전 세계 서버에 '뒷문' 설치시도 발각…개발자들 화들짝

/사진=임종철 디자인기자

전 세계의 도어락을 몰래 열 수 있도록 고의로 불량 나사를 납품한 철물업자가 뒤늦게 드러난다면 어떤 파문이 일까. 리눅스 계열 OS(운영체제) 기본 압축 앱에 '백도어(시스템 침입 통로, 뒷문)'를 심은 정체불명의 개발자가 뒤늦게 적발돼 해외 SW(소프트웨어)업계에 충격을 줬다.

8일 정보보호업계와 외신 등에 따르면 미국 국토안보부 산하 사이버안보·인프라보호청(CISA)은 지난달 29일(현지시간) 압축 앱 'XZ유틸즈(XZ-Utils)' 최신버전에서 악성코드가 발견됐다며 다운그레이드를 권고했다. 같은 날 미국 마이크로소프트 개발자 안드레스 프로인트(Andres Freund)가 보안위협을 보고한 데 따른 조처다.


XZ유틸즈의 악성코드는 해커가 피해 서버에 무단으로 접속할 수 있도록 보안체계를 무력화하는 백도어였다. 이 사건은 전 세계 과반 이상의 서버에서 리눅스 계열 OS가 통용되고, XZ유틸즈가 기본 압축 앱으로 탑재된 탓에 개발자들의 우려를 샀다. 파일 압축·압축해제는 서버 운영·관리 과정에서 빈번한 작업이다.

실제로 미국 유명 SW기업 레드햇은 악성코드의 위험도를 만점으로 평가하면서 자사에서 내놓은 리눅스 계열 OS '페도라'에 대해 업데이트 배포를 취소했다. 업데이트에 문제된 XZ유틸즈 버전이 포함됐다는 이유에서다. 다만 RHEL(레드햇엔터프라이즈리눅스)을 비롯한 기업용 리눅스 대다수는 OS 업데이트가 비교적 느린 탓에 페도라와 같은 사고를 면한 것으로 전해졌다.

XZ유틸즈는 누구나 소스코드를 열람, 온라인 개발자 포럼에서 개선점을 논의하고 관리자가 새로운 소스코드를 반영하도록 제안할 수 있는 오픈소스 프로젝트로 개발됐다. 개발이력에 따르면 악성코드를 삽입한 신원불명 개발자 '지아 탄(Jia Tan·필명)'은 2022년부터 지속적으로 개발에 기여하면서 다른 개발자들의 지지를 얻은 끝에 관리자 권한을 획득, 올해 2월쯤 악성코드를 삽입한 것으로 드러났다.


XZ유틸즈 개발자 포럼을 주도하던 기존 관리자는 '지아 탄의 개선된 소스코드가 제출됐는데도 제때 반영되지 않는다'는 민원이 잇따르자 지아 탄에게 관리자 권한을 부여했다. 사건 이후 해외 개발자 포럼에선 지아 탄이 차명 아이디로 각종 민원을 제출하는 등 여론을 조작했다는 의혹이 제기된 상태다.

정보보호업계에선 XZ유틸즈의 악성코드가 장기간 발견되지 않았다면 막대한 피해가 발생했을 것이라는 전망과 함께 '공급망 보안'에 대한 경각심이 필요하다는 지적이 나온다. 해커가 기업·기관의 전산망을 노리고 그 기업·기관이 의존하는 앱·서비스·네트워크 등에 먼저 침투하는 '공급망 공격'에 대응해야 한다는 주장이다.

공급망 보안은 기업·기관용 IT(정보기술) 시스템에 탑재된 SW에 대해 명세서를 남기는 방안이 유력하게 거론되는 추세다. 미국 연방정부가 2021년 정부 조달 SW에 SBOM(SW 자재 명세서) 제출을 의무화한 이래 한국을 포함한 세계 각국은 SBOM 제도화를 추진하고 있다.