By Lily Hay Newman, Matt Burgess, WIRED US
2024년 9월 셋째 주 헤즈볼라는 레바논 전역에서 발생한 일련의 소형 기기 폭발 공격으로 충격을 받았다. 폭발 사태로 발생한 부상자는 수천 명, 사망자는 최소 25명으로 집계됐다. 공격에는 로켓이나 드론이 동원되지 않았다. 헤즈볼라를 겨냥한 폭발물 공격은 삐삐, 휴대용 무전기 등 소형 휴대용 기기, 심지어 태양광 장비 등 의심을 받지 않았던 전자 기기를 동원한 협동 폭발 공격의 결과이다. 폭발 공격에 동원된 기기의 보안 침입을 일으킨 공급망 공격을 상술한 상세 정보가 공개되자 레바논 현지 주민과 전 세계 인구는 삐삐 폭탄을 동원한 공격이 평범한 소비자가 이용하는 전자기기도 표적으로 삼을 수 있을지 의문을 제기하기 시작했다.
폭발물을 이용하여 헤즈볼라의 핵심 통신 기반 시설 보안 침입 목적으로 개시된 이번 공격은 정교하게 설계된 과정의 개입이 있었다는 점이 분명하다. 이스라엘이 개시했다는 확신이 우세한 이번 공격은 과거 보고된 하드웨어 공급망 공격 사례를 훨씬 넘어서 미래 전 세계 감시 장비 개발 계기가 될 수도 있다. 그러나 와이어드의 취재에 응한 복수 소식통은 다른 맥락에서 헤즈볼라를 겨냥한 폭탄 공격의 구체적인 규모와 범위를 반복하기는 쉽지 않을 것이라고 전했다. 또, 더 포괄적인 측면에서 본 공격과 관련한 자원과 정확도는 스마트폰 등 핵심 소비자 기기를 겨냥한 공격을 개시할 때 시간이 지나면서도 정확히 유지하기 매우 어렵다는 설명을 덧붙였다. 스마트폰은 사용 범위가 매우 넓고, 전 세계 연구원과 제품 테스트 담당자, 수리 전문가가 주기적으로 검토하기 때문이다.
전략 국제문제연구소(Center for Strategic and International Studies) 임시 연구 펠로 자카리 칼렌본(Zachary Kallenborn)은 “장기적으로 헤즈볼라 삐삐 폭탄 사태와 비슷한 공격이 추가로 발생할 가능성이 매우 높다고 본다. 하지만 민간인이 아닌 군사 기관을 겨냥한 공격이 발생할 확률이 높다”라고 전했다. 칼렌본 연구원은 드론부터 통신 장비까지 군사 기관의 상용화 기술 의존도가 갈수록 증가하는 추세라고 전했다. 모두 적이 공급망을 악용할 때 보안 침입이 발생할 수 있는 기술이다. 칼렌본 연구원은 “군사 기관이 사용하는 상용화 기술은 세계 각지에서 공급받는다. 즉, 전 세계 공급망이 지원하는 기술을 군대에서 사용한다는 의미이다”라고 말했다.
헤즈볼라 공격의 전체 상세 정보가 계속 밝혀지는 가운데, 폭발된 기기는 헤즈볼라 조직원의 손에 들어가기 전 폭발물의 보안 침입이 발생한 것으로 알려졌다. 영국 서리대학교 사이버보안 교수인 앨런 우드워드(Alan Woodward)는 공격자가 완제품을 가로채고는 기기를 분리하여 폭발물을 설치했을 가능성보다는 제조 과정에서 폭발 장치를 설치했을 가능성이 높다고 본다. 뉴욕타임스는 2024년 9월 18일 저녁(현지 시각), 우드워드 교수의 추측을 확인하는 내용의 기사를 보도하며, 이스라엘이 유령회사 여러 곳을 통해 직접 폭발물이 삽입된 기기를 생산했을 가능성을 제시했다. 이스라엘은 공격 관련 의견을 발표하지 않았다.
이른바 삐삐 폭탄 공격 발생 초기 제시된 기기 배터리 발열이 폭발 원인이 되었다는 가설은 복수 사이버 보안 전문가가 가능성이 없다고 판단하여 배제했다. 현장 폭발 영상에 담긴 기기 폭발은 소형 휴대용 무선기, 삐삐 배터리 폭발 양상을 고려했을 때 배터리 화재 사고나 폭발과는 일관성이 없는 것으로 나타났다.
레바논 정치 상황과 현재 진행 중인 경제 위기에 헤즈볼라와 이스라엘 간 지역 갈등이 겹치면서 공격이 발생했다. 헤즈볼라는 국제사회에서 고립되었다. 미국과 영국은 헤즈볼라를 테러 단체로 규정한 반면, 러시아, 중국 등 일부 국가는 헤즈볼라와의 외교 관계를 이어가고 있다. 모두 헤즈볼라의 장비 수입, 공급망 위험 경로 등에 영향을 미쳤다.
헤즈볼라와 이스라엘 간 전쟁이 계속되는 현재 헤즈볼라의 디지털 통신과 활동은 이스라엘 해커의 지속적인 공격 대상이 된 상황이다. 사실, 헤즈볼라를 겨냥한 꾸준한 디지털 공격은 헤즈볼라가 스마트폰 통신과 거리를 두고, 삐삐나 무전기 등을 우선순위로 사용하도록 유도하는 역할을 했다. 2024년 2월, 헤즈볼라 수장 하산 나스랄라(Hassan Nasrallah)는 이스라엘을 언급하며, “개인이 사용하는 기기가 이스라엘의 감시 공격 에이전트이다”라고 말했다.
상업용 스파이웨어 업계는 모바일 운영체제 내 일련의 취약점을 악용하여 스마트폰을 표적으로 삼은 전체 보안 침입이 가능하다는 사실을 입증했다. 스파이웨어 개발사와 기존 취약점 패치 작업에 따른 신규 운영체제 취약점 발견 반복 상황은 자원 집약도가 높은 과정이 되었다. 그러나 제조 직후 물리적 보안 침입 공격을 개시해야 하는 하드웨어 공급망 공격보다는 비교적 간단하면서 위험성이 낮은 편이다. 공격자에게는 스마트폰이나 노트북으로 공격 표적의 디지털 생활 전체를 감시하는 일이 기기를 폭발물로 이용하는 것보다 더 가치가 높은 일이 된다.
미국 국가안전보장국(NSA)에서 근무한 경력이 있는 보안 기업 헌터 스트래터지(Hunter Strategy) 연구 및 개발 부사장 제이크 윌리엄스(Jake Williams)는 “노트북 폭발 공격 보고가 없는 유일한 이유는 공격자가 노트북을 이용하여 손에 넣는 정보가 많기 때문이라고 본다. 또, 공격 표적으로 삼을 잠재적인 요인도 존재한다고 생각한다. 삐삐와 개인용 라디오는 노트북과 같은 범용 기기보다 헤즈볼라 운영자의 손에 들어갈 확률이 높은 편이다”라고 설명했다.
레바논에서 발생한 공격이 조만간 세계 각지에서 소비자용 전자 기기를 이용한 폭발 공격의 전조가 될 확률이 낮은 실질적인 이유도 몇 가지 제시할 수 있다. 주로 20세기에 설계된 휴대용 기기와 달리 최신 노트북과 스마트폰은 하드웨어 구성요소 밀도가 높은 상태에서 대다수 기능을 제공하고, 효율성을 최대화한 구성으로 배터리를 최대한 오래 사용하도록 지원한다.
소비자 기기를 주기적으로 분해하는 우드워드 교수는 최신 스마트폰 내부에 추가 장치를 설치할 공간이 매우 제한적이며, 제조 과정에는 구성요소를 다른 부품 위에 정확히 배치하는 로봇이 동원된다고 언급했다. X선으로도 최신 스마트폰 내부에 부품이 빽빽하게 밀집된 것을 확인할 수 있다.
우드워드 교수는 “스마트폰 내부를 보았을 때 강한 폭발력을 갖춘 기계를 완성할 방법은 다른 구성요소를 대체하는 것이 유일하다”라며, 배터리 구성요소와 폭발물 구성요소를 절반씩 탑재하는 것을 그 예시로 언급했다. 다만, “스마트폰의 구성요소를 대체한다면, 기능 자체가 저하될 수 있다”라며, 사용자가 기능 장애 조사를 하여 폭발 장치 삽입 사실을 발견할 수 있다고 덧붙였다.
반면, 85일 연속으로 배터리를 충전하지 않고 사용할 수 있을 정도로 내구성이 강한 삐삐와 연결된 삐삐는 대체 가능한 부품을 탑재했다. 내장형 기기 보안 기업 레드벌룬시큐리티(Red Balloon Security) 창립자 앵 쿠이(Ang Cui)는 헤즈볼라를 겨냥한 공격에 이용된 것으로 추정되는 삐삐 모델의 회로도를 조사한 뒤 와이어드의 문의에 폭발물을 설치할 여유 공간이 있다고 설명했다. 제조사 측은 폭발한 휴대용 무전기가 약 10년 전 제작된 모델이라고 밝혔다. 우드워드 교수는 삐삐 등 오래된 기술 제품을 최신 버전으로 재구성하고자 열면, 내부 구성요소 다수가 제조 과정과 프로세서 효율성 개선과 함께 압축된 것을 확인할 수 있다고 전했다.
스마트폰 제조 현장도 엄격한 보안 조처에 따라 운영된다. 특히, 애플의 아이폰과 구글의 플래그십 스마트폰인 픽셀 스마트폰 등 고가 기기 생산 현장에는 더 엄격한 보안 조처가 적용된다. 부분적으로는 제품 품질을 보장하기도 하면서 직원이 업계 기밀이나 시제품 정보를 외부로 유출하는 일을 막는 역할을 한다. 저가 안드로이드 스마트폰 모두 집중 감독 과정에 따라 생산되는 것은 아니지만, 대중의 기억에서 사라진 삐삐보다는 스마트폰 제조 과정을 몰래 손에 넣기 어렵다. 중국과 같이 스마트폰을 대거 생성하는 국가에서는 항상 국가 단위 백도어 삽입이 진행되었을 가능성이 있다. 그러나 국가 주도 배곧어 설치 과정은 국제 사회의 기기 감독을 피하기 위한 상세한 설명이 필요하다.
폭발한 스마트폰을 차증려면, 20세기 기술부터 검토해야 한다. 1996년, 팔레스타인 폭탄 제조업자 야하 아야쉬가 자신의 휴대전화에 걸려 온 전화 수신 당시 휴대 전화가 폭발하여 사망한 사례가 있었다. 당시 아야쉬가 사용한 구형 휴대전화는 뉴욕타임스가 주머니에 넣기 적합한 얇은 소형 기기라고 소개했으나 내부에 50g인 폭발물이 삽입된 것으로 확인됐다. 폭발물은 이스라엘 보안국이 설치했을 가능성이 있다. 아야쉬가 있던 곳의 상공을 비행하던 비행기에서 방출된 라디오 신호가 폭발을 촉진한 것으로 알려졌다. 하지만 헤즈볼라에서 발생한 삐삐, 휴대용 무전기 공격과 달리 아야쉬의 휴대전화는 아야쉬 개인을 단독으로 겨냥한 공격의 일부분으로 발생했을 확률이 높다.
이번 폭발물 공격이 모든 소비자의 스마트폰에 즉각 영향을 미치지 않더라도 하드웨어 공급망 공격의 공포가 널리 확산되는 원인이 되었다.
눌포인터(Null Pointer)라는 가명으로 정체를 밝혀줄 것을 요구한 장기간 하드웨어 해커이자 기술 조달 분야에서 경력을 쌓은 전문가는 “세계 곳곳의 허술한 조직 모두 최신 기기를 폭발물로 사용할 목적으로 확인할 것이다. 특히, 제조사에서 대량 주문한 기기를 살펴볼 것이다. 헤즈볼라를 겨냥한 폭발물 공격은 새로이 보고된 수법이자 그 누구도 인지하지 못했다는 점에서 그 여파가 클 것이다. 매우 독특한 공격이다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
Your Phone Won’t Be the Next Exploding Pager
2024년 9월 셋째 주 헤즈볼라는 레바논 전역에서 발생한 일련의 소형 기기 폭발 공격으로 충격을 받았다. 폭발 사태로 발생한 부상자는 수천 명, 사망자는 최소 25명으로 집계됐다. 공격에는 로켓이나 드론이 동원되지 않았다. 헤즈볼라를 겨냥한 폭발물 공격은 삐삐, 휴대용 무전기 등 소형 휴대용 기기, 심지어 태양광 장비 등 의심을 받지 않았던 전자 기기를 동원한 협동 폭발 공격의 결과이다. 폭발 공격에 동원된 기기의 보안 침입을 일으킨 공급망 공격을 상술한 상세 정보가 공개되자 레바논 현지 주민과 전 세계 인구는 삐삐 폭탄을 동원한 공격이 평범한 소비자가 이용하는 전자기기도 표적으로 삼을 수 있을지 의문을 제기하기 시작했다.
폭발물을 이용하여 헤즈볼라의 핵심 통신 기반 시설 보안 침입 목적으로 개시된 이번 공격은 정교하게 설계된 과정의 개입이 있었다는 점이 분명하다. 이스라엘이 개시했다는 확신이 우세한 이번 공격은 과거 보고된 하드웨어 공급망 공격 사례를 훨씬 넘어서 미래 전 세계 감시 장비 개발 계기가 될 수도 있다. 그러나 와이어드의 취재에 응한 복수 소식통은 다른 맥락에서 헤즈볼라를 겨냥한 폭탄 공격의 구체적인 규모와 범위를 반복하기는 쉽지 않을 것이라고 전했다. 또, 더 포괄적인 측면에서 본 공격과 관련한 자원과 정확도는 스마트폰 등 핵심 소비자 기기를 겨냥한 공격을 개시할 때 시간이 지나면서도 정확히 유지하기 매우 어렵다는 설명을 덧붙였다. 스마트폰은 사용 범위가 매우 넓고, 전 세계 연구원과 제품 테스트 담당자, 수리 전문가가 주기적으로 검토하기 때문이다.
전략 국제문제연구소(Center for Strategic and International Studies) 임시 연구 펠로 자카리 칼렌본(Zachary Kallenborn)은 “장기적으로 헤즈볼라 삐삐 폭탄 사태와 비슷한 공격이 추가로 발생할 가능성이 매우 높다고 본다. 하지만 민간인이 아닌 군사 기관을 겨냥한 공격이 발생할 확률이 높다”라고 전했다. 칼렌본 연구원은 드론부터 통신 장비까지 군사 기관의 상용화 기술 의존도가 갈수록 증가하는 추세라고 전했다. 모두 적이 공급망을 악용할 때 보안 침입이 발생할 수 있는 기술이다. 칼렌본 연구원은 “군사 기관이 사용하는 상용화 기술은 세계 각지에서 공급받는다. 즉, 전 세계 공급망이 지원하는 기술을 군대에서 사용한다는 의미이다”라고 말했다.
헤즈볼라 공격의 전체 상세 정보가 계속 밝혀지는 가운데, 폭발된 기기는 헤즈볼라 조직원의 손에 들어가기 전 폭발물의 보안 침입이 발생한 것으로 알려졌다. 영국 서리대학교 사이버보안 교수인 앨런 우드워드(Alan Woodward)는 공격자가 완제품을 가로채고는 기기를 분리하여 폭발물을 설치했을 가능성보다는 제조 과정에서 폭발 장치를 설치했을 가능성이 높다고 본다. 뉴욕타임스는 2024년 9월 18일 저녁(현지 시각), 우드워드 교수의 추측을 확인하는 내용의 기사를 보도하며, 이스라엘이 유령회사 여러 곳을 통해 직접 폭발물이 삽입된 기기를 생산했을 가능성을 제시했다. 이스라엘은 공격 관련 의견을 발표하지 않았다.
이른바 삐삐 폭탄 공격 발생 초기 제시된 기기 배터리 발열이 폭발 원인이 되었다는 가설은 복수 사이버 보안 전문가가 가능성이 없다고 판단하여 배제했다. 현장 폭발 영상에 담긴 기기 폭발은 소형 휴대용 무선기, 삐삐 배터리 폭발 양상을 고려했을 때 배터리 화재 사고나 폭발과는 일관성이 없는 것으로 나타났다.
레바논 정치 상황과 현재 진행 중인 경제 위기에 헤즈볼라와 이스라엘 간 지역 갈등이 겹치면서 공격이 발생했다. 헤즈볼라는 국제사회에서 고립되었다. 미국과 영국은 헤즈볼라를 테러 단체로 규정한 반면, 러시아, 중국 등 일부 국가는 헤즈볼라와의 외교 관계를 이어가고 있다. 모두 헤즈볼라의 장비 수입, 공급망 위험 경로 등에 영향을 미쳤다.
헤즈볼라와 이스라엘 간 전쟁이 계속되는 현재 헤즈볼라의 디지털 통신과 활동은 이스라엘 해커의 지속적인 공격 대상이 된 상황이다. 사실, 헤즈볼라를 겨냥한 꾸준한 디지털 공격은 헤즈볼라가 스마트폰 통신과 거리를 두고, 삐삐나 무전기 등을 우선순위로 사용하도록 유도하는 역할을 했다. 2024년 2월, 헤즈볼라 수장 하산 나스랄라(Hassan Nasrallah)는 이스라엘을 언급하며, “개인이 사용하는 기기가 이스라엘의 감시 공격 에이전트이다”라고 말했다.
상업용 스파이웨어 업계는 모바일 운영체제 내 일련의 취약점을 악용하여 스마트폰을 표적으로 삼은 전체 보안 침입이 가능하다는 사실을 입증했다. 스파이웨어 개발사와 기존 취약점 패치 작업에 따른 신규 운영체제 취약점 발견 반복 상황은 자원 집약도가 높은 과정이 되었다. 그러나 제조 직후 물리적 보안 침입 공격을 개시해야 하는 하드웨어 공급망 공격보다는 비교적 간단하면서 위험성이 낮은 편이다. 공격자에게는 스마트폰이나 노트북으로 공격 표적의 디지털 생활 전체를 감시하는 일이 기기를 폭발물로 이용하는 것보다 더 가치가 높은 일이 된다.
미국 국가안전보장국(NSA)에서 근무한 경력이 있는 보안 기업 헌터 스트래터지(Hunter Strategy) 연구 및 개발 부사장 제이크 윌리엄스(Jake Williams)는 “노트북 폭발 공격 보고가 없는 유일한 이유는 공격자가 노트북을 이용하여 손에 넣는 정보가 많기 때문이라고 본다. 또, 공격 표적으로 삼을 잠재적인 요인도 존재한다고 생각한다. 삐삐와 개인용 라디오는 노트북과 같은 범용 기기보다 헤즈볼라 운영자의 손에 들어갈 확률이 높은 편이다”라고 설명했다.
레바논에서 발생한 공격이 조만간 세계 각지에서 소비자용 전자 기기를 이용한 폭발 공격의 전조가 될 확률이 낮은 실질적인 이유도 몇 가지 제시할 수 있다. 주로 20세기에 설계된 휴대용 기기와 달리 최신 노트북과 스마트폰은 하드웨어 구성요소 밀도가 높은 상태에서 대다수 기능을 제공하고, 효율성을 최대화한 구성으로 배터리를 최대한 오래 사용하도록 지원한다.
소비자 기기를 주기적으로 분해하는 우드워드 교수는 최신 스마트폰 내부에 추가 장치를 설치할 공간이 매우 제한적이며, 제조 과정에는 구성요소를 다른 부품 위에 정확히 배치하는 로봇이 동원된다고 언급했다. X선으로도 최신 스마트폰 내부에 부품이 빽빽하게 밀집된 것을 확인할 수 있다.
우드워드 교수는 “스마트폰 내부를 보았을 때 강한 폭발력을 갖춘 기계를 완성할 방법은 다른 구성요소를 대체하는 것이 유일하다”라며, 배터리 구성요소와 폭발물 구성요소를 절반씩 탑재하는 것을 그 예시로 언급했다. 다만, “스마트폰의 구성요소를 대체한다면, 기능 자체가 저하될 수 있다”라며, 사용자가 기능 장애 조사를 하여 폭발 장치 삽입 사실을 발견할 수 있다고 덧붙였다.
반면, 85일 연속으로 배터리를 충전하지 않고 사용할 수 있을 정도로 내구성이 강한 삐삐와 연결된 삐삐는 대체 가능한 부품을 탑재했다. 내장형 기기 보안 기업 레드벌룬시큐리티(Red Balloon Security) 창립자 앵 쿠이(Ang Cui)는 헤즈볼라를 겨냥한 공격에 이용된 것으로 추정되는 삐삐 모델의 회로도를 조사한 뒤 와이어드의 문의에 폭발물을 설치할 여유 공간이 있다고 설명했다. 제조사 측은 폭발한 휴대용 무전기가 약 10년 전 제작된 모델이라고 밝혔다. 우드워드 교수는 삐삐 등 오래된 기술 제품을 최신 버전으로 재구성하고자 열면, 내부 구성요소 다수가 제조 과정과 프로세서 효율성 개선과 함께 압축된 것을 확인할 수 있다고 전했다.
스마트폰 제조 현장도 엄격한 보안 조처에 따라 운영된다. 특히, 애플의 아이폰과 구글의 플래그십 스마트폰인 픽셀 스마트폰 등 고가 기기 생산 현장에는 더 엄격한 보안 조처가 적용된다. 부분적으로는 제품 품질을 보장하기도 하면서 직원이 업계 기밀이나 시제품 정보를 외부로 유출하는 일을 막는 역할을 한다. 저가 안드로이드 스마트폰 모두 집중 감독 과정에 따라 생산되는 것은 아니지만, 대중의 기억에서 사라진 삐삐보다는 스마트폰 제조 과정을 몰래 손에 넣기 어렵다. 중국과 같이 스마트폰을 대거 생성하는 국가에서는 항상 국가 단위 백도어 삽입이 진행되었을 가능성이 있다. 그러나 국가 주도 배곧어 설치 과정은 국제 사회의 기기 감독을 피하기 위한 상세한 설명이 필요하다.
폭발한 스마트폰을 차증려면, 20세기 기술부터 검토해야 한다. 1996년, 팔레스타인 폭탄 제조업자 야하 아야쉬가 자신의 휴대전화에 걸려 온 전화 수신 당시 휴대 전화가 폭발하여 사망한 사례가 있었다. 당시 아야쉬가 사용한 구형 휴대전화는 뉴욕타임스가 주머니에 넣기 적합한 얇은 소형 기기라고 소개했으나 내부에 50g인 폭발물이 삽입된 것으로 확인됐다. 폭발물은 이스라엘 보안국이 설치했을 가능성이 있다. 아야쉬가 있던 곳의 상공을 비행하던 비행기에서 방출된 라디오 신호가 폭발을 촉진한 것으로 알려졌다. 하지만 헤즈볼라에서 발생한 삐삐, 휴대용 무전기 공격과 달리 아야쉬의 휴대전화는 아야쉬 개인을 단독으로 겨냥한 공격의 일부분으로 발생했을 확률이 높다.
이번 폭발물 공격이 모든 소비자의 스마트폰에 즉각 영향을 미치지 않더라도 하드웨어 공급망 공격의 공포가 널리 확산되는 원인이 되었다.
눌포인터(Null Pointer)라는 가명으로 정체를 밝혀줄 것을 요구한 장기간 하드웨어 해커이자 기술 조달 분야에서 경력을 쌓은 전문가는 “세계 곳곳의 허술한 조직 모두 최신 기기를 폭발물로 사용할 목적으로 확인할 것이다. 특히, 제조사에서 대량 주문한 기기를 살펴볼 것이다. 헤즈볼라를 겨냥한 폭발물 공격은 새로이 보고된 수법이자 그 누구도 인지하지 못했다는 점에서 그 여파가 클 것이다. 매우 독특한 공격이다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
Your Phone Won’t Be the Next Exploding Pager
저작권자 © WIRED Korea 무단전재 및 재배포 금지
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다