5일 전

블로그 | 블룸버그의 중국산 스파이 칩 보도를 의심하는 이유

Roger A. Grimes | CSO
지난주 해킹 칩을 탑재한 중국산 서버를 다룬 블룸버그 뉴스가 업계를 뒤흔들었다. 그러나 이 뉴스를 곧이곧대로 믿기 힘든 부분이 분명 있다.

-> "중국, 미 다수 기업 서버에 '스파이 칩' 설치"··· 블룸버그 보도 일파만파

최근 블룸버그는 중국이 비밀리에 삽입한 스파이 칩이 서버 마더보드에 탑재됐으며, 해당 서버가 여러 주요 기업에서 활용되고 있다고 보도하며 쌀알 크기의 해킹 칩 사진도 함께 게재했다. 그러나 여기에는 의심의 여지가 있으며, 이번 의혹은 긴 토론의 시작점으로 활용되어야 한다. 필자는 익명의 주장대신 증거에 기반한 사실로 이야기를 시작하려 한다.

실제로 중국 정부가 인터넷과 해커를 사용해 산업 기밀을 훔친 것에는 논란의 여지가 희박하다. 중국은 무언가를 배우고 싶을 때 그렇게 했다. 그리고 이번 블룸버그의 보도가 그릇됐다고 주장하고자 하는 것도 아니다. 그러나 이번 해킹 칩과 관련해서는 모호한 부분이 있다. 이유는 다음과 같다.

중국 디지털 스파이 역사
중국이 컴퓨터 칩을 사용해 정보를 빼가고 감시하고 있다는 이야기는 지난 수십 년 동안 회자됐다. 백악관이 비밀의 중국 스파이 칩을 컴퓨터에서 포착했으며, 정부 기관에게 중국산 컴퓨터를 사지 말도록 권고한다는 이야기도 있었다. 중국산 컴퓨터가 정부 계약 업체에 허용되지 않는 경우도 있었다.

필자 또한 직접 겪었다. 레노버 컴퓨터가 허용되지 않아 노트북을 차에 두어야 했던 경우가 있다. 어떤 경우에는 위험이 너무 심각한 것으로 간주돼 렌터차에 둘 수도 없었다. 이 경우 집이나 호텔에 노트북을 두고 가야 했다.

당시 접촉했던 몇몇은 백악관의 최고 기밀 문서를 본 지인이 있다며, 자신의 주장을 뒷받침했다. 그러나 수십 년 동안 필자는 이러한 문서를 실제로 본 신뢰할 만한 인물과 이야기한 바 있다. 늘 '친구나 지인'의 이야기였다.

중국이 조용히 감시하는 이유?
중국의 감시가 실제 발생했다면 진짜 증거는 어디 있는가? 백악관이나 정부 기관이 미국에서 판매되는 컴퓨터에 스파이 칩을 발견했다는 것을 숨기려는 이유는 무엇인가? 근거 없이 그저 믿도록 하는 것이 바람직한가?

관련 기업들은 주장을 부인 중
블룸버그 기사에 언급된 기업들은 보도를 부인하고 있다. 애플은 지금껏 그러한 일이 발생하지 않았을뿐 아니라 진실을 말하지 못하게 하는 정부의 명령에 따르지 않는다고 말하기까지 했다.

애플과 같은 기업이 거짓말할 이유가 무엇을까? 사실을 말하면 소비자들의 신뢰가 오히려 올라가지 않을까? 제발 그래달라!!!

참고로 많은 미국 기업, 국민들은 여러 적대적 국가, 기업에 의해 정보를 빼앗겨왔다. 매년 수십 억 건의 정보가 누출된다. 지난 10년 동안 개인 정보 누출을 겪지 않은 남성이나 여성(그리고 점점 더 많은 아동)은 없었다. 중국 스파이 칩 이야기가 사실일 경우, 이를 그대로 발표해도 회사의 신뢰가 무너질 일은 드물 것이다. 이미 대다수가 이 내러티브를 수용하고 있기 때문이다.

대부분의 칩은 외국산
스파이 칩 의혹에서 넌센스 중 하나는 거의 모든 컴퓨터 칩이 미국 이외의 지역, 특히 아시아 지역에서 제조되고 있다는 사실이다. 이러한 상황에서 레노버 노트북은 가져올 수 없지만, 델 노트북을 가져올 수 있다는 게 타당할까?

공급망 위협에 대해 걱정하고 있다면, 걱정해야 할 대상은 작은 스파이 칩만이 아니다. 이미 외국산 칩이 담기지 않은 전산 장치가 없다. 보안 구멍이나 백도어와 관련해 모든 칩을 검사하는 미국 정부 기관은 없다.

적어도 필자에게는 수백 개의 컴퓨터 칩 중 하나의 의도적인 취약점이 백도어를 넣을 수 있는데, 별도의 해킹 칩을 만들어 삽입한다는 생각은 그리 현실적으로 보이지 않는다. 새로운 칩을 만들기보다는 잡초 속에 숨기는게 훨씬 쉬울 것이기 때문이다.

미국의 선례
필자는 스파이 칩이나 소프트웨어 백도어를 자국 생산 컴퓨터 장비에 삽입했던 한 국가를 알고 있다. 그렇다. 바로 미국이다. 미국의 행동을 언급하지 않고 이번 의혹을 논의하는 태도는 그래서 위선적일 수밖에 없다.

미국의 정보 기관 및 법 집행 기관은 일상적으로 외국 기관으로 향하는 암호화 하드웨어를 조작해 세계 최고의 암호화를 사용하여 디지털 통신을 보호한다고 생각하는 그룹을 감시할 수 있다. 이 유형의 사이버 전쟁은 미국(그리고 동맹국)이 중동 테러리스트와 남미 마약 카르텔을 상대로 사용했던 바 있다. 세계 최대 휴대 전화 SIM 카드 생산 업체인 젬알토(Gemalto)에 침입해 전 세계 휴대폰에서 사용되는 기본 암호화 코드를 훔친 사례도 있다.

이 밖에 NSA(National Security Agency)는 시스코 장비에 감시 프로그램 및 백도어를 이식했었다. 시스코는 해당 행위에 개입하지도 알지도 못했다고 말하며, 필자는 그 진술이 사실일 것이라고 믿는다. 미국 정부가 자국민에 대해 스파이 활동을 하기 위해 자체 권장 및 필수 암호화(예 : DES 및 Dual_EC_DRBG)를 의도적으로 약화시킨 사례도 빼놓을 수 없다.

특히 역설적인 점은 미국 정부가 전 세계에 중국산 전화기, 특히 화웨이와 ZTE가 만든 전화기를 사용하지 말 것을 경고하는 와중에, NSA가 화웨이 및 고객사에 대한 스파이 행위를 목표로 화웨이 서버에 백도어 소프트웨어를 이식했었다는 것이다.

자사 제품에 스파이 칩을 탑재한다면 자살 행위
NSA가 백도어를 시스코 네트워크 장비에 이식했다고 발표됐을 때 시스코는 NSA를 비난했다. 그럴 수밖에 없었다. 시스코는 글로벌 공급 업체이며 매출의 대부분을 외국 회사에 의존하기 때문이다.

만약 시스코가 NSA 계획을 알고 있다고 판단되면 시스코의 해외 평판이 크게 손상될 것이다. 그리고 이로 인해 일부 외국 고객이 시스코 제품을 구입하지 않을 것이 분명하다. 이러한 평판을 복구하기 위해서는 수십 년이 걸릴 수도 있다. 모든 기업이 피해야 하는 상황이다.

중국도 마찬가지다. 중국 기업이 미국에 장비를 설치 한 것으로 밝혀지면 중국 경제가 황폐해질 것이다. 세계는 이 국가의 칩을 구매하기를 멈출 것이며 금융 조직은 특히 그럴 것이다.

하드웨어 칩을 사용하는 것을 엿보는 행위는 매우 어리석은 일이다. 왜냐하면 그것은 쉽게 발견 될 수 있고 실제적인 증거가 되기 때문이다. 중국 해커들은 이러한 위험을 무릅쓰지 않고 정보를 빼낼 수 있다.

* Roger A. Grimes는 2005년부터 집필해온 보안 칼럼니스트다. ciok@idg.co.kr 
5일 전

블로그 | 블룸버그의 중국산 스파이 칩 보도를 의심하는 이유

Roger A. Grimes | CSO
지난주 해킹 칩을 탑재한 중국산 서버를 다룬 블룸버그 뉴스가 업계를 뒤흔들었다. 그러나 이 뉴스를 곧이곧대로 믿기 힘든 부분이 분명 있다.

-> "중국, 미 다수 기업 서버에 '스파이 칩' 설치"··· 블룸버그 보도 일파만파

최근 블룸버그는 중국이 비밀리에 삽입한 스파이 칩이 서버 마더보드에 탑재됐으며, 해당 서버가 여러 주요 기업에서 활용되고 있다고 보도하며 쌀알 크기의 해킹 칩 사진도 함께 게재했다. 그러나 여기에는 의심의 여지가 있으며, 이번 의혹은 긴 토론의 시작점으로 활용되어야 한다. 필자는 익명의 주장대신 증거에 기반한 사실로 이야기를 시작하려 한다.

실제로 중국 정부가 인터넷과 해커를 사용해 산업 기밀을 훔친 것에는 논란의 여지가 희박하다. 중국은 무언가를 배우고 싶을 때 그렇게 했다. 그리고 이번 블룸버그의 보도가 그릇됐다고 주장하고자 하는 것도 아니다. 그러나 이번 해킹 칩과 관련해서는 모호한 부분이 있다. 이유는 다음과 같다.

중국 디지털 스파이 역사
중국이 컴퓨터 칩을 사용해 정보를 빼가고 감시하고 있다는 이야기는 지난 수십 년 동안 회자됐다. 백악관이 비밀의 중국 스파이 칩을 컴퓨터에서 포착했으며, 정부 기관에게 중국산 컴퓨터를 사지 말도록 권고한다는 이야기도 있었다. 중국산 컴퓨터가 정부 계약 업체에 허용되지 않는 경우도 있었다.

필자 또한 직접 겪었다. 레노버 컴퓨터가 허용되지 않아 노트북을 차에 두어야 했던 경우가 있다. 어떤 경우에는 위험이 너무 심각한 것으로 간주돼 렌터차에 둘 수도 없었다. 이 경우 집이나 호텔에 노트북을 두고 가야 했다.

당시 접촉했던 몇몇은 백악관의 최고 기밀 문서를 본 지인이 있다며, 자신의 주장을 뒷받침했다. 그러나 수십 년 동안 필자는 이러한 문서를 실제로 본 신뢰할 만한 인물과 이야기한 바 있다. 늘 '친구나 지인'의 이야기였다.

중국이 조용히 감시하는 이유?
중국의 감시가 실제 발생했다면 진짜 증거는 어디 있는가? 백악관이나 정부 기관이 미국에서 판매되는 컴퓨터에 스파이 칩을 발견했다는 것을 숨기려는 이유는 무엇인가? 근거 없이 그저 믿도록 하는 것이 바람직한가?

관련 기업들은 주장을 부인 중
블룸버그 기사에 언급된 기업들은 보도를 부인하고 있다. 애플은 지금껏 그러한 일이 발생하지 않았을뿐 아니라 진실을 말하지 못하게 하는 정부의 명령에 따르지 않는다고 말하기까지 했다.

애플과 같은 기업이 거짓말할 이유가 무엇을까? 사실을 말하면 소비자들의 신뢰가 오히려 올라가지 않을까? 제발 그래달라!!!

참고로 많은 미국 기업, 국민들은 여러 적대적 국가, 기업에 의해 정보를 빼앗겨왔다. 매년 수십 억 건의 정보가 누출된다. 지난 10년 동안 개인 정보 누출을 겪지 않은 남성이나 여성(그리고 점점 더 많은 아동)은 없었다. 중국 스파이 칩 이야기가 사실일 경우, 이를 그대로 발표해도 회사의 신뢰가 무너질 일은 드물 것이다. 이미 대다수가 이 내러티브를 수용하고 있기 때문이다.

대부분의 칩은 외국산
스파이 칩 의혹에서 넌센스 중 하나는 거의 모든 컴퓨터 칩이 미국 이외의 지역, 특히 아시아 지역에서 제조되고 있다는 사실이다. 이러한 상황에서 레노버 노트북은 가져올 수 없지만, 델 노트북을 가져올 수 있다는 게 타당할까?

공급망 위협에 대해 걱정하고 있다면, 걱정해야 할 대상은 작은 스파이 칩만이 아니다. 이미 외국산 칩이 담기지 않은 전산 장치가 없다. 보안 구멍이나 백도어와 관련해 모든 칩을 검사하는 미국 정부 기관은 없다.

적어도 필자에게는 수백 개의 컴퓨터 칩 중 하나의 의도적인 취약점이 백도어를 넣을 수 있는데, 별도의 해킹 칩을 만들어 삽입한다는 생각은 그리 현실적으로 보이지 않는다. 새로운 칩을 만들기보다는 잡초 속에 숨기는게 훨씬 쉬울 것이기 때문이다.

미국의 선례
필자는 스파이 칩이나 소프트웨어 백도어를 자국 생산 컴퓨터 장비에 삽입했던 한 국가를 알고 있다. 그렇다. 바로 미국이다. 미국의 행동을 언급하지 않고 이번 의혹을 논의하는 태도는 그래서 위선적일 수밖에 없다.

미국의 정보 기관 및 법 집행 기관은 일상적으로 외국 기관으로 향하는 암호화 하드웨어를 조작해 세계 최고의 암호화를 사용하여 디지털 통신을 보호한다고 생각하는 그룹을 감시할 수 있다. 이 유형의 사이버 전쟁은 미국(그리고 동맹국)이 중동 테러리스트와 남미 마약 카르텔을 상대로 사용했던 바 있다. 세계 최대 휴대 전화 SIM 카드 생산 업체인 젬알토(Gemalto)에 침입해 전 세계 휴대폰에서 사용되는 기본 암호화 코드를 훔친 사례도 있다.

이 밖에 NSA(National Security Agency)는 시스코 장비에 감시 프로그램 및 백도어를 이식했었다. 시스코는 해당 행위에 개입하지도 알지도 못했다고 말하며, 필자는 그 진술이 사실일 것이라고 믿는다. 미국 정부가 자국민에 대해 스파이 활동을 하기 위해 자체 권장 및 필수 암호화(예 : DES 및 Dual_EC_DRBG)를 의도적으로 약화시킨 사례도 빼놓을 수 없다.

특히 역설적인 점은 미국 정부가 전 세계에 중국산 전화기, 특히 화웨이와 ZTE가 만든 전화기를 사용하지 말 것을 경고하는 와중에, NSA가 화웨이 및 고객사에 대한 스파이 행위를 목표로 화웨이 서버에 백도어 소프트웨어를 이식했었다는 것이다.

자사 제품에 스파이 칩을 탑재한다면 자살 행위
NSA가 백도어를 시스코 네트워크 장비에 이식했다고 발표됐을 때 시스코는 NSA를 비난했다. 그럴 수밖에 없었다. 시스코는 글로벌 공급 업체이며 매출의 대부분을 외국 회사에 의존하기 때문이다.

만약 시스코가 NSA 계획을 알고 있다고 판단되면 시스코의 해외 평판이 크게 손상될 것이다. 그리고 이로 인해 일부 외국 고객이 시스코 제품을 구입하지 않을 것이 분명하다. 이러한 평판을 복구하기 위해서는 수십 년이 걸릴 수도 있다. 모든 기업이 피해야 하는 상황이다.

중국도 마찬가지다. 중국 기업이 미국에 장비를 설치 한 것으로 밝혀지면 중국 경제가 황폐해질 것이다. 세계는 이 국가의 칩을 구매하기를 멈출 것이며 금융 조직은 특히 그럴 것이다.

하드웨어 칩을 사용하는 것을 엿보는 행위는 매우 어리석은 일이다. 왜냐하면 그것은 쉽게 발견 될 수 있고 실제적인 증거가 되기 때문이다. 중국 해커들은 이러한 위험을 무릅쓰지 않고 정보를 빼낼 수 있다.

* Roger A. Grimes는 2005년부터 집필해온 보안 칼럼니스트다. ciok@idg.co.kr 
X