불량 데이터 패킷 통과하자 장비 스스로 멈춰 서며 국가 기간망 연쇄 붕괴
사고 후 10개월 지났지만, 글로벌 취약점 등록 전무해 타국 통신망 위협 여전해

[보안뉴스 김형근 기자] 지난해 룩셈부르크 전역의 유무선 통신과 긴급 구조망을 3시간 이상 마비시켰던 국가 통신망 대참사의 배후가 중국 통신장비업체 화웨이(Huawei)의 기업용 라우터 미공개 보안 결함이었던 것으로 확인됐다.


[출처: gettyimagesbank]

당초 룩셈부르크 정부는 이번 사태의 원인을 디도스(DDoS) 공격으로 발표했다. 그러나 정밀 조사 결과, 해커가 보낸 조작된 가짜 데이터 패킷이 화웨이 장비를 통과하는 과정에서 시스템이 무한 재부팅되는 치명적인 오류를 일으켜 발생한 것으로 밝혀졌다. 특정 대상을 노린 고의적인 해킹 침투가 아니라, 단순 불량 데이터 유입만으로 통신 장비가 스스로 오작동을 일으켜 국가망이 붕괴된 것이다.

룩셈부르크의 국영 통신사인 ‘포스트 룩셈부르크’는 해당 결함이 공식 문서에 등록조차 되지 않은 비공개 오작동 행동이었다고 설명했다. 심지어 사고 당시 화웨이 기술진조차 이 같은 수법을 처음 마주해 즉각적인 해결책을 내놓지 못하고 우왕좌왕했던 것으로 알려졌다.

더 심각한 문제는 국가 기간망을 마비시킨 대형 결함임에도 불구하고, 사고 발생 후 10개월이 지난 현재까지 전 세계 보안 업계가 취약점을 추적하고 방어할 수 있는 표준 식별 번호(CVE)가 단 한 건도 등록되지 않았다는 점이다. 화웨이는 취약점 정보를 투명하게 공개하는 대신, 자사 장비를 구매한 특정 고객용 비밀 포털에만 제한적으로 안내문을 올리는 폐쇄적인 대응 체계를 고수해 사건 은폐 의혹을 자초했다.

룩셈부르크 보안 당국은 사고 직후 화웨이 기술진과 긴급회의를 소집하고 유럽 전역의 정부 보안 부서에 위험 경보를 전달했다. 그러나 정작 글로벌 공용 데이터베이스의 취약점 등록은 누락시키는 구조적 허점을 드러냈다.

CVE를 발행하고 공식 경고를 발령할 최종적인 책임은 전적으로 제조사인 화웨이에 있으나, 회사 측은 언론과 보안 업계의 공식 해명 요구에 현재까지 묵묵부답으로 일관하고 있다. 특정 제조사의 불투명한 취약점 은폐 기조가 글로벌 통신 방어선 전체에 매우 심각한 연쇄 붕괴 리스크를 초래하고 있다고 포스트 룩셈부르크는 밝혔다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>