스파이칩이라는 중국발 IT 공포

올해는 시작하자마자 IT(Information Technology, 정보기술) 관련의 대형사고가 터지는 등, IT 관련의 중대 위기가 그 어느 때보다도 높아져 있어요. 1월 초에 전세계에 알려진 멜트다운 및 스펙터 문제도 그렇고, 게다가 중국 IT업체의 수상한 움직임은 이미 백도어(Backdoor)라는 통칭으로 불리는, 시스템이 설정해 놓은 권한을 넘어 임의의 영역에 침투할 수 있게끔 만들어 둔 보안구멍이 속속 발견되면서 의혹 수준을 넘어, 무서운 현실로 구현되어 있어요.

그런데, 문제는 이러한 중국발 IT 공포가 소프트웨어 수준에만 머무르는 것도 아니며, 중국 본토에 본부를 두는 기업에만 국한된 것도 아니기에 더욱 문제가 될 수밖에 없다는 것이죠.

2018년 10월 4일, 미국의 경제뉴스그룹 블룸버그통신에 게재된 기사를 참조해 보시기를 바래요.

아주 간단하게 말해서, 시스템이 설정해 놓은 권한은 문제의 중국산 스파이칩으로 얼마든지 무시될 수 있고, 그 결과는 지켜져야 할 정보가 어디론가 몰래 복사되거나 삭제되거나 변질되거나 한다든지, 실행되어서는 안될 명령이 내려지거나 실행되어야 할 명령이 제대로 수행되지 않거나 하는 등의 문제로 나타난다는 거예요. 기존의 해킹이나 랜섬웨어도 충분히 위협적인데, 이게 소프트웨어 차원도 아니고 하드웨어 차원이라면 그 하드웨어를 교체하든지 해야 문제가 해결될텐데, 신규 도입한 하드웨어에도 역시 스파이칩이 있다면 백약이 무효인 것은 당연한 일. 게다가 그 스파이칩이 어디에 있는지는 그것들을 설치한 자가 아니면 모를테니 무엇이 스파이칩인지 파악하는 것 자체부터 막막한 일이 되어요. 이러기에 범행을 저지르는 쪽에서는 일단 설계부서나 생산라인, 유지보수계통 등에 침투할 수만 있다면 그 다음에는 저지르는 쪽에서는 천군만마를 얻은 것보다 더욱 저렴하고 효과적인 정보전을 수행할 수 있고, 당하는 쪽에서는 무엇에 당하는지도 모르는 채 막대한 피해를 입고, 그 피해에서 벗어나오려 해도 속수무책이거나 엄청난 희생을 강요당하게 되는 완벽한 비대칭 상황에 놓이게 되어요.

위의 기사에서 특히 문제가 된 기업은 미국의 메인보드 생산업체인 수퍼마이크로(Supermicro). 개인고객용 PC는 만들지 않아서 대중적인 인지도는 낮지만, 법인고객용 제품에서는 이야기가 다른 대장주 격의 기업. 주로 서버, 워크스테이션용 메인보드 및 완성품 등을 생산하고 있으며 세계 글로벌 기업들이 고객사이기도 해요. 이 기업은 대만계 미국인이 미국에서 설립한 기업이고 캘리포니아주에 본사를 두고 있지만, 생산거점은 중국 내에 있으며, 어떤 중국 소재의 협력업체가 중공군 측의 관여로 문제의 스파이칩을 탑재한 부품을 수퍼마이크로 측에 납품했다고도 추정되고 있어요. 이것으로 중국 내에 생산설비가 있거나 중국 소재의 기업의 생산품을 쓸 경우 중국의 공공기관의 영향에서 자유로울 수가 없으며 그 대상이 중국의 기업이 아니라도, 방법이 어떠한 형태를 띠고 있든 그 영향은 강요될 수 있다는 게 더 이상 가설의 영역에만 머물러 있지는 않으니 그게 문제라면 문제랄까요. 게다가 서버라는 게 1대 가격조차도 아주 비싼데, 기업이나 연구소 등은 구매단위가 4자리, 5자리 등일 정도로 대량이니 문제를 찾기조차 어려운데다 설령 있다고 하더라도 대응 자체에 한계가 있어요. 가령 구매해서 가동중인 서버가 5만대 있다고 하죠. 이것들을 빠짐없이 전수조사한다는 게 얼마나 가능할까요? 필요한 인원, 기술, 비용, 일간, 주간 및 월간 공정률 등을 구체적으로 산출하지 않더라도 얼마나 어려운지는 충분히 짐작이 가능해요. 게다가 문제의 전수조사를 위해서 영업을 하지 않을 수도 없는 것이다 보니 진퇴양난이기도 해요.

문제의 스파이칩의 영향을 받았을 것으로 추정되는 기업들은 주요 은행, 군수회사, IT기업 등 다양하고, 만일 실제로 피해를 입는다면 그 피해의 범위가 얼마나 될지는 상상조차 하기 싫어질 정도로 커지게 되어요. 어쩌면 인류가 축적해 놓은 현대문명의 자산의 상당부분이 부정될 수 있고 이것으로 말미암은 피해를 딛고 새로이 일어설 때까지 얼마나 많은 시간과 노력과 비용을 들여야 할지도 짐작이 되지 않아요.

약간 더 구체적으로 논해 본다면 이렇게 되어요.

세계적으로 많이 알려진 컴퓨터 제조회사는 미국의 HP, 델 및 애플 등, 대만의 에이수스, 기가바이트, 에이서, 폭스콘, 콴타 등, 중국의 레노버, 하이센스 등, 일본의 도시바, 파나소닉 및 후지쯔 등, 이탈리아의 올리베티 등 상당히 많은데, 이 기업들이 지금까지의 기술, 생산라인 및 제품군을 완전히 포기하고 단기간에 새로운 것을 만들 수 있을 수 있을까요? 아니면 기존의 업체를 완전히 배제하고 새로운 기업들을 참가시킨다면 얼마나 시장진입이 가능할까요? 참고로 2018년 2분기에 전세계에 팔린 개인용 컴퓨터는 6200만대를 넘고 있어요(참조 - PC월드 2018년 7월 12일 기사, 영어). 설령 하드웨어를 완전히 새로 생산할 수 있다 하더라도 기존의 축적된 정보 및 정보망 체계 등은 어떻게 할까를 생각하면 답이 나오려 해도 막혀 버릴 수밖에 없어요. 현대문명의 자산이 부정당한다는 말이 과언이 아니겠죠.

이 문제는 사실 IT를 비롯한 세계의 각 방면은 물론이고 중국 스스로에게도 치명타가 될 수 있어요.

분명 중국이 얻는 것은 많을 거예요. 여러 나라의 기밀정보를 해킹하여 뛰어난 문물을 무단복제할 수도 있고 기밀정보를 취득하여 위에서 내려다보는 외교전략을 구사하기도 쉬워지고, 그래서 세계를 쥐고 흔들 수 있는 여지도 많아지겠죠. 하지만 그것으로 끝날지는 의문이 있어요. 세계 각국은 바보가 아니고, 그렇게 독선적으로 군림하려 드는 국가에 대해서는 타국이 단독으로든 타국과의 동맹을 결성해서든 그 국가를 약화시키려 드는 경향이 역사 속에 있어 왔으니까요. 그렇게 나폴레옹 시대의 프랑스, 독일, 오스트리아-헝가리 등을 필두로 한 센트럴 파워, 독일-이탈리아-일본이 결성한 추축국, 20세기 후반의 소련 등이 어떤 길을 걸어왔는지는 굳이 언급하지 않아도 되겠죠. 결국 산업을 주도하는 세계 각국은 신뢰할 수 없는 나라에 생산설비를 세우려 하지 않고 완성품의 거래를 위주로 국제경제의 새판을 짜려 들겠죠. 이 과정에서 세계의 공장을 자처하는 중국의 지위가 얼마나 지켜질 수 있을까요?

스파이칩이라는 중국발 IT 공포, 이것의 영향과, 근본적인 대책이 사실상 없는 불안한 상황.

이 놀라운 사건은 많은 점을 시사하고 있어요.

우리의 일상은 언제든지 박살날 수 있는 정도로 타협된 것인가?

영역해서 다시 써 볼께요. Are our everyday lives compromised on the verge of fragility?