백도어
- 스포츠 및 게임 플레이 스타일에 대한 내용은 백도어 플레이 문서로.
- Stray Kids의 정규 1집 리패키지 앨범 <IN生>의 타이틀 곡 "Back Door"에 대한 내용은 Back Door(Stray Kids)로.
- Ca$h Out의 노래 "Back Door"의 대한 내용은 Back Door(Ca$h Out) 문서로.
1. 컴퓨터 보안 용어 backdoor
백도어(Back Door, Trap Door): 서비스 기술자나 유지 보수 프로그래머들의 액세스 편의를 위해서 만든 보안이 제거된 비밀 통로를 이르는 말로, 시스템에 무단 접근하기 위한 일종의 비상구로 사용된다. 한 마디로 IT계의 땅굴.
Backdoor는 운영 체제나 프로그램 등을 만들 때 정상적인 인증 과정을 거치지 않고, 운영 체제나 프로그램 등에 접근할 수 있도록 만든 일종의 뒷구멍, 개구멍, 극소수만 아는 비밀의 문과 같은 개념이다. 혹은 네트워크에 허가받지 않고도 들어갈 수 있을 만큼 허술한 부분을 일컫는 용어. 넓은 의미에서는 프로그래머의 실수로 만들어진 취약점(익스플로잇)을 백도어라고 부르기도 하나, 대개 백도어라고 하면 의도적으로 만들어진 보안 구멍을 의미한다. 쉽게 설명하면 모든 도어락을 열 수 있는 마스터 패스워드를 생각하면 될 것이다.
일반적으로 백도어는 발각되는 것을 방지하기 위해서 찾기 어렵게 설계된다. 해당 프로그램의 제작자가 악의를 가지고 만드는 경우가 많으나, 종종 정부 기관 등의 외압으로 인해서 만들어지는 경우도 있다. 백도어는 많은 곳에 있을 수 있다. 운영 체제의 커널에 삽입되기도 하고, 많은 사람들이 사용하는 프로그램에 들어갈 수도 있다. 암호화 알고리즘에도 들어갈 수 있다. 하드웨어 단계에서도 백도어가 들어갈 수 있는데, 이 경우는 발견하기가 아주 힘들다.
이 논문[1] 을 근거로 '''"절대 탐지가 불가능한 백도어 제조법"'''이 존재한다는 주장이 퍼져 있는데, 해당 공격법이 까다로운 것임은 맞으나 탐지가 불가능하다는 것은 '''전혀 사실이 아니다.''' 이미 해당 공격법을 효과적으로 탐지하거나 무력화하기 위한 여러 방법이 제시되어 있다.[2] 이처럼 인터넷에 도는 정보는 비정확하거나 과장된 경우가 많으므로 너무 맹신하지 않는 것이 좋다. 아래의 불확실한 정보 주의 문단 참고.
1.1. 관련 사건사고
1.1.1. 프리즘 폭로 사건
NSA 기밀자료 폭로사건 문서 참고
1.1.2. 대한민국의 인터넷 감시 규정
국경 없는 기자회에 따르면 대한민국은 터키 다음으로 인터넷 검열이 심한 국가로 규정되었다. 특히 박근혜 정부와 문재인 정부의 경우 역대 정권들 중에서 가장 많은 검열 논란이 있어왔으며[3] , 대표적인 예시로는 아래와 같은 것들이 있다 :
- 전기통신사업법 (박근혜 정부) - 32조의 7 제 1항에 따르면 각 통신사에서는 청소년들에게 보호앱을 의무 제공해야한다는 조항이 있었는데, 이게 사실상 목적이 아동보호인 백도어인지라 논란이 있었다.
- 2019년 인터넷 검열 논란 (문재인 정부) - https 차단까지 감행하게 되면서 수많은 논란을 낳았다.
- 2019년 인디 게임 규제 논란 (문재인 정부) - 청소년 게임 개발자와 취미로 게임을 개발하는 개발자들에게 큰 피해를 끼친 사건으로, 북한이나 러시아조차도 이런 법안은 하나도 없었기에 야당뿐만 아니라 여당에서도 우려와 반대의 목소리가 적지 않게 나왔던 논란이다.
1.1.3. 중국의 인터넷 감시 규정
중국은 정보 기관의 국내외 감청과 그에 대한 전국민의 협조를 의무화한 상술된 국가정보법 외에, 2018년 11월 또 새로운 정책이 발효되었다.
‘인터넷 안전 감시와 감독에 관한 규정(Internet Safety Supervision and Inspection Regulations)’인데, 중국의 내부 경찰 기관인 공안부(Ministry of Public Security, MPS)에 막강한 권한을 부여하여 중국에서 운영되는 기업들에 대한 물리적 감독과 원격 감시가 모두 활성화 되어 중국 공안들은 사기업 내부의 컴퓨터실과 사무 공간에 들어가 모든 컴퓨터의 정보를 열람할 수 있으며, 이 새 규정이 적용되는 건 고정 IP 주소를 한 개 이상 가지고 있거나 인터넷에 연결된 컴퓨터를 5대 이상 보유한 모든 기업들로, 사실상 중국에 있는 모든 회사 및 외국 자본으로 설립된 기업들은 하나도 빠짐 없이 포함된다고 한다.
여기에 _원격 감독_도 가능하게 되어 수사 기관용으로 상시 백도어를 열어 두게 되며, 중국 공안은 _사전에 연락도 없고 경고도 없으며, 당사자조차 인지하지도 못한 채로 외국 기업들에 대한 감독 행위를 할 수 있으며, 감독 결과를 공개할 책임도 없다고 한다_. 영장 없이도 자료를 열람하고 복사조차할 수 있다고 하니, 중국 정부의 합법적인 관제 스파이 활동도 가능한 것으로 보인다.
이에 대해 중국에 진출한 조직과 기업들은 '''중국 내 망과 해외 망을 분리하는 것이 최선책'''이라고 한다.[4] ###
1.1.3.1. 화웨이와 중국 공산당과의 연계 의혹
'''모든''' 조직과 시민들은 법률에 따라 국가 정보 작업을 지원하고 협조하고 협력해야 하며 국가 정보 업무의 비밀을 대중에게 알리면 안된다. 국가는 국가 정보 작업을 '''지원''' 및 '''협력'''하는 개인 및 조직을 '''보호'''한다.
任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。国家对支持、协助和配合国家情报工作的个人和组织给予保护。
국가정보공작기관은 필요시 법에 근거해 필요한 방식과 수단 및 경로를 이용해 국내 및 _해외_에서 정보공작을 전개한다.
国家情报工作机构根据工作需要,依法使用必要的方式、手段和渠道,在境内外开展情报工作。
중화인민공화국 국가정보법[5]
국가안전기관이 관련 간첩 행위의 정황을 조사하여 이해하고, 관련 증거를 수집할 때, '''관련 조직과 개인은 마땅히 사실대로 제공해야 하고, 거절해서는 안 된다'''.
在国家安全机关调查了解有关间谍行为的情况、收集有关证据时,有关组织和个人应当如实提供,不得拒绝
모든 국가기관과 무장역량, 각 정당과 각 사회단체 및 _각 기업사업조직_은 모두 간첩 행위를 방지하고, 제지하고, 국가 안전을 유지 보호할 _의무가 있다_.
一切国家机关和武装力量、各政党和各社会团体及各企业事业组织,都有防范、制止间谍行为,维护国家安全的义务。
국가안전기관은 방첩 업무의 수요에 따라, 규정에 의거해 관련 조직과 개인의 전자통신기구, 기자재 등 설비, 시설을 _검사할 수 있다_.
国家安全机关因反间谍工作需要,可以依照规定查验有关组织和个人的电子通信工具、器材等设备、设施。
중화인민공화국 반간첩법[6]
국가안전기관이 법으로 반간첩공작업무를 수행할 때, 공민과 조직은 법에 따라 편의를 제공하거나 기타 _협조를 제공할 의무_가 있으며, 이를 _거부할시_ 고의적으로 반간첩공작업무를 방해하는 것으로 간주하여 반간첩법 제30조의 규정에 따라 _처벌_된다
国家安全机关依法执行反间谍工作任务时,公民和组织依法有义务提供便利条件或者其他协助,拒不提供或者拒不协助,构成故意阻碍国家安全机关依法执行反间谍工作任务的,依照《反间谍法》第三十条的规定处罚
중화인민공화국 반간첩법 실시세칙[7]
2017년 6월, 중국에서는 중국 국내뿐만 아니라, '''국외'''에서도 개인이나 단체를 감시할 수 있는 국가 정보법이 발효되었다. 중국 공산당 장더장(張德江) 전인대 상무위원장에 의하면 "국가정보법은 국가 정보공작과 정보능력 건설을 위한 법률적 근거를 제공하는 법이다. 관련 기관들은 국가 안전과 이익을 보호하기 위해 '열심히 규정을 관철하고 긴밀히 협력'하기를 바란다"고 하였다.통신 서비스 운영자와 인터넷 서비스 제공자는 공안기관과 국가안전기관의 법에 따른 방범과 테러 조사를 위한 접속기술과 암호해독 등의 기술지원과 협조를 제공해야 한다.
电信业务经营者、互联网服务提供者应当为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助
중화인민공화국 반테러법[8]
이 법에 의하면, 중국의 정보 기관들은 정보 수집을 위해 개인 및 단체가 소유한 차량이나 '''통신 장비''', 건축물 등에 '''도청 장치나 감시 시설을 설치'''하거나 압수 수색을 영장 없이도 '''언제든 자유로이''' 할 수 있다. 정보 공작 범위와 정보 당국의 권한이 광범위하고 모호한 점이 논란이 되고 있다. #, #
반간첩법의 경우도 악용의 여지가 다분한데, 중국 정부가 "간첩행위 조사다"고 주장하기만 하면, 검사/조사/증거수집 등이 영장 집행 같은 사법기관의 절차 없이도 언제든 아무 곳에서나 가능한 것이다. 중국은 삼권분립 국가가 아니기도 하다.그야말로 유사국가.
국내 법조계 관계자는 "간첩 행위에 대한 판단이 모호한 만큼 중국 정부는 이 법을 근거로 접근할 수 있는 모든 정보를 손에 넣을 수 있을 것"이라고 하였다. #
중국의 국가 정보 공작에 협조해야 하는 단체에 모든 조직과 시민이라고 명기되어 있고, 모든 조직과 개인은 정부가 원하는 대로 제공해야 하고 거절해서는 안 된다고 법으로 명시되어 있어서, 중국의 모든 회사와 조직은 이 법을 따라야 한다.
그래서 만약 중국 통신장비 업체가 타국의 통신 업체나 기업, 관공서 등에 납품하는 장비에 백도어를 몰래 심어놓고,[9][10] 아프리카 연합 도청 사건처럼 중국의 정보 기관이 감청해왔다면, '''중국 법에 의하면 아무 문제가 없는 것이 된다'''. 오히려 중국 정부의 정보 공작에 협조한 것으로 그 쪽에서는 표창을 받을 일이다.
물론 중국에 항의할 수는 있지만 시진핑 집권 이후 급속도로 내로남불식 국가주의와 민족주의, 패권주의에 물들어가는 중국 정부나 중국 여론이 "아 예 잘못했습니다"라고 할 지는 미지수이다. 해킹 등이 발각되었을 경우 '의도적'으로 숨겨둔 백도어를 '''실수에 의한 보안 문제로 치부'''하여 "몰라서 그랬다"고 변명할 거리를 만들어 낼 수 있으며[11] , 중국 기업은 "사소한 보안 결함이 발견되어 패치를 제공했다"고 할 것이고, 유출된 정보는 무엇인지는 전혀 알 수가 없을 것이다. 또한 증거 없음을 빌미로 오히려 관영 환구시보를 비롯한 중국 언론들은 "남의 나라에서 오버한다" 혹은 "애꿎은 중국 기업을 모함한다"는 식으로 지극히 자국 보호적인 기사를 쓸 것이며, 중국 정부와 중국 국민 반응도 이와 다르지 않을 것이다.
2016년에 발간된 미국 펜타곤의 내부 조사 보고서에 의하면, 중국 정부 및 인민해방군과 밀접한 관련이 있는 화웨이의 경우, 중국 국가안전부 산하 기업 보유섹(Boyusec)과 함께 백도어를 심은 보안 제품을 개발하기 위해 서로 협업했다고 지적했으며, 이런 백도어로 컴퓨터와 네트워크를 제어하거나 감시하려고 했다고 한다. #
2016년 11월, 중국 회사들이 미국에 판매한 수백만 대의 폰에 백도어가 발견되기도 하였다. 사용자가 어디에 갔는지, 누구와 통화했는지, 어떤 메시지를 보냈는지를 모니터링할 수 있는 백도어이며, 스마트폰에 선탑재되어 72시간마다 이 정보를 중국에 있는 서버에 전송한다. 이 백도어가 탑재된 중국산 휴대폰 중에 화웨이와 ZTE의 폰이 있다.
백도어는 전체 문자메시지 내용, 연락처 목록, 통화 로그, 위치정보 등을 중국 서버에 전송한다. 이 코드는 스마트폰에 선탑재 돼 있으며 사용자들은 인식하지 못한다.
화웨이 변호인 측은 백도어 탑재를 인정하며 "중국에 있는 서버로 전송된 데이터는 중국 정부에게 전송된 게 아니며, 탑재한 SW를 만든 중국 회사의 실수이다" 이라고 하였다. ## 보안전문가들은 이 백도어가 탑재된 소프트웨어가 취약점이나 버그가 아니라 중국 측 회사가 의도적으로 개발한 것으로 파악하고 있다. #
2018년, 미국 FBI, CIA, NSA는 공식적으로 미국 국민에게 화웨이와 ZTE 폰을 쓰지 말라고 권고하였다. 미국 3대 정보 기관이 쓰지 말라고 자국 국민에게 공개적으로 경고하는 것에는, 그러한 결정을 이끌어내는 과정에서 화웨이측의 알려지 않은 스파이 행위가 발각된 적이 있었음을 추론할 수 있고, 그에 의한 경고로써 함의가 크다고 하겠다. #
2018년 8월, 미국 의회는 백도어가 몇차례 발각되어 백도어 이슈에서 자유롭지 않은 중국산 CCTV를 미국 주요 시설에서 사용을 금지하도록 하는 법안을 통과시켰다. #
참고로 중국에서는 이처럼 CCTV에도 백도어를 설치해서 산업 기술을 훔치는 용도 등으로 사용한다. 중국산 CCTV, 백도어 공포. 꼭 이런 것뿐만 아니라 중국 해커들이 여성들의 원룸 등에 설치된 홈 IP 카메라를 해킹하여 사생활이 촬영된 영상을 유포하는 등 백도어 문제가 심각하다. 한국에서도 이와 관련된 적발 사례가 있다. 중국산 CCTV 쓴 대가?... 사생활까지 털리는 한국
국외에서도 이런데 국내에서라고 다를 건 없다. 중국 정부는 위구르족 같은 분리 독립 우려가 있는 소수 민족에게 특정 스마트폰 앱 설치를 강요하고 있는데, 해당 스마트폰 앱은 "불법 종교 비디오, 이미지, e북, 전자 문서를 자동으로 탐지해서 보고한다"고 하며, 뿐만 아니라 사용자의 웨이보와 위챗 기록, 스마트폰 고유번호(IMEI 번호), SIM카드 데이터 및 와이파이 로그인 데이터도 보관해서 보고한다고 한다. 만일 사용자가 이 앱을 삭제할 경우 최대 10일까지 유치장에 구금된다고 한다. #, #, #, #, #
또한 국내에서도 해외구매 등으로 유명한 타오바오 앱에서도 예전에 백도어가 발견되어 이슈가 된 적도 있어서 타오바오 웹을 사용하길 권장하는데, 웹판 타오바오에서 상품을 검색하면 강제로 앱 다운 페이지로 이동시켜서 사실상 모바일 웹에서의 검색이 불가능하다. 가급적 PC에서 사용하도록 하자.
1.1.4. 크립토AG 사건
스위스의 보안업체 크립토AG를 독일 연방정보원과 CIA가 비밀리에 공동으로 소유했던 것이 밝혀졌다.
1.2. 불확실한 정보 주의
백도어 관련 정보를 나무위키나 인터넷에서 볼 때는 너무 신뢰하지 말고 걸러 듣는 것이 좋다. 일반인들이 잘 알기 힘든 내용이기 때문인지 잘못됐거나 불확실한 정보가 매우 많고, 특히 중국과 관련해서는 반중 감정에 기반한 선동도 자주 일어난다.
예를 들면 화웨이 등의 중국 IT 회사가 백도어를 탑재한 것이 인터넷에서는 사실인 것처럼 알려져 있으나 사실 명확한 증거가 제시된 적은 '''없다.''' 역으로 NSA가 중국의 백도어 증거를 찾기 위해 화웨이, ZTE 등의 서버를 해킹하고 통신을 감청했지만 어떤 증거도 찾지 못했다. # #
우리나라의 보안 전문가인 김승주 교수[12] 도 화웨이 논란에 대해서 "현재는 기술적으로 명확한 증거들이 제시되지 않은 상태에서 정황증거만 갖고 미국과 중국사이의 파워게임에 끼어있는 형국"[13] 이라고 했다. 즉 실제 백도어 증거를 가지고 싸우는 게 아니라 정치적인 파워 게임이라는 것이다. 이처럼 전문가들은 보안 문제가 아닌 정치 문제로 보고 있다.[14]
일반인들이 이러한 잘못된 정보에 얼마나 취약한지 보여주는 대표적인 사건이 바로 슈퍼마이크로 백도어칩 사건이다. 최초로 보도한 블룸버그는 어떠한 증거도 제시하지 못 했지만 손가락 위에 커패시터(...)를 얹은 연출 사진만으로 슈퍼마이크로의 주가를 '''40%''' 이상 하락시켜 버렸다. 그리고 아직도 기사나 인터넷 커뮤니티에서 언급이 되고 있다.
[image]
또 서브컬쳐계에서는 원신이 백도어 논란에 휩싸이기도 했다. 관련 분야 개발자라면 대부분 억지 논란임을 단번에 알 수 있는 비교적 기초적인 내용인데도 중국 게임이라는 이유로 백도어 논란이 계속 이어졌었다. 항목 참고
1.3. 관련 문서
- 중국 공산당
- 샤오미#s-3.2
- 화웨이#s-4
- TikTok
- U8 : 중국제 저가 스마트워치. 페어링 앱에서 백도어가 발견되었다.
- ZTE#s-3
- OnePlus
- 미디어텍 #[15]
- 옛 표준인 DES에 백도어가 있다는 의혹이 있다.
- 독일의 보안회사가 윈도우 8에 백도어가 있다고 주장한 적이 있다.
- iOS 4-7: iOS 1-3은 딱히 백도어가 있다는 얘기는 몇몇 분석 전문가들 사이에서도 없다. 애플 공식 입장은 iOS 8부터는 백도어를 비활성화 시켰다는 것. 자세한 사항은 iOS#s-5.4.4 문서 참조.
- 기술독재
- 중국산 전자제품의 경우 CCTV는 물론, 심지어 키보드, 전자담배 충전기, 주전자와 다리미, 게임패드에도 백도어가 발견되기도 한다.
- 중국산 SW와 앱. 중국에서 개발된 애드웨어 닥터라는 맥 앱스토어 유료앱은 사용자의 브라우저 히스토리를 비밀리에 저장해 이를 중국 서버에 송신하는 기능이 있었다고 하나, 애플은 이 앱을 삭제하였다. # 중국 선전의 ‘TCL 커뮤니케이션 테크놀로지’가 만든 날씨 정보 앱 ‘웨더 포캐스트 - 월드 웨더 애큐리트 레이더’가 스마트폰 위치 정보 외에 사용자 이메일 주소와 숫자 15개로 이뤄진 단말기고유식별번호(IMEI) 등 정상 범위를 넘어서는 광범위한 정보를 수집해 사용자 개인정보를 중국 내 서버에 저장시킨 후, 이를 이용해 브라질과 말레이시아, 나이지리아 등에서 알카텔 스마트폰을 쓰는 사용자 몰래 유료 가상현실(VR) 서비스에 가입시키려 한 것으로 드러났다. 10만명 이상이 150만달러 이상의 피해를 볼 뻔했다고 한다. #
- 2018년 10월 5일, Bloomberg에서 미국 주요 기업에 납품되는 메인보드에 중국산 백도어 칩이 심어져 있었다는 기사가 올라왔다.
- 중국전신 (차이나 텔레콤). 중국 국영통신사인 차이나텔레콤이 피오피(POP·points of presence)를 활용해 캐나다에서 한국 정부 누리집까지 오는 트래픽을 중국으로 가로챘다는 연구 결과가 나왔다. 피오피는 작은 네트워크에서 발생한 트래픽을 모아 분배해주는 일종의 데이터 센터다. 중국 업체의 인터넷 장비 보안 문제로 논란이 벌어지는 가운데 나온 미국·이스라엘 연구진의 연구결과여서 관심을 끈다. 해당 문서 참조.
- 위챗. 약관에도 '사용자의 개인 자료와 대화 내용은 보관되며 법에 저촉되는 내용은 (중국) 관계 기관에 보고한다'라고 명시되어 있고, 아예 공안이 위챗을 운영하는 텐센트 안에 상주하여(중국 선전시에 위치하며, 조직명은 '난산 구 공안 분국 텐센트 증거수집센터'라고 한다) 중국민뿐 아니라 해외의 위챗 사용자들까지 감시 검열한다. 중국 정부에 무제한의 프리패스를 열어둔 백도어라고 볼 수 있다. 실제로 위챗에서의 채팅 내용으로 계정이 삭제되거나 체포된 경우가 많다.
- 노키아 7 플러스: 해당 기사 참조. 다만 이게 정말로 백도어인지는 밝혀지지 않았다.
- 정보통신 기술 및 서비스 공급망 확보에 관한 행정명령
- 초한전
- 중국의 백도어(중국산 앱)
2. 기타 의미로서의 백도어
이 말이 가리키는 대상은 전부 구석진 곳이라는 인식이 있는 터라, 거꾸로 밝고 자주 드러나는 것을 침투로 삼는 반전이 생기기도 한다. 군대에서 자대배치는 전산 무작위 추첨(속칭 뺑뺑이)로 하는 것이 원칙이지만, 선발권 부대 자원 별도 선발이라는 공식 백도어가 존재한다.
영미권 성인 소설에서 back door가 항문을 뜻하는 여러 속어 중 하나로 쓰일 때도 있다.
주식시장에서 우회상장은 흔히 'back door listing'이라고 한다.