Home > 전체기사
중국 칩에 뿔난 미국 의원들, 바삐 움직이기 시작
  |  입력 : 2018-10-15 15:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여러 의원들, 슈퍼마이크로 등에 서신 보내 추가 정보 요구
진실이 밝혀질 때까지 조직들은 공급망 꼼꼼하게 점검해야


[보안뉴스 문가용 기자] 중국에 있는 머더보드 공장에서 생산된 물품에 스파이 칩이 심겨 있었다는 블룸버그 보도가 나온 뒤 일부 미국 의원들이 조사에 나섰다. 중국의 해킹 부대를 운영하는 것으로 알려진 인민해방군이 실제로 공급망 공격을 실시한 것인지 제대로 파악하기 위해서다.

[이미지 = iclickart]


이 의원들의 이름은 다음과 같다.
1) 마크코 루비오(Marco Rubio), 공화당, 플로리다
2) 리차드 블루멘탈(Richard Bluementhal), 민주당, 코넥티컷
3) 존 튠(John Thune), 공화당, 사우스다코다
4) 트레이 가우디(Trey Gowdy), 공화당, 사우스캐롤리나
5) 데빈 눈즈(Devin Nunes), 공화당, 캘리포니아

이들은 전부 이번 사건에 연루된 기업들에 서신을 보내 추가적인 정보를 요구했다. 슈퍼마이크로(Supermicro), 아마존(Amazon), 애플(Apple) 등이 발표를 통해 자신들은 그러한 칩이나 침투 시도 흔적을 발견하지 못했다고 해당 의혹을 부인했기 때문이다.

반면 블룸버그의 보도에 의심을 갖고 정보 출처에 무결성에 대한 증명을 요구하는 목소리들도 나오고 있다. NSA의 사이버 보안 고문인 롭 조이스(Rob Joyce)는 이번 주 초 미국 상공회의소에서 열린 사이버 보안 행사에서 “우리가 그림자를 좇게 될 수도 있다는 것이 우려된다”고 표현했다.

이처럼 중국의 스파잉 행위에 대한 진실 공방이 치열한 가운데, 단 한 가지 확실한 건 공급망 공격이 한 국가 시스템에 치명적인 영향을 줄 수 있다는 것이다. 보안 전문 매체 SC미디어는 “공급망이 전 세계적으로 뻗쳐 있는 현대 사회에서, 공급망 공격은 매우 치명적으로 작용할 수 있으며, 그러므로 이제 모든 조직들은 자신의 공급망을 면밀히 검토해야 한다”고 강조했다.

보안 업체 멀웨어바이츠(Malwarebytes)의 수석 첩보 분석가인 아담 맥네일(Adam McNeil)은 “중국이 마이크로칩을 미국 서버에 심었다고 해도, 그걸 정확하게 검사한다는 건 불가능하다”고 자신의 블로그를 통해 주장했다. “이러한 류의 공격은 현대의 보안 솔루션으로는 탐지가 어렵습니다. 그리고 커스텀 하드웨어 솔루션을 사용한다고 하더라도, 하드웨어 단에서의 조작 여부를 판단하기가 힘듭니다. 생산 단계에서 이뤄진 조직적인 조작은 정확하게 발견하기가 어렵습니다. 그런 상황에서 사용될 수 있는 프로토콜이 아직 개발된 적이 없거든요.”

또한 맥네일은 의심 가는 시스템들을 물리적으로 점검하는 것도 불가능하다고 지적했다. “이번 사건으로 문제가 된 시스템을 하나하나 찾는 것도 그렇지만, 찾는다고 해도 누가 무슨 권한을 가지고 그 시스템을 열어볼 수 있겠습니까? 권한 문제를 해결한다고 해도, 해당 시스템을 잠시 중단시키고 열어보고 확인하는 것 자체가 매우 가치 높은 사업 행위를 중단시켜야 하는 것이기 때문에 굉장한 저항에 부딪히게 될 겁니다.”

또 다른 보안 업체 스택록스(StackRox)의 CTO인 알리 골샨(Ali Golshan)은 “이번 사건의 진실 공방에 모두가 참여할 게 아니라, 먼저는 자신의 공급망을 점검하는 것부터 착수해야 한다”고 강조했다. “중국에 생산 공장을 둔 회사도 많고, 그러한 회사들로부터 물건을 공급받는 회사는 더 많습니다. 또한 이 소식이 설사 거짓이었다고 하더라도, 누군가 여기서 힌트를 얻어 이러한 공격을 구현할 수도 있습니다. 해킹 공격이 끊임없이 일어나고 있다는 것 자체는 사실이니까요.”

보안 업체 애즈텍(AsTech)의 수석 보안 전략가인 네이던 웬즐러(Nathan Wenzler)는 “레노보가 IBM의 PC 사업부를 사들였을 때부터 이러한 사태를 모두가 우려했었다”며 “중국과 미국의 관계를 생각했을 때, 미국에서 사용되는 그 많은 컴퓨터를 중국에서 생산한다는 것 자체가 우스운 것 아니냐”고 말했다.

“중국의 해킹 공격은 어제 오늘 일이 아닙니다. 그런데도 중국 브랜드를 사용하고, 그러면서 보안을 이야기 한다는 건 앞뒤가 안 맞는 행동입니다. 이번 보도가 사실인지 아닌지는 더 캐봐야 알겠지만 충분히 가능성이 있다는 시나리오라는 것만큼은 분명합니다.”

3줄 요약
1. 미국 국회의원들, 중국 마이크로칩 사태를 좀 더 조사하기 위해 움직이기 시작.
2. 중국, 미국의 하드웨어에 칩 심었을까? 진실공방은 치열하게 진행 중.
3. “중국에 컴퓨터 생산 맡기고, 보안 얘기하는 건 우스운 일”

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)