5일 전

서버 ‘스파이 칩’ 사태의 진정한 교훈과 남은 의문점

Ryan Faas | Computerworld
최근 블룸버그 비즈니스위크(Bloomberg Businessweek)는 보도가 큰 파장을 낳고 있다. 서버 하드웨어 업체인 슈퍼마이크로의 중국 협력업체가 슈퍼마이크로가 주문한 마더보드에 작은 칩을 심었으며, 이 제품이 30여 기관과 기업에 판매됐다는 것이 주요 내용이다.



올해 초 시가총액 1조 달러를 넘어선, 세계에서 가장 큰 두 기업인 애플과 아마존도 이 제품을 공급받은 고객 리스트에 포함돼 있었다. 블룸버그 비즈니스위크는 애플과 아마존은 칩을 발견한 후 당국에 알렸지만, 외부에는 공개하지 않았다고 지적했다. 보도를 보면, 애플은 FBI에 관련 문제를 경고했지만 의심이 드는 부품 등 관련 증거를 제공하는 것은 거부했다. 두 회사와 슈퍼마이크로는 블룸버그 비즈니스위크의 보도를 강력히 부인했다. 또한 미국과 영국의 정부기관도 애플과 아마존이 발표한 성명에 힘을 보태는 목소리를 냈다.

보도에 따르면, 애플은 데이터센터의 네트워크 트래픽과 펌웨어 문제를 확인하면서 이런 칩이 부착된 것을 발견했다. 이후 슈퍼마이크로부터의 하드웨어 추가 주문을 취소했으며(서버용 기기 3만대 규모), 조용히 칩이 심어진 것으로 의심되는 기존 시스템 7,000대를 데이터센터에서 제거했다.

필자는 칩이 심어졌다는 보도 내용, 이에 대한 애플의 반박을 확인할 ‘내부’ 정보를 갖고 있지 않다. 애플을 주로 다루는 몇몇 매체는 블룸버그 보도 내용에 의구심을 제기했지만, 컬트 오브 맥(Cult of Mac)은 애플에서 근무했던 엔지니어를 인용해 블룸버그 보도가 사실일 가능성도 있다고 지적했다.

필자는 블룸버그 보도가 정확하거나 또는 대체로 정확할 가능성이 크다고 본다. 애플이 칩이 심어진 하드웨어를 실제 발견한 후 글로벌 데이터센터 네트워크에 대한 시정 조처를 했으며, (애플은 부인하고 있지만) 슈퍼마이크로에 대한 추가 주문을 전량 취소했기 때문이다. 어쨌든 애플의 이러한 조치가 사실이라는 가정 하에, 필자는 애플의 개인 데이터 관리와 프라이버시 유지를 다시 한번 신뢰하게 됐다. 이유는 다음과 같다.

- 독자적으로 칩이 심어진 사실을 발견한 유일한 회사가 애플로 판단된다. 보도에 따르면 애플은 데이터센터에 문제의 제품을 설치한 즉시 칩이 있다는 것을 발견했다. 의심스러운 네트워크 활동(동작)과 펌웨어 문제를 찾아내는 것이다. 이에 애플은 네트워크 보안 전문가를 투입해 문제의 시스템을 특정했다. 이 부분이 특히 인상적이다. 애플이 그동안 주장해 온 것처럼 보안과 프라이버시를 중요하게 생각하고 있음을 잘 보여준다.

- 애플은 사이버 범죄자가 알아차리지 못하도록 하면서 문제 상황을 해결했다. 애플은 문제를 인지한 후 관련 하드웨어를 찾아 제거했다. 이 또한 애플의 노력을 보여준다. 특정 제품 관련해 보안에 중대한 취약점이 발생했음을 인지한 후 인력과 자본을 투입해 문제가 된 시스템을 교체했으며, 관련 공급업체(협력업체)와 관계를 끊었다. 매우 모범적인 거버넌스 및 보안 태도로, 애플이 보안을 얼마나 중시하는지 확인할 수 있게 됐다.

- 애플은 정부기관에 고객 데이터가 포함된 기술을 제공하지 않는 방법으로 고객 보안과 프라이버시를 보호했다. 보도에 따르면, 애플은 FBI에 하드웨어에 칩이 있다는 사실을 통보했지만 이외에 추가로 한 일은 거의 없다. 부정적으로, 또는 긍정적으로 보일 수 있는 조치다. 필자는 긍정적으로 판단한다. 애플이 프라이버시와 관련해 실제 실천하고 있음을 보여주기 때문이다. 그렇지만 놀랄 일은 아니다. 애플은 사용자 제품을 위험에 노출한 전력이 있는 기술을 차단하고, ‘엔드-투-엔드(완전한)’ 암호화를 적용하고, 보안 스토리지를 개발하는 방법으로 프라이버시 보호에 노력하고 있기 때문이다. 또한 백도어를 만들 경우 특정 당사자나 정부만 이를 감지하거나 액세스하도록 만들 방법은 없다는 기존 주장도 이번 사건으로 확인됐다.


한편 우리가 이번 사태로 확인한 내용을 토대로, 비즈니스 및 엔터프라이즈, 헬스케어(의료) 관련 공급업체를 중심으로 다른 클라우드 공급업체에 대한 우려를 제기한다. 모든 IT 리더가 사용하고 있거나, 사용을 고려 중인 클라우드 업체에 확인해야 할 사항이기도 하다.

- 다른 클라우드 업체가 이를 발견하지 못한 이유가 무엇일까? 당연한 이야기로 들리겠지만 반드시 물어야 할 매우 중요한 질문이다. 업체가 다른 회사로부터 장소나 공간을 임대해 사용하는 경우도 있을 것이다. 클라우드 기반 CRM 솔루션 기업이 AWS나 다른 유명 클라우드 업체를 통해 사용자 데이터를 관리하고, 솔루션을 운용하는 경우를 예로 들 수 있다. 이 때 해당 기업은 기반이 되는 하드웨어에 대한 지식이 부족하거나 거의 없을 가능성이 있다. 따라서 계약을 체결하기 전 이런 부분을 자세히 조사하는 것이 중요하다.

- 다른 업체도 애플처럼 선행적인 조처를 하기 위해 고급 (발전된) 네트워크 및 펌웨어 감지 기술을 도입해 활용할 수 있을까? 아마존 같이 직접 고객 소프트웨어를 관리하는 백본 공급업체와 계약을 체결하든, 다른 회사로부터 공간을 임대하는 업체를 이용하든 해당 회사나 하도급 업체가 데이터센터에 침입 또는 침투한 ‘문제 요소’를 감지하는 데 필요한 인프라나 사이버 보안 전문성을 갖추고 있는지 파악해야 한다.

- 생산이나 납품 과정에 침해를 당했을 가능성이 있는 ‘소스’가 공급한 하드웨어의 비율은 얼마나 될까? 블룸버그 보도를 통해 드러난 가장 큰 문제 중 하나는 ‘공급망’, 그리고 이런 공격이 초점을 맞추는 ‘아주 초기의 접점(지점)’이다. 에드워드 스노든을 통해 알려진 NSA 문서를 보면, NSA 또한 이런 하드웨어 기반 공격을 시도했다. 특정 업체에서 다른 업체로 하드웨어가 옮겨지는 것을 이용한 공격이다. 이런 종류의 공격을 하는 국가(또는 기업)가 중국과 미국 만은 아닐 것이다. 따라서 하드웨어의 소스(출처)를 확인하고 이런 하드웨어가 목적지까지 안전하게 출하되는지 검증하는 것이 좋다. 이런 과정의 조사만으로 조작이나 침해 사실이 직접적으로 드러날 확률이 높지는 않지만, 회사의 데이터를 호스팅할 하드웨어 공급사슬(공급망)을 파악하고, 더 확실한 보증을 요구하는 것이 현명하다.

- 데이터센터가 위치한 국가와 여기에 적용되는 규정은 무엇인가? 하드웨어나 소프트웨어 출처 관련 질문만으로는 부족하다. 이밖에도 물어야 할 중요한 질문이 있다. 데이터가 위치한 (지리적)장소는 어디인가? 정보가 저장된 데이터센터에 적용되는 준거법은 무엇인가? 정부가 이런 시설에 대한 액세스를 요구하기 얼마나 쉬운가? 소속 회사나 공급업체가 준수해야 하는 법적 요구사항과 보호책은 무엇인가? 이런 부분이 준수 및 충족되는가?

- 다른 업체가 인프라를 조사하기 위해 수립한 계획은 무엇인가? 계약한 업체가 영향이나 침해 여부를 평가하기 위해 하드웨어(소프트웨어 포함)에 대한 심층 ‘재고 조사’를 계획하고 있는가? 관련 정보를 고객에게 제공할 계획이 있는가(비밀 유지 및 비공개를 전제로 하는 경우를 포함)?

- 업체가 앞으로 하드웨어 ‘재고’ 조사나 감사 실시 계획이 있는가? 이런 ‘재고’ 조사가 데이터센터의 기본 운영 절차가 되는가? 그렇다면, 얼마나 자주 ‘재고’ 조사를 실시하는가? 데이터가 침해당한 경우, 관련 정보를 통지 또는 통보할 계획인가? 공급업체는 영향을 받지만 고객 회사에는 영향이 없는 것으로 보이는 문제에 대해서도 정보를 공개할 것인가?

- 향후 이런 종류의(또는 NSA 같은 형태의) 공격을 감지하거나, 피하기 위해 이행할 보안 SLA는 무엇인가? 궁극적으로 업체가 계약서에 포함할 SLA는 무엇인가? 업체가 약정이나 약속을 지키지 못했을 때 처벌이나 보상은 무엇인가? 또한 기존 계약서를 검토해 규정된 부분과 이의 충족 및 준수 여부를 확인해야 한다. 그리고 이번 사건을 고려해 계약서를 어떻게 수정할지 결정하는 것이 좋다.

앞으로 인지하지 못한 상태에서 영향을 받은 상용 클라우드 업체와 관련된 ‘히스테리’가 있겠지만, 이번 보도는 기업이 클라우드로 마이그레이션을 해야 하는 이유를 알려준다. 온프레미스(내부) 서버에서 이런 일이 일어났다고 가정해보자. 이런 상황을 다룰 전문성이나 리소스가 없어 희생양이 될 회사가 대부분일 것이다. ciokr@idg.co.kr 
5일 전

서버 ‘스파이 칩’ 사태의 진정한 교훈과 남은 의문점

Ryan Faas | Computerworld
최근 블룸버그 비즈니스위크(Bloomberg Businessweek)는 보도가 큰 파장을 낳고 있다. 서버 하드웨어 업체인 슈퍼마이크로의 중국 협력업체가 슈퍼마이크로가 주문한 마더보드에 작은 칩을 심었으며, 이 제품이 30여 기관과 기업에 판매됐다는 것이 주요 내용이다.



올해 초 시가총액 1조 달러를 넘어선, 세계에서 가장 큰 두 기업인 애플과 아마존도 이 제품을 공급받은 고객 리스트에 포함돼 있었다. 블룸버그 비즈니스위크는 애플과 아마존은 칩을 발견한 후 당국에 알렸지만, 외부에는 공개하지 않았다고 지적했다. 보도를 보면, 애플은 FBI에 관련 문제를 경고했지만 의심이 드는 부품 등 관련 증거를 제공하는 것은 거부했다. 두 회사와 슈퍼마이크로는 블룸버그 비즈니스위크의 보도를 강력히 부인했다. 또한 미국과 영국의 정부기관도 애플과 아마존이 발표한 성명에 힘을 보태는 목소리를 냈다.

보도에 따르면, 애플은 데이터센터의 네트워크 트래픽과 펌웨어 문제를 확인하면서 이런 칩이 부착된 것을 발견했다. 이후 슈퍼마이크로부터의 하드웨어 추가 주문을 취소했으며(서버용 기기 3만대 규모), 조용히 칩이 심어진 것으로 의심되는 기존 시스템 7,000대를 데이터센터에서 제거했다.

필자는 칩이 심어졌다는 보도 내용, 이에 대한 애플의 반박을 확인할 ‘내부’ 정보를 갖고 있지 않다. 애플을 주로 다루는 몇몇 매체는 블룸버그 보도 내용에 의구심을 제기했지만, 컬트 오브 맥(Cult of Mac)은 애플에서 근무했던 엔지니어를 인용해 블룸버그 보도가 사실일 가능성도 있다고 지적했다.

필자는 블룸버그 보도가 정확하거나 또는 대체로 정확할 가능성이 크다고 본다. 애플이 칩이 심어진 하드웨어를 실제 발견한 후 글로벌 데이터센터 네트워크에 대한 시정 조처를 했으며, (애플은 부인하고 있지만) 슈퍼마이크로에 대한 추가 주문을 전량 취소했기 때문이다. 어쨌든 애플의 이러한 조치가 사실이라는 가정 하에, 필자는 애플의 개인 데이터 관리와 프라이버시 유지를 다시 한번 신뢰하게 됐다. 이유는 다음과 같다.

- 독자적으로 칩이 심어진 사실을 발견한 유일한 회사가 애플로 판단된다. 보도에 따르면 애플은 데이터센터에 문제의 제품을 설치한 즉시 칩이 있다는 것을 발견했다. 의심스러운 네트워크 활동(동작)과 펌웨어 문제를 찾아내는 것이다. 이에 애플은 네트워크 보안 전문가를 투입해 문제의 시스템을 특정했다. 이 부분이 특히 인상적이다. 애플이 그동안 주장해 온 것처럼 보안과 프라이버시를 중요하게 생각하고 있음을 잘 보여준다.

- 애플은 사이버 범죄자가 알아차리지 못하도록 하면서 문제 상황을 해결했다. 애플은 문제를 인지한 후 관련 하드웨어를 찾아 제거했다. 이 또한 애플의 노력을 보여준다. 특정 제품 관련해 보안에 중대한 취약점이 발생했음을 인지한 후 인력과 자본을 투입해 문제가 된 시스템을 교체했으며, 관련 공급업체(협력업체)와 관계를 끊었다. 매우 모범적인 거버넌스 및 보안 태도로, 애플이 보안을 얼마나 중시하는지 확인할 수 있게 됐다.

- 애플은 정부기관에 고객 데이터가 포함된 기술을 제공하지 않는 방법으로 고객 보안과 프라이버시를 보호했다. 보도에 따르면, 애플은 FBI에 하드웨어에 칩이 있다는 사실을 통보했지만 이외에 추가로 한 일은 거의 없다. 부정적으로, 또는 긍정적으로 보일 수 있는 조치다. 필자는 긍정적으로 판단한다. 애플이 프라이버시와 관련해 실제 실천하고 있음을 보여주기 때문이다. 그렇지만 놀랄 일은 아니다. 애플은 사용자 제품을 위험에 노출한 전력이 있는 기술을 차단하고, ‘엔드-투-엔드(완전한)’ 암호화를 적용하고, 보안 스토리지를 개발하는 방법으로 프라이버시 보호에 노력하고 있기 때문이다. 또한 백도어를 만들 경우 특정 당사자나 정부만 이를 감지하거나 액세스하도록 만들 방법은 없다는 기존 주장도 이번 사건으로 확인됐다.


한편 우리가 이번 사태로 확인한 내용을 토대로, 비즈니스 및 엔터프라이즈, 헬스케어(의료) 관련 공급업체를 중심으로 다른 클라우드 공급업체에 대한 우려를 제기한다. 모든 IT 리더가 사용하고 있거나, 사용을 고려 중인 클라우드 업체에 확인해야 할 사항이기도 하다.

- 다른 클라우드 업체가 이를 발견하지 못한 이유가 무엇일까? 당연한 이야기로 들리겠지만 반드시 물어야 할 매우 중요한 질문이다. 업체가 다른 회사로부터 장소나 공간을 임대해 사용하는 경우도 있을 것이다. 클라우드 기반 CRM 솔루션 기업이 AWS나 다른 유명 클라우드 업체를 통해 사용자 데이터를 관리하고, 솔루션을 운용하는 경우를 예로 들 수 있다. 이 때 해당 기업은 기반이 되는 하드웨어에 대한 지식이 부족하거나 거의 없을 가능성이 있다. 따라서 계약을 체결하기 전 이런 부분을 자세히 조사하는 것이 중요하다.

- 다른 업체도 애플처럼 선행적인 조처를 하기 위해 고급 (발전된) 네트워크 및 펌웨어 감지 기술을 도입해 활용할 수 있을까? 아마존 같이 직접 고객 소프트웨어를 관리하는 백본 공급업체와 계약을 체결하든, 다른 회사로부터 공간을 임대하는 업체를 이용하든 해당 회사나 하도급 업체가 데이터센터에 침입 또는 침투한 ‘문제 요소’를 감지하는 데 필요한 인프라나 사이버 보안 전문성을 갖추고 있는지 파악해야 한다.

- 생산이나 납품 과정에 침해를 당했을 가능성이 있는 ‘소스’가 공급한 하드웨어의 비율은 얼마나 될까? 블룸버그 보도를 통해 드러난 가장 큰 문제 중 하나는 ‘공급망’, 그리고 이런 공격이 초점을 맞추는 ‘아주 초기의 접점(지점)’이다. 에드워드 스노든을 통해 알려진 NSA 문서를 보면, NSA 또한 이런 하드웨어 기반 공격을 시도했다. 특정 업체에서 다른 업체로 하드웨어가 옮겨지는 것을 이용한 공격이다. 이런 종류의 공격을 하는 국가(또는 기업)가 중국과 미국 만은 아닐 것이다. 따라서 하드웨어의 소스(출처)를 확인하고 이런 하드웨어가 목적지까지 안전하게 출하되는지 검증하는 것이 좋다. 이런 과정의 조사만으로 조작이나 침해 사실이 직접적으로 드러날 확률이 높지는 않지만, 회사의 데이터를 호스팅할 하드웨어 공급사슬(공급망)을 파악하고, 더 확실한 보증을 요구하는 것이 현명하다.

- 데이터센터가 위치한 국가와 여기에 적용되는 규정은 무엇인가? 하드웨어나 소프트웨어 출처 관련 질문만으로는 부족하다. 이밖에도 물어야 할 중요한 질문이 있다. 데이터가 위치한 (지리적)장소는 어디인가? 정보가 저장된 데이터센터에 적용되는 준거법은 무엇인가? 정부가 이런 시설에 대한 액세스를 요구하기 얼마나 쉬운가? 소속 회사나 공급업체가 준수해야 하는 법적 요구사항과 보호책은 무엇인가? 이런 부분이 준수 및 충족되는가?

- 다른 업체가 인프라를 조사하기 위해 수립한 계획은 무엇인가? 계약한 업체가 영향이나 침해 여부를 평가하기 위해 하드웨어(소프트웨어 포함)에 대한 심층 ‘재고 조사’를 계획하고 있는가? 관련 정보를 고객에게 제공할 계획이 있는가(비밀 유지 및 비공개를 전제로 하는 경우를 포함)?

- 업체가 앞으로 하드웨어 ‘재고’ 조사나 감사 실시 계획이 있는가? 이런 ‘재고’ 조사가 데이터센터의 기본 운영 절차가 되는가? 그렇다면, 얼마나 자주 ‘재고’ 조사를 실시하는가? 데이터가 침해당한 경우, 관련 정보를 통지 또는 통보할 계획인가? 공급업체는 영향을 받지만 고객 회사에는 영향이 없는 것으로 보이는 문제에 대해서도 정보를 공개할 것인가?

- 향후 이런 종류의(또는 NSA 같은 형태의) 공격을 감지하거나, 피하기 위해 이행할 보안 SLA는 무엇인가? 궁극적으로 업체가 계약서에 포함할 SLA는 무엇인가? 업체가 약정이나 약속을 지키지 못했을 때 처벌이나 보상은 무엇인가? 또한 기존 계약서를 검토해 규정된 부분과 이의 충족 및 준수 여부를 확인해야 한다. 그리고 이번 사건을 고려해 계약서를 어떻게 수정할지 결정하는 것이 좋다.

앞으로 인지하지 못한 상태에서 영향을 받은 상용 클라우드 업체와 관련된 ‘히스테리’가 있겠지만, 이번 보도는 기업이 클라우드로 마이그레이션을 해야 하는 이유를 알려준다. 온프레미스(내부) 서버에서 이런 일이 일어났다고 가정해보자. 이런 상황을 다룰 전문성이나 리소스가 없어 희생양이 될 회사가 대부분일 것이다. ciokr@idg.co.kr 
X