조선일보

지난 5일 미국에서 대형 해킹 스캔들이 터졌다. 미국 블룸버그비즈니스지(紙)가 중국에서 만들어 애플·아마존 등 미국 IT회사에 납품한 데이터서버에 해킹을 통해 데이터를 빼내는 이른바 '스파이칩'이 숨겨져 있었다고 보도한 것이다. 이 매체는 스파이칩을 심은 주범으로 중국 인민해방군 산하 조직을 지목했다. 즉, 중국이 군을 동원해 미국의 첨단 기술을 빼내려 했다고 주장한 것이다. 미국과 중국의 무역 전쟁이 한창인 와중에 해킹 스캔들이 터지자 후폭풍이 거셌다. 미국 정부와 애플, 아마존 및 해당 데이터서버를 납품하는 수퍼마이크로사(社)는 의혹을 전면 부인했지만, 블룸버그는 "미국 정부 전·현직 관리 및 애플 관계자 등 17명에게 확인한 보도"라고 맞서고 있다. 보도가 사실일 경우 21세기 최대 해킹 스캔들로 비화할 가능성이 크기 때문에 미국 정부 역시 "아직 블룸버그의 보도가 사실이라고 할 증거는 없다"며 신중한 모습이다. 하지만 지난 10일 미국 하드웨어 보안업체인 세피오시스템스의 CEO가 공개적으로 "지난 8월 한 통신사로부터 서버 보안 문제로 점검 요청을 받고 조사한 결과 수퍼마이크로의 서버 중 하나에서 문제의 칩을 발견했다"고 밝히는 등 의혹이 사실이라는 정황이 속속 나오고 있다. 보안 전문가들은 그간 중국산 IT 제품에 대한 '스파이칩' 우려가 꾸준히 제기된 데다, 블룸버그 보도에 세부적인 사항까지 자세하게 들어 있는 만큼 중국의 해킹 시도가 사실일 가능성이 높은 상황이라고 보고 있다.

이번 스캔들이 미국에서 불붙었지만 한국으로 옮아 붙을 위험성이 크다는 지적도 나온다. 국내에서도 삼성·LG·포스코 같은 대기업이나 국가정보원 등 국가 안보와 관련된 여러 공공기관이 수퍼마이크로의 제품을 납품받았기 때문이다. 지난 10일 국회 국정감사에서도 이 문제가 이슈가 되면서 바른미래당 신용현 의원 등이 정부에 "수퍼마이크로사의 제품 국내 납품 현황을 파악해 대책을 마련해야 한다"고 압박했다.

삼성전자, 서울대…한국도 보안 비상

문제의 스파이칩은 일종의 '뒷문' 기능을 하는 것으로 추정된다. 보통 데이터서버는 권한을 가진 사용자만 접근할 수 있도록 설계되지만, 스파이칩이 부착된 경우 이 칩을 만든 해커가 서버에 자유자재로 접속할 수 있게 된다. 서버에 저장된 각종 기밀 자료를 빼갈 수 있을 뿐 아니라, 이 칩을 통해 서버에 바이러스를 유포해 기능을 마비시키는 등 사이버 테러를 가할 수도 있는 것으로 알려졌다.

수퍼마이크로는 대만계 미국인이 설립한 미국 회사로 전 세계 데이터서버 시장 점유율의 약 10%를 차지하는 1위 업체다. 본사는 미국 새너제이에 있지만 제품 생산 대부분은 중국에 있는 공장서 이뤄지고 있다. 블룸버그는 중국 인민해방군 요원들이 수퍼마이크로 본사 관계자라고 속이거나, 뇌물 매수 또는 공장을 폐쇄하겠다는 협박 등 다양한 방법으로 수퍼마이크로 공장에 침투해 스파이칩을 심었다고 보도했다. 이렇게 중국에서 만든 제품은 미국뿐 아니라 전 세계에 납품된다. 스파이칩을 심은 서버가 미국뿐 아니라 전 세계로 흘러갔을 가능성이 크다.

국내에도 수퍼마이크로의 제품을 들여오는 총판이 10여 개 있다. 이 총판들에 따르면 국내서 수퍼마이크로가 만든 서버를 구입한 기업이나 대학, 공공기관들은 수십 곳에 이른다. 삼성이나 LG, 포스코같이 수많은 특허가 있는 대기업이나 SK, KT 등 이동통신사, 국가정보원이나 서울지방경찰청, 기상청 등 정부 기관, 서울대·연세대·고려대 등 국내 주요 대학과 한국과학기술연구원(KIST), 한국항공우주연구원 등 국책 연구 기관 등이다. 수퍼마이크로 수입사 관계자는 "수퍼마이크로의 가장 큰 장점은 가성비"라며 "최근 몇 년간 국내 데이터 서버 수요가 크게 증가하면서 수퍼마이크로 제품 수입도 폭발적으로 늘어났다"고 말했다. 바른미래당 오신환 의원에 따르면 지난 5년간 국내에 수입된 수퍼마이크로 제품은 총 49.8t 규모로 금액으로는 578만달러(약 66억원)가량이다.

수퍼마이크로 제품을 납품받은 국내 정부기관과 기업들도 보안에 비상이 걸렸다. 정부는 이번 스캔들에 대한 진실 공방이 진행 중인 만큼 중국과의 외교 관계 등을 고려해 공개적으로 조사할 수는 없는 상황이지만, 조용히 내사에 착수한 것으로 알려졌다. 국정원 내부 사정에 밝은 한 관계자는 "국정원에서도 이번 블룸버그 보도가 나오기 전에 관련 첩보를 입수하고 국내 공공기관에 보급된 수퍼마이크로 서버 제품 현황 및 스파이칩 장착 여부 등을 조사하고 있는 것으로 안다"고 말했다. 본지가 수퍼마이크로 제품을 쓰고 있는 민간기업 총 12곳을 취재한 결과 모두 해당 제품의 보안 문제를 검사 중이었다. 국가 기간 통신망을 운영 중인 KT는 이번 스캔들이 터진 후 전수 조사를 통해 수퍼마이크로 제품을 총 57대 쓰고 있는 것으로 파악한 것으로 알려졌다. KT 관계자는 "문제의 수퍼마이크로 제품은 내부에서 연구개발용 등으로 쓰고 있는데 스캔들이 터진 후 조사해본 결과 현재로선 보안 문제가 없는 것으로 파악하고 있다"며 "혹시 파악하지 못한 문제가 있을 수 있기 때문에 계속 조사 중"이라고 말했다. 삼성전자 관계자는 "데이터서버에 어떤 제품을 쓰는지 여부는 대외비라서 밝힐 수 없다"라고만 밝혔다.

미국보다 못한 보안 기술 수준 높여야

문제는 이번 중국의 해킹이 사실로 확인되더라도, 현재 한국에서 이를 확인하거나 추적할 기술이 부족하단 점이다. 한국보다 IT 보안 기술이 훨씬 앞선 것으로 알려진 미국 정부도 이번 해킹을 사전에 막지 못한 것으로 보인다. 미국의 IT 전문매체 '컴퓨터월드'는 "블룸버그 보도에 따르면 오직 애플만이 중국의 스파이칩을 독자적인 기술로 발견한 것으로 보인다"고 지적했다. 수퍼마이크로가 애플뿐 아니라 미국의 수많은 회사에 납품했지만, 애플이 발견하기 전까지 다른 회사들은 물론 미국 정부도 이를 발견하지 못했다는 것이다. 미국 정부도 애플이 해당 문제를 발견한 후 FBI에 알려주면서 알게 된 것으로 알려졌다.

한국은 통신망 등 국가기간망이나 공공기관에서 쓰는 서버의 경우 국가정보원의 보안 적합성 인증 검사를 거치도록 하고 있다. 민간은 각 회사가 별도의 독자적인 보안 검사를 하고 과학기술정보통신부는 필요한 경우 기술적 자문에 응하는 정도에 그친다. 하지만 이번 블룸버그 보도가 불거지기 전에 국내에서 해당 문제를 먼저 인지하고 대응했다는 정황은 없다. 수년간 전혀 인지하지 못한 상태에서 중요한 기술들이 중국에 유출되었을 가능성이 큰 상황인 것이다. 게다가 사후적으로 문제의 칩들을 찾아내는 일도 쉽지 않다. 독자적으로 해킹칩을 발견해낼 기술이 없다면 결국 서버를 하나하나 해체해서 일일이 찾아낼 수밖에 없다. 하지만 이는 비용이 많이 들 뿐 아니라, 문제의 칩이 1~2mm 크기밖에 되지 않는 초소형이라 식별하기 어렵다.

이번 스캔들뿐 아니라 중국의 해킹 의혹이 그간 꾸준히 제기돼왔고 일부는 사실로 확인된 것도 있다. 서울대 관계자는 "몇 년 전에도 학내의 반도체 관련 연구 시설에서 중국으로 추정되는 해킹 시도가 있었다"며 "이번 같은 경우 스캔들이 사실이고 서울대에도 문제의 스파이칩이 심어진 서버가 들어왔다면 심각한 기술 유출이 우려된다"고 말했다. 국내 이동통신사에 장비를 납품하는 화웨이 같은 경우도 비슷한 우려가 꾸준히 제기되는 사례다. 미국은 아예 안보 문제를 이유로 화웨이의 5세대 통신 장비 수입을 금지하기까지 했고, 호주나 인도도 비슷한 이유로 화웨이 제품 수입을 금지하고 있다. 고려대 정보보호학부 김승주 교수는 "미국의 보안 검증 기술 수준이 상급이라면 우리 정부는 중급 정도밖에 되지 않는 게 현실"이라며 "우리가 미국처럼 중국의 통신장비 수입을 금지했다간 무역 보복을 당할 우려가 있기 때문에 결국 독자적인 보안 기술을 키울 수밖에 없다"고 말했다.

- Copyrights ⓒ 조선일보 & chosun.com, 무단 전재 및 재배포 금지 -