이지만, 선발권 부대 자원 별도 선발이라는 공식 백도어가 존재한다.

영미권 성인 소설에서 back door가 항문을 뜻하는 여러 속어 중 하나로 쓰일 때도 있다.


[1] 주로 공산권 국가 [2] 원문 혹은 한국정부가 운영하는 중소기업수출지원센터에서도 번역문을 볼 수 있다[3] 원문 혹은 한국정부가 운영하는 세계법제정보 센터 사이트에서도 찾을 수 있다.[4] 굳이 이 법이 없어도 중국군부의 협조로 큰 화웨이 같은 회사는 중국정부와 인민해방군에 알아서 자발적으로 협조할 것이기에 이는 의미가 없다. 이 법의 존재이유는 중국 정부에 말을 안 듣는 조직과 단체에게도 강제로 적용하기 위한 것[5] 펌웨어 루프홀등 기술적으로 걸리지 않고 백도어를 심는 방법은 얼마든지 있으며, 이것이 발견되면 몰랐다고 하면서 보안 패치등으로 막는다고 하며 빠져나갈 구멍은 얼마든지 있다. 혹은 보안 테스트때만 정상적이고 클린한 상태로 만들어 놓고, 보안테스트가 통과된 후 중국 정부가 요구하는 특정 시점에 보안패치 혹은 펌웨어 업그레이드를 통해 비활성화된 백도어 기능을 활성화 시켜놓을 수 있다. 원격 유지보수 기능에도 백도어가 있을 수 밖에 없다. 이처럼 마음만 먹으면 벡도어 검출을 피할 수 있는 방법 혹은 발각됬을 경우에도 변명할 거리는 무궁무진하다[6] 보안 취약점 통계·분석 사이트 CVE디테일에 따르면 2018년 6월 기준으로 올해 화웨이 제품에서 드러난 보안 취약점만 152개에 달하는 것으로 나타났다. 벌써 2017년 발견된 취약점 숫자(169개)와 맞먹는 수치다.[7] WTO제소 포기등[8] 관영과 반관영 언론을 포함. 모두 중국 공산당과 정부의 영향하에 있다[9] 중국 정부의 영향하에 있는 중국 언론과 우마오당등이 지배한 중국 인터넷 여론조작에 의해 "중국의 공적"으로 윤색되어, 퇴출된 롯데 기업의 사례를 상기해보면, 아무런 반중활동이 없었어도 중국당국의 심기를 거스르면, 중국정부와 정보기관의 의지만으로 한국기업을 언제고 현지에서 상시 퇴출시키는게 가능하다는 것을 상기해야 한다[10] http://post.naver.com/viewer/postView.nhn?volumeNo=3515958&memberNo=438952