“제조 단계부터 백도어 심어 놓으면 사용자도 모르게 정보 빠져나가”
中 쇼핑 앱부터 로봇청소기까지 전방위적 위협
앱에서 무심코 누른 ‘동의’ 버튼이 돌이킬 수 없는 실책으로
中 정부, 자국 기업에 요구하면 수집한 정보 볼 수 있어
최근 중국 인공지능(AI) 챗봇 ‘딥시크(DeepSeek)’가 이용자 정보를 틱톡 운영사인 ‘바이트댄스’에 넘겼다는 사실이 확인되면서 중국산 애플리케이션(앱)과 스마트 기기를 통한 개인정보 유출·해킹 우려가 제기되고 있다.
알리익스프레스, 테무 같은 쇼핑 앱부터 IP캠(인터넷 카메라), 로봇청소기까지 중국산 IT 제품·서비스에서 ‘제조 단계 백도어(Backdoor·비밀접근통로)’나 ‘취약한 암호화’ 같은 보안 문제가 발생할 수 있는 것으로 추정되고 있다.
21일 복수의 보안 전문가에 따르면, 중국산 IT 기기·서비스의 보안 문제는 크게 4가지 유형으로 구분된다.
우선 ‘백도어’는 제조사나 제3자가 기기에 몰래 접근할 수 있도록 심어둔 취약점으로, 사용자 모르게 개인정보를 외부로 전송할 수 있다. 데이터 유출은 앱·기기가 이용자 동의 없이 민감한 정보를 특정 서버로 보내거나, 키보드 입력·클립보드 내용 등을 수집하는 경우를 가리킨다.
‘공급망 공격’은 IT 제품의 생산·유통 단계에서 악성코드가 삽입되는 방식이다. 2018년 슈퍼마이크로(Supermicro) 서버 메인보드에서 중국이 설치한 것으로 추정되는 스파이 칩이 발견된 사례가 대표적이다. ‘취약한 암호화’는 일부 IP캠과 네트워크 장비가 암호화 없이 데이터를 주고받아, 해킹에 쉽게 노출될 수 있는 문제로 꼽힌다.
네트워크 탐지 및 대응(NDR) 기업 씨큐비스타의 전덕조 대표는 “제일 흔한 수법이 제조 단계에서 백도어를 심어두는 것”이라며 “실제로 공공기관에 설치된 CCTV가 촬영한 영상을 일부 중국으로 전송한 사례가 있었다”라고 했다. 그는 또 “군사시설 경비 카메라나 지자체 CCTV, 가정용 IP 카메라 등에서도 비슷한 보안 문제가 확인됐고, 이렇게 백도어가 숨겨져 있으면 일반 보안 솔루션으로는 알아채기가 어렵다”면서 “설치 후 네트워크 트래픽을 면밀히 관찰해야 정보가 몰래 전송되는지 알 수 있다”고 말했다.
보안 전문가들은 중국 해커 조직이 악성코드가 포함된 제품을 유통하거나, 가짜 사이트를 운영하는 방식으로 공격을 시도하는 경우도 많다고 지적한다. SK쉴더스의 화이트해커 조직인 EQST(이큐스트)랩의 이호석 팀장은 “중국 해커 조직이 악성코드가 심어진 USB 같은 제품을 파는 경우가 있다”면서 “알리익스프레스 같은 해외 직구 사이트에서 유난히 싼 USB를 구매한 뒤, 컴퓨터에 꽂는 순간 바로 악성코드가 실행되도록 설계된 사례가 있었다”고 말했다.
그러면서 “앱 권한 구조가 옛날보다 나아지긴 했지만, 사용자가 무심코 ‘동의’하면 개인정보가 빠져나갈 위험은 여전하다”며 “특히 중국발 가짜 사이트 중에는 유튜브 영상 다운로드를 빙자해 랜섬웨어를 퍼뜨리는 곳도 적지 않으니 주의해야 한다”고 당부했다.
보안업계에서는 중국산 IT 기기가 개인정보 유출에만 그치지 않고 더 큰 해킹 공격의 경로가 될 수 있다고 우려한다. USB나 IP캠 등에 백도어가 숨겨져 있을 경우, PC뿐 아니라 기업·공공기관 네트워크로 공격 범위가 확장될 가능성이 크다는 것이다. 이처럼 대규모 침투가 이뤄질 경우, 기업이나 국가 공공기관의 기밀정보가 순식간에 중국 등으로 유출될 수 있다.
염흥열 순천향대 정보보호학과 교수는 “사용자가 어떤 정보를 수집당하고, 어디로 전송되는지 도무지 알 수 없다는 사실이 가장 심각한 문제”라며 “해외로 개인정보가 이전된다면 당연히 동의를 받아야 하지만, 일부 중국산 서비스는 이를 고지하지 않거나 우회해 개인정보를 무단으로 수집할 가능성이 있다”고 했다.
중국 정부가 자국 기업이 수집한 정보를 들여다볼 수 있다는 점도 우려할 대목이다. 김승주 고려대 정보보호대학원 교수는 “중국의 데이터 보안법에 따라, 중국 기업이 수집한 정보는 자국 정부 요청 시 제공해야만 한다”며 “결국 (우리 국민들의) 개인정보가 어디로, 어떻게 쓰이는지 통제하기가 어려운 상황”이라고 설명했다.
中 쇼핑 앱부터 로봇청소기까지 전방위적 위협
앱에서 무심코 누른 ‘동의’ 버튼이 돌이킬 수 없는 실책으로
中 정부, 자국 기업에 요구하면 수집한 정보 볼 수 있어
일러스트=챗GPT 달리3
직장인 A씨는 최근 해외 직구 사이트에서 저가 USB 메모리를 구입했다가 낭패를 봤다. 컴퓨터에 연결하자마자 악성코드가 자동 실행돼 운영체제(OS) 전체가 갑자기 느려지고, 일부 파일이 손상될 위험에 처한 것이다.
직장인 B씨는 평소 유튜브 영상을 미리 다운로드해두고 시청하는 습관이 있었는데, 어느 날 ‘고화질 영상을 무료로 받을 수 있다’는 광고 링크를 누르다 랜섬웨어(데이터 복구 조건으로 거액을 요구하는 프로그램)에 걸릴 뻔했다. 확인 결과 이 사이트는 중국발 가짜 페이지였다.
최근 중국 인공지능(AI) 챗봇 ‘딥시크(DeepSeek)’가 이용자 정보를 틱톡 운영사인 ‘바이트댄스’에 넘겼다는 사실이 확인되면서 중국산 애플리케이션(앱)과 스마트 기기를 통한 개인정보 유출·해킹 우려가 제기되고 있다.
알리익스프레스, 테무 같은 쇼핑 앱부터 IP캠(인터넷 카메라), 로봇청소기까지 중국산 IT 제품·서비스에서 ‘제조 단계 백도어(Backdoor·비밀접근통로)’나 ‘취약한 암호화’ 같은 보안 문제가 발생할 수 있는 것으로 추정되고 있다.
21일 복수의 보안 전문가에 따르면, 중국산 IT 기기·서비스의 보안 문제는 크게 4가지 유형으로 구분된다.
우선 ‘백도어’는 제조사나 제3자가 기기에 몰래 접근할 수 있도록 심어둔 취약점으로, 사용자 모르게 개인정보를 외부로 전송할 수 있다. 데이터 유출은 앱·기기가 이용자 동의 없이 민감한 정보를 특정 서버로 보내거나, 키보드 입력·클립보드 내용 등을 수집하는 경우를 가리킨다.
‘공급망 공격’은 IT 제품의 생산·유통 단계에서 악성코드가 삽입되는 방식이다. 2018년 슈퍼마이크로(Supermicro) 서버 메인보드에서 중국이 설치한 것으로 추정되는 스파이 칩이 발견된 사례가 대표적이다. ‘취약한 암호화’는 일부 IP캠과 네트워크 장비가 암호화 없이 데이터를 주고받아, 해킹에 쉽게 노출될 수 있는 문제로 꼽힌다.
네트워크 탐지 및 대응(NDR) 기업 씨큐비스타의 전덕조 대표는 “제일 흔한 수법이 제조 단계에서 백도어를 심어두는 것”이라며 “실제로 공공기관에 설치된 CCTV가 촬영한 영상을 일부 중국으로 전송한 사례가 있었다”라고 했다. 그는 또 “군사시설 경비 카메라나 지자체 CCTV, 가정용 IP 카메라 등에서도 비슷한 보안 문제가 확인됐고, 이렇게 백도어가 숨겨져 있으면 일반 보안 솔루션으로는 알아채기가 어렵다”면서 “설치 후 네트워크 트래픽을 면밀히 관찰해야 정보가 몰래 전송되는지 알 수 있다”고 말했다.
보안 전문가들은 중국 해커 조직이 악성코드가 포함된 제품을 유통하거나, 가짜 사이트를 운영하는 방식으로 공격을 시도하는 경우도 많다고 지적한다. SK쉴더스의 화이트해커 조직인 EQST(이큐스트)랩의 이호석 팀장은 “중국 해커 조직이 악성코드가 심어진 USB 같은 제품을 파는 경우가 있다”면서 “알리익스프레스 같은 해외 직구 사이트에서 유난히 싼 USB를 구매한 뒤, 컴퓨터에 꽂는 순간 바로 악성코드가 실행되도록 설계된 사례가 있었다”고 말했다.
그러면서 “앱 권한 구조가 옛날보다 나아지긴 했지만, 사용자가 무심코 ‘동의’하면 개인정보가 빠져나갈 위험은 여전하다”며 “특히 중국발 가짜 사이트 중에는 유튜브 영상 다운로드를 빙자해 랜섬웨어를 퍼뜨리는 곳도 적지 않으니 주의해야 한다”고 당부했다.
보안업계에서는 중국산 IT 기기가 개인정보 유출에만 그치지 않고 더 큰 해킹 공격의 경로가 될 수 있다고 우려한다. USB나 IP캠 등에 백도어가 숨겨져 있을 경우, PC뿐 아니라 기업·공공기관 네트워크로 공격 범위가 확장될 가능성이 크다는 것이다. 이처럼 대규모 침투가 이뤄질 경우, 기업이나 국가 공공기관의 기밀정보가 순식간에 중국 등으로 유출될 수 있다.
염흥열 순천향대 정보보호학과 교수는 “사용자가 어떤 정보를 수집당하고, 어디로 전송되는지 도무지 알 수 없다는 사실이 가장 심각한 문제”라며 “해외로 개인정보가 이전된다면 당연히 동의를 받아야 하지만, 일부 중국산 서비스는 이를 고지하지 않거나 우회해 개인정보를 무단으로 수집할 가능성이 있다”고 했다.
중국 정부가 자국 기업이 수집한 정보를 들여다볼 수 있다는 점도 우려할 대목이다. 김승주 고려대 정보보호대학원 교수는 “중국의 데이터 보안법에 따라, 중국 기업이 수집한 정보는 자국 정부 요청 시 제공해야만 한다”며 “결국 (우리 국민들의) 개인정보가 어디로, 어떻게 쓰이는지 통제하기가 어려운 상황”이라고 설명했다.