공급망 공격 (Supply Chain Attack)

특정 기관의 컴퓨팅 체계 개발 작업에 끼어들어 악성 코드나 해킹 도구를 미리 숨겨 둔 뒤 해를 끼치는 행위

정상적이고 일상적인 컴퓨팅 체계 개발 작업에 숨어들기 때문에 피해 규모와 범위를 가늠하기 어렵다. 게임이나 엠피(MP)3 플레이어처럼 시중에 유통되는 개인용 컴퓨팅 프로그램에도 악성 코드를 심는 사례가 발견돼 주의를 환기시켰다. 1991년 걸프(Gulf) 전쟁이 일어나기 전에 미국 국가안보국(NSA: National Security Agency)이 이라크에 수출하는 컴퓨터 프린터에 악성 코드를 심어 유사시에 이용한 게 대표적인 사례다. NSA는 걸프 전쟁이 발발하자 미리 심어 둔 악성 코드를 가동해 이라크의 군 지휘 통신망을 망가뜨렸다. 애플 ‘아이팟(iPod)’에서 악성 코드가 발견된 사례도 있다. 미국 국가안보국(NSA)이 주요 정보통신기술(ICT) 업체의 여러 제품에 몰래 접근해 비밀 정보를 수집(시진트·sigint)할 수 있는 체계를 심은 것으로 드러났고, 미 하원 정보위원회는 증국 화웨이와 ZTE의 통신장비가 국가 안보를 위협할 수 있다며 제품을 사지 말 것으로 권유하기도 했다. 영국 정보기관은 중국 레노버의 PC를 공무에 쓰지 않기로 하는 등 컴퓨팅 체계 개발 단계에 숨어든 해킹 도구를 막아 내기 위한 세계의 노력이 한창이다.


*출처: 최신ICT시사상식

목록