일상 물건을 무기화하는 위험

9월 18일 레바논 발베크에서 라디오 장치가 폭발했다. (출처: 아나돌루)

최근 레바논에서 폭발물이 장착된 호출기와 무전기를 이용한 공격이 발생했는데, 이는 새로운 전술이며 전 세계 모든 국가에 중대한 안보 문제를 제기합니다.

이 전술의 독특한 점은 적을 겨냥한 기술적 방해 공작이 아니라는 것입니다. 역사적으로 트로이 목마 전술은 통신이나 군사 장비를 악용하여 특정 목표물을 공격하는 데 사용되어 왔습니다.

소프트웨어 타겟팅

레바논에서 발생한 공격은 일상생활에서 널리 사용되는 폭발물을 사용했기 때문에 논란의 여지가 있었습니다. 레바논에서 발생한 공격으로 어린이 두 명을 포함한 37명이 사망하고 헤즈볼라 지휘관 여러 명이 부상을 입었습니다.

국제 인도법 전문가들은 이번 공격이 군사 및 민간인 표적을 구분하지 않고, 민간인을 위험에 빠뜨릴 수 있는 일반 장비에 금지된 부비트랩을 사용함으로써 국제법을 위반했다고 비난했습니다. 안보 분석가들은 이번 공격이 일상용품의 "무기화"라는 새로운 시대를 예고하는 신호탄이 될 수 있다고 경고했습니다.

"사물 인터넷" 기기를 의도적으로 소프트웨어를 손상시켜 방해하거나 무력화하는 공격이 점점 더 흔해지고 있습니다. 제조업체가 데이터 수집 및 처리 소프트웨어를 제어하기 때문에 이러한 기업들은 기능을 업그레이드하거나 다운그레이드할 수 있는 자체 기능을 갖추고 있습니다. 또한, 기업이 소프트웨어 업데이트를 전략적으로 제한하여 의도적으로 기능을 축소할 경우 "예방적 유연성"을 확보할 수 있습니다.

최근 비즈니스 세계에서 발생한 사례로는 폴란드의 철도 회사와 기차 제조업체 간에 발생한 분쟁이 있습니다. 이로 인해 제조업체가 원격 디지털 잠금 장치를 사용했기 때문에 최근 수리한 기차 중 일부가 2022년에 수개월 동안 사용할 수 없게 되었습니다.

이러한 사례들은 점점 더 많은 제품과 인프라가 네트워크화되는 시대에 소프트웨어 제어의 중요성을 보여줍니다. 공격자는 사보타주를 저지르거나 가짜 위장 회사를 이용하여 은밀하게 폭발물을 제조하는 대신, 소프트웨어를 표적으로 삼을 수 있습니다. 공격자는 제조업체에 침투하여 소프트웨어 생산 자재를 조작하거나, 취약점을 악용하거나, 단순히 네트워크를 공격할 수 있습니다.

보안 정보 기관은 스마트 전력망부터 비상 통신 시스템, 교통 제어 시스템에 이르기까지 디지털 네트워크에 점점 더 의존하는 중요 인프라를 보호해야 할 필요성을 오랫동안 강조해 왔습니다.

2021년, 캐나다 보안정보국(CSIS)은 적대적인 행위자가 중요 인프라 시스템을 악용할 경우 해당 국가에 "심각한 재정적, 사회적, 건강적, 안전적 영향"이 미칠 것이라고 경고했습니다.

사람들의 안전을 보장하다

잠재적 영향을 이해하려면 일상적인 것부터 시작하는 것이 중요합니다. 2022년 7월, Rogers Communications 고객들에게 이틀간 정전이 발생하여 시스템 업그레이드 오류로 인해 캐나다 전역에서 1,200만 명이 넘는 고객의 인터넷 및 모바일 서비스가 중단되었습니다.

레바논에서 발생한 이번 공격은 민간인을 표적으로 삼고 부비트랩이 장착된 일상용품을 사용함으로써 국제법 위반의 소지가 있습니다. 이번 공격에서 통신 장비가 무기화된 사례는 현재 면밀히 조사되고 있습니다. 전 CIA 국장 레온 파네타는 이번 공격을 테러의 한 형태라고 규정했습니다.

여러 제조업체와 유통업체가 제품 조립에 참여하는 경우, 최종 소비자는 해당 제품을 생산하고 공급하는 공급망의 신뢰성을 신뢰할 수 있어야 합니다. 레바논에서 발생한 공격의 경우, 경제적, 정치적 여파가 광범위하게 나타나고 있으며 신뢰를 회복하기는 어려울 것입니다.

글로벌 공급망에 대한 공격의 결과를 고려하는 것 외에도, 사물 인터넷 제품 제조업체에 대한 정책적 함의가 있으며, 기업 거버넌스 관행을 강화해야 한다는 요구가 있습니다.

연방통신위원회(FCC)는 최근 2024년 자발적 "사물인터넷(IoT)" 라벨링 프로그램을 승인했습니다. 이 프로그램을 통해 제조업체는 국가의 "가상 네트워크 신뢰 마크(Virtual Network Trust Mark)"를 표시할 수 있게 됩니다. 이 프로그램의 목표는 소비자가 정보에 기반한 구매 결정을 내리도록 돕고 제조업체가 점점 더 높아지는 사이버보안 기준을 충족하도록 장려하는 것입니다.

레바논에서 발생한 공격은 모든 정부 기관이 디지털 인프라의 조달 및 운영에 대한 적절한 요건을 설정해야 할 필요성을 강조합니다. 여기에는 사이버 위협 시대에 공공 안전을 더욱 강화하기 위해 인프라 운영 및 수리 책임자를 명확히 하는 것이 포함되어야 합니다.