[데이터넷] 우크라이나와 전쟁중인 러시아의 한 일반인이 ‘우크라이나에 영광을(Slava Ukraini)’이라는 메시지카 스크롤되는 커튼을 달아 경찰에 체포됐다. 외신에 따르면 이 혐의자는 ‘새해 복 많이 받으세요’라는 인사를 표시하는 LED 커튼을 구입했는데, 우크라이나를 찬양하는 메시지가 표시된 것으로 알려진다.

이 혐의자 외에 다른 사람들도 비슷한 경험을 한 것으로 알려지는데, 러시아의 인기있는 DIY 블로그에 연결된 알렉스가이버(AlexGyver) 웹 포럼에 따르면 ‘FieryLedLamp’ 소프트웨어를 실행하는 LED 커튼 조명의 텍스트가 이 같이 바뀌는 것으로 알려졌다.

이와 관련, 텔레그램 채널에서는 ‘12월에 펌웨어를 다운로드하고 업데이트한 모든 사람이 선물을 받았다’는 메시지가 있었다. 코드는 암호화돼 있었으며, 러시아 거주자에게만 새해 첫 날 우크라이나를 찬양하는 메시지가 표시되도록 했다.

이 사고는 핵티비스트의 가벼운 장난으로 보이지만, 실제로는 오픈소스를 이용한 공급망 공격과 스마트홈 기기 해킹의 심각성을 알리는 것이라고 할 수 있다. 공격자는 오픈소스의 유명 패키지를 해킹하거나 해당 패키지와 유사한 이름으로 개발자와 사용자를 속여 악성코드가 삽입된 패키지를 다운받아 적용하게 한다. 오픈소스의 복잡한 종속성을 이용해 패키지에 종속된 라이브러리에 취약점을 교묘하게 숨기기도 한다.

악성 패키지는 기업·기관을 노리는 대규모 공급망 공격에 이용되기도 하지만, 가정에서 사용하는 스마트홈 기기를 감염시켜 사생활 정보를 유출할 수 있다 . 스마트홈 기기는 대부분 보안에 사용할 수 있는 리소스가 적으며, 오픈소스를 주로 이용하기 때문에 보안에 취약하다. 가정용 CCTV, 가정용 공유기 등 저렴하고 쉽게 구입해 사용할 수 있는 기기들은 특히 더 보안 위협이 높다.

기업이나 기관의 중요정보를 유출하는데에도 오픈소스를 이용한 공격이 가능하다. 주요 기관 내에 설치된 CCTV에 정보유출 악성코드를 심으면 기관의 내밀한 정보까지 훔쳐갈 수 있다. 최근 CCTV가 지능화·첨단화되고 있어 걸어가는 사람이 보고 있는 스마트폰 화면의 내용까지 인식할 수 있다. 지능형 CCTV를 통해 기밀정보를 훔치는 것도 불가능한 일은 아니다.

실제로 미국의 CCTV 제조업체가 해킹을 당해 이 제품을 사용하는 글로벌 자동차 제조사, IT 기업, 미국 공공시설 등이 큰 피해를 입은 일이 있다.

지난달 자유유럽라디오 조사에서는 러시아 정보기관이 수천대의 우크라이나 감시 카메라에 영상유출을 위한 코드를 삽입한 것으로 알려졌으며, 맨디언트는 해커들이 가짜 윈도우 설치 프로그램으로 우크라이나 정부를 해킹했다는 사실을 밝히기도 했다.

김선애 기자 다른기사 보기