이 보안 사건의 주체는 크래커도, 사이버 범죄 집단도 아닌 세계 최대의 PC 제조업체인 레노버였다. 레노버의 노트북에 슈퍼피시라는 애드웨어가 포함된 것으로 드러났는데, 이것이 엄청난 파장의 시발점이 됐다.
레노버 노트북, 슈퍼피시 애드웨어 탑재 논란
'슈퍼피시(Superfish)의 비주얼 디스커버리'라는 이름의 이 애드웨어는 사용자 동의 없이 구글 크롬 및 인터넷 익스플로러 웹 검색 상에 서드파티 광고를 노출시킨다.
이 사건의 발단은 지난해 9월부터 레노버가 자사의 제품에 애드웨어를 사전 설치하면서부터다. 이후 레노버 포럼에는 애드웨어에 대한 불평글이 게재되었고 불평이 많아지자 레노버 소셜 미디어 프로그램 매니저 마크 홉킨스가 진화에 나섰다.
홉킨스는 "슈퍼피시는 협력업체인 슈퍼피시 사의 제품으로 사용자가 제품을 손쉽게 찾을 수 있도록 시각적 도움을 제공할 수 있는 기술이며, 레노버 소비자 제품군에만 탑재됐다"고 설명했다.
그러나 이 애드웨어가 보안상의 문제로 부각된 것은 해커인 마크 로저가 '중간자 공격' 및 프라이버시에 대한 문제를 제기함에 따라 레노버는 지난 1월 말 소비자 제품군에서 이 애드웨어를 제거하기에 이르렀다.
이에 대해 홉킨스는 "일단 슈퍼피시를 제품에서 제거했다. 보안 등의 이슈에 대한 대처 능력을 강화할 예정이다. 이미 시장에 출하된 제품에 대해서는 자동 업데이트 픽스를 제공하도록 권고했다"고 전했다.
레노버 측은 또 제어판에 들어가 프로그램 삭제를 선택한 후 비주얼 디스커버리를 선택해 삭제하면 된다고 덧붙였다.
이 애드웨어가 본격적으로 전세계적인 이슈로 떠오른 것은 미국 보안업체인 에라타 시큐리티가 해당 애드웨어의 취약점을 이용해 공격자가 SSL 암호화 통신을 중간에 가로채는, 이른바 중간자 공격(Man in the Middle)을 통해 개인정보 및 금융정보에 접근하는 해킹을 시연하면서부터다.
에라타 시큐리티 측은 슈퍼피시 비주얼 디스커버리에 의해 생성된 접속을 보호하기 위한 보안 수준이 매우 취약하고 구식이었다. 보안 전문가들은 서명 인증에 사용된 보안 키를 몇 분 만에 깰 수 있는데, 이는 공격자들도 그만큼 빨리 해킹을 할 수 있다는 의미라고 설명했다.
에라타 시큐리티의 시연은 사용자가 레노버 노트북을 공공 장소에서 사용하고, 보안이 구현된 웹 사이트를 방문한다면, 사용자의 이름과 패스워드가 사용자가 알 수 없는 상태에서 유출되는 것을 보여준 것이다. 더구나 사용자는 범죄자가 사용자의 이메일과 온라인 뱅킹, 또는 소셜 미디어 계정을 장악할 때까지 이런 사실을 알지 못한다.
레노버는 2014년 9월부터 12월 사이에 출하된 노트북 제품에는 슈퍼피시 비주얼 디스커버리가 설치되어 있다고 밝혔다. 수천만 대의 노트북이 이 애드웨어를 사전 탑재한 채로 출하되었다는 의미다. 슈퍼피가 사전 설치된 노트북은 다음과 같다.
- G 시리즈 : G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
- U 시리즈 : U330P, U430P, U330Touch, U430Touch, U530Touch
- Y 시리즈 : Y430P, Y40-70, Y50-70
- Z 시리즈 : Z40-75, Z50-75, Z40-70, Z50-70
- S 시리즈 : S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
- 플렉스 시리즈 : Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
- MIIX 시리즈 : MIIX2-8, MIIX2-10, MIIX2-11
- 요가 시리즈 : YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
- E 시리즈 : E10-30
국내에서도 해당 기종의 노트북이 판매됐지만, 점유율이 그리 높지 않으며, 기업용 제품이나 씽크패드 기종은 해당되지 않는다는 것이 한국 레노버 측의 답변이었다. 자신의 노트북이 해당되는 지를 파악하기 위해서는 다음 사이트를 방문해 설치 여부를 확인할 수 있다.
https://filippo.io/Badfish/
만약 자신의 노트북이 해당된다면 다음과 같은 삭제 방법이나 대처 방안을 찾을 수 있다.
FAQ : 레노버 노트북에서 슈퍼피시를 찾아 제거하는 방법
문제는 이것으로 끝이 아니었다. 미국 IT 전문지 아스테크니카는 레노버가 고객 노트북에 사전 탑재한 슈퍼피시처럼 SSL 암호화 트래픽을 중간에서 가로채는 프로그램을 10개나 더 확인했다고 보도한 것이다.
이 가운데 한 프로그램인 Trojan.Nurjax은 지난해 12월 시만텍이 트로이 목마로 분류한 악성코드였다.
이 프로그램은 슈퍼피시를 만든 이스라엘 소프트웨어 개발업체인 코모디아가 만든 것으로 슈퍼피시와 마찬가지로 사용자 컴퓨터에 임의로 루트 인증서(root CA)를 심어두고 이걸 이용해 중간자 공격이 가능했다. 슈퍼피시와 같이 SSL 암호화 트래픽을 들여다 보는 코모디아 프로그램은 다음과 같다.
- Trojan.Nurjax
- CartCrunch Israel LTD
- WiredTools LTD
- Say Media Group LTD
- Over the Rainbow Tech
- System Alerts
- ArcadeGiant
- Objectify Media Inc
- Catalytix Web Services
- OptimizerMonitor
물론 루트 인증서를 만들어 SSL 암호화 트래픽을 보는 것은 나쁜 짓이 아니다. 바이러스 백신과 같은 보안 프로그램도 같은 작업을 한다. 문제는 코모디아가 똑같은 루트 인증서를 여러번 썼다는 점이다.
에라타시큐리티 CEO 로버트 그레이엄은 "슈퍼피시 루트 인증서를 암호화한 비밀키가 다름 아닌 '코모디아'였다"고 밝혔다. 로버트 그레이엄은 슈퍼피시 루트 인증서를 이용해 뱅크오브아메리카나 구글 같이 SSL 암호화 기술을 쓰는 웹사이트에서 손쉽게 비밀번호를 빼돌릴 수 있음을 확인했다.
코모디아가 똑같은 루트 인증서를 모든 컴퓨터에 쓴 탓에 공격자들은 이미 알려진 비밀번호를 이용해 코모디아 애드웨어의 루트 인증서를 악용해 사용자와 서버와의 암호화 트래픽을 들여다 볼 수 있다.
이와 같이 문제가 불거지자, 미국의 레노버 사용자들은 손해배상소송을 제기했다. 제시카 버넷은 스파이웨어라고 부르는 슈퍼피시로 인해 자신의 노트북이 피해를 입었다고 레노버를 상대로 소송을 했다. 버넷은 레노버가 프라이버시를 침해하고 자신의 인터넷 사용 행위를 관찰해 돈을 벌었다고 주장했다.
코모디아 홈페이지는 해커들의 공격으로 다운됐으며, 2월 26일, 레노버 웹사이트 또한 해킹 공격을 당해 상품소개 대신, 동영상이 게재됐다. 레노버 홈페이지는 해킹 사실 발견 이후 한 시간이 지난 뒤에 정상화됐다. 해커집단 리저드스쿼드는 이번 해킹이 자신들의 소행이라고 주장했다.
이번 레노버 슈퍼피시 사건은 레노버가 중국업체이기 때문에 일어난 해프닝에 가깝다. 멀쩡한 IT 제품에 애드웨어 정도가 아닌 백도어가 설치되어 있다는 의혹은 끊임없이 제기되어왔다.
특히 중국 IT 업체에 대한 미국의 불신은 몇년 전부터 커져왔다. 2012년 미국 하원 정보특별위원회는 보고서를 통해 중국 통신장비업체인 화웨이와 ZTE에 대해 보안 의혹을 제기했다.
이 보고서는 "중국이 경제, 군사적 활동에 기업을 이용하고 있는데, 화웨이와 ZTE가 미국 안보에 위협이 될 수 있어 미국 기업의 인수, 합병을 금지해야 한다"고 주장했다. 또한 "중국이 백도어가 있는 통신장비를 이용, 전시에 미국의 안보 시스템을 마비시킬 수 있으며, 미국 정부는 부품을 포함해 이 업체들의 장비 일체를 사용해서는 안 된다"고 말했다.
이와 함께 화웨이가 중국군의 사이버 전쟁 부대에 특별 네트워크 서비스를 제공했기 때문에 화웨이가 중국 정부의 강력한 지원을 받았을 가능성이 있다고 설명했다.
사실을 추출해 본 화웨이 사태
이에 대해 화웨이는 강력하게 부인하면서 결백을 주장했으나 결국 해당 사업을 미국에서 철수했다. 여파로 호주 정부 역시 자국의 기간망 구축 사업에 화웨이 참여를 제한했다.
이는 국내도 마찬가지였다. 국내 재난망 사업에 화웨이가 적극적인 참여를 원하고 있지만, 보안을 이유로 도입을 꺼리고 있다. 2013년 12월 미국은 국내 LTE 망 구축에 화웨이 장비가 도입되는 것에 대해 우려를 표하며 비공식적으로 압박을 가한 바 있다.
그러나 2014년 3월 미국 NSA가 오히려 화웨이 본사 서버를 해킹하고 화웨이 장비에 백도어를 설치했다는 독일 슈피겔지와 미국 뉴욕타임스의 보도는 엄청난 파장을 일으켰다.
뉴욕타임스 보도에 따르면, 코드네임 '샷자이언트(Shotgiant)'라 불리는 이 작전은 오랫동안 의심받던 화웨이와 중국인민해방군과의 연계고리를 찾고 전세계에 판매되고 있던 화웨이 장비에 백도어를 심기 위해 시도된 것이다.
또한 2010년 샷자이언트의 상세 운용 계획을 인용해 화웨이에 대한 비밀 작전을 펼치게 된 것은 2007년으로 거슬러 올라가며 NSA는 화웨이 경영진들의 통신을 모니터링했다고 밝혔다.
지난해 12월 독일 슈피겔지는 NSA가 새로운 컴퓨터 장비에 어떻게 스파이웨어를 심었는 지에 대해 보도한 바 있다. 이는 컴퓨터에 침입하는 데 특화된 NSA의 TAO(Office of Tailored Access Operations)라는 조직에 의해 만들어졌다.
이 기사에 따르면, TAO는 2010년에 화웨이 본사 서버를 해킹하는데 성공해 화웨이 창업자인 렌 쳉페이의 통신 내역을 수집할 수 있게 됐다. 그러나 NSA 조직은 화웨이와 중국인민해방군과의 특별한 연계 고리를 찾아내는데 실패했다고 지적했다.
NSA, 화웨이 본사 서버 해킹...뉴욕타임스 & 슈피겔
오히려 더 수상한 것은 중국이 아니라 미국이었다. 네트워크 장비에 백도어가 있다든지, 미국은 암호화 프로그램을 무력화해 모든 것을 엿본다는 식의 주장은 간혹 제기됐지만, 그동안 증거가 없었기 때문에 음모론으로 치부됐다.
하지만 2013년 에드워드 스노든의 폭로를 통해 미국이 그동안 전세계를 대상으로 감시체계를 구축, 운영해왔던 것으로 드러났다. 특히 RSA는 NSA와 비밀 거래를 주고받은 정황도 포착됐다. 이런 뒷거래는 신뢰로 살아가는 보안업계에 큰 타격을 줬다.
RSA, 암호화에 NSA와 비밀 거래···로이터
NSA, 5만 이상의 전세계 컴퓨터 네트워크를 감시
RSA-NSA 거래 의혹, 보안 업계 신뢰에 영향
무엇보다 지난해 5월 시스코 제품에 NSA가 백도어를 심었다는 폭로는 IT업계에 핵폭탄급 충격을 안겨줬다. 네트워크 장비 관련 대표업체인 시스코가 수출하는 라우터 제품에 감시 툴을 심었다는 내용에서 그 대상국에는 우리나라도 포함된다는 점이다.
글로벌 칼럼 | 시스코 제품에 NSA 백도어가 있다...스노든
중국의 산업 스파이 활동이 많아지면서 미국 정부는 기업들에게 중국 업체들의 IT 제품을 신뢰하지 말라고 반복적으로 경고해왔다. 하지만 우리나라를 비롯한 대부분의 국가는 중국과 미국 모두의 제품에 대해 이런 경고를 해야할 것이다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Seagate
“작지만 큰 영향력” 하드 드라이브의 나노 스케일 혁신
ⓒ Seagate 플래터당 3TB라는 전례 없는 드라이브 집적도를 자랑하는 새로운 하드 드라이브 플랫폼이 등장하며 디지털 시대의 새로운 이정표를 세웠다. 플래터당 3TB를 저장할 수 있다는 것은 동일한 면적에서 스토리지 용량을 기존 드라이브 대비 거의 두 배로 늘릴 수 있다는 것을 의미한다. 이러한 혁신은 데이터 스토리지의 미래와 데이터센터의 디지털 인프라에 괄목할 만한 영향을 미친다. AI의 발전과 함께 데이터의 가치가 그 어느 때보다 높아졌다. IDC에 따르면 2027년에는 전 세계에서 총 291ZB의 데이터가 생성될 것으로 예측되며, 이는 스토리지 제조 용량의 15배 이상일 것으로 보인다. 대부분의 데이터를 호스팅하는 대형 데이터 센터에 저장된 데이터 중 90%가 하드 드라이브에 저장된다. 즉, AI 애플리케이션의 주도로 데이터가 급증함에 따라 물리적 공간을 늘리지 않으면서도 데이터를 저장할 수 있는 스토리지 기술 혁신이 필요하다. 데이터 스토리지 인프라를 업그레이드하는 것은 단순히 기술적인 문제가 아니라 지금 시대가 직면한 규모, 총소유비용(TCO), 지속가능성이라는 과제에 대한 논리적 해답인 셈이다. 열 보조 자기 기록(HAMR) 기술은 선구적인 하드 드라이브 기술로 드라이브 집적도 향상을 위해 지난 20년 동안 수많은 연구를 거쳐 완성되어 왔다. 씨게이트 모자이크 3+ 플랫폼은 이러한 HAMR 기술을 씨게이트만의 방식으로 독특하게 구현한 것으로, 미디어(매체)부터 쓰기, 읽기 및 컨트롤러에 이르는 복잡한 나노 스케일 기록 기술과 혁신적인 재료 과학 역량을 집약한 결정체다. 이 플랫폼은 데이터 비트를 변환하고 자기 및 열 안정성을 유지하면서 더욱 촘촘하게 패킹해서 각 플래터에 훨씬 더 많은 데이터를 안정적이고 효율적으로 저장할 수 있다. 예를 들어, 기존 데이터센터에 있는 16TB 드라이브를 30TB 드라이브로 업그레이드하면 동일한 면적에서 스토리지 용량을 두 배로 늘릴 수 있다. 더 낮은 용량에서 업그레이드한다면 상승 폭은 더욱 커진다. 이 경우, 테라바이트당 전력 소비량이 40% 감소하는 등 스토리지 총소유비용(TCO)이 크게 개선된다. 또한 효율적인 자원 할당과 재활용 재료 사용으로 운영 비용을 절감하고 테라바이트당 탄소 배출량을 55% 감소시켜 데이터센터가 지속 가능성 목표를 달성할 수 있다. 드라이브 집적도 향상은 하이퍼스케일과 프라이빗 데이터센터의 판도를 바꿀 수 있다. 데이터센터가 급증하며 전력사용량과 탄소배출량 역시 늘어나 데이터센터의 지속가능성이 화두가 되고 있는 가운데, 과학기술정보통신부는 ‘탄소중립 기술혁신 추진전략-10대 핵심기술 개발방향’에서 2030년까지 데이터센터 전력소모량을 20% 절감하겠다고 밝힌 바 있다. 이러한 목표에 발맞춰, 집적도를 획기적으로 개선한 대용량 데이터 스토리지를 활용하는 것은 원활하고 지속적인 AI 모델 학습, 혁신 촉진 및 비즈니스 성공을 위해 필수적이다. 엔터프라이즈 데이터센터의 경우 제한된 공간, 전력, 예산에 맞춰 확장할 수 있는 지속 가능한 방법을 찾아야 한다. 하드 드라이브의 집적도 혁신은 점점 더 커져가는 클라우드 생태계와 AI 시대에 대응하는 해답이자, 동일한 공간에 더 많은 엑사바이트를 저장하면서도 자원 사용은 줄이도록 인프라를 확장할 수 있는 방법이다. 이는 글로벌 데이터 영역에서 경쟁력을 유지하고 글로벌 디지털 경제의 선두주자로서 입지를 강화하는 데 매우 중요하다.
Seagate
'반박 불가' 하드 드라이브와 SSD에 관한 3가지 진실
ⓒ Getty Images Bank 하드 드라이브가 멸종할 것이라는 논쟁이 10년 넘게 계속되고 있다. 빠른 속도와 뛰어난 성능이 필요한 애플리케이션에 적합한 플래시 스토리지의 연매출이 증가하고 있는 것은 자명한 사실이다. 하지만, 클라우드의 보편화 및 AI 사용 사례의 등장으로 인해 방대한 데이터 세트의 가치가 높아지는 시대에 하드 드라이브는 플래시 스토리지로 대체할 수 없는 가치를 가지고 있다. 전 세계 엑사바이트(EB) 규모 데이터의 대부분을 저장하는 하드 드라이브는 데이터센터에서 그 어느 때보다 필수적이다. 전 세계 데이터 세트의 대부분이 저장된 엔터프라이즈 및 대규모 클라우드 데이터센터는 데이터 성장에서 핵심이 될 것이다. 하드 드라이브와 SSD를 비교하자면, 하드 드라이브 스토리지는 2022년에서 2027년 사이 6,996EB 증가할 것으로 예상되는 반면, SSD는 1,363EB 증가할 것으로 보인다. ⓒ Seagate 생성형 AI 시대에는 콘텐츠를 경제적으로 저장해야 하기 때문에 플래시 기술과 밀접하게 결합된 컴퓨팅 클러스터는 더 큰 하드 드라이브 EB의 다운스트림 수요를 직간접적으로 촉진할 것이다. 하드 드라이브가 왜 데이터 스토리지 아키텍처의 중심이 될 수밖에 없는지는 시장 데이터를 근거로 설명 가능하다. 가격 책정 근거 없는 믿음 : SSD 가격이 곧 하드 드라이브 가격과 같아질 것이다. 사실 : SSD와 하드 드라이브 가격은 향후 10년간 어느 시점에도 수렴하지 않을 것이다. 데이터가 이를 명확하게 뒷받침한다. 하드 드라이브는 SSD에 비해 테라바이트당 비용 면에서 확고한 우위를 점하고 있으며, 이로 인해 하드 드라이브는 데이터센터 스토리지 인프라의 확고한 주춧돌 역할을 하고 있다. IDC 및 포워드 인사이트(Forward Insights)의 연구에 따르면, 하드 드라이브는 대부분의 기업 업무에 가장 비용 효율적인 옵션으로 유지될 것으로 전망된다. 엔터프라이즈 SSD와 엔터프라이즈 하드 드라이브의 TB당 가격 차이는 적어도 2027년까지 6대 1 이상의 프리미엄이 유지될 것으로 예상된다. ⓒ Seagate 이러한 TB당 가격 차이는 장치 구입 비용이 총소유비용(TCO)에서 가장 큰 비중을 차지하는 데이터센터에서 특히 두드러지게 드러난다. 장치 구입, 전력, 네트워킹, 컴퓨팅 비용을 포함한 모든 스토리지 시스템 비용을 고려하면 TB당 TCO는 하드 드라이브 기반 시스템이 훨씬 더 우수하게 나타난다. ⓒ Seagate 따라서, 플래시는 특정 고성능 작업의 수행에 탁월한 스토리지이지만, 하드 드라이브는 당분간 안정적이고 비용 효율적이며 널리 채택된 솔루션을 제공하는 데이터센터에서 계속해서 주류로 사용될 것이다. 공급과 확장의 관계 근거 없는 믿음 : NAND 공급이 모든 하드 드라이브 용량을 대체할 정도로 증가할 수 있다. 사실 : 하드 드라이브를 NAND로 완전히 교체하려면 감당할 수 없는 설비투자(CapEx)가 필요하다. NAND 산업이 모든 하드 드라이브 용량을 대체하기 위해 공급을 빠르게 늘릴 수 있다는 주장은 재정적, 물류적으로 엄청난 비용이 발생한다는 점을 간과한 낙관적인 생각이다. 산업 분석기관 욜 인텔리전스(Yole Intelligence)의 2023년 4분기 NAND 시장 모니터 리포트에 따르면, 전체 NAND 산업은 2015년~2023년 사이 3.1제타바이트(ZB)를 출하하면서 총 매출의 약 47%에 해당하는 2,080억 달러의 막대한 자본 지출을 투자해야 했다. 반면, 하드 드라이브 산업은 데이터센터 스토리지 수요의 거의 대부분을 매우 자본 효율적인 방식으로 해결하고 있다. 씨게이트가 2015년~2023년 사이 3.5ZB의 스토리지를 출하하며 투자한 자본은 총 43억 달러로, 전체 하드 드라이브 매출의 약 5%에 불과하다. 그러나 NAND 산업의 경우 ZB당 약 670억 달러에 해당하는 금액을 투자한 것으로 나타나 하드 드라이브가 데이터센터에 ZB를 공급하는 것이 훨씬 더 효율적임을 알 수 있다. ⓒ Seagate 작업 부하 근거 없는 믿음 : 올 플래시 어레이(AFA)만이 최신 엔터프라이즈 작업 부하의 성능 요구를 충족할 수 있다. 사실 : 엔터프라이즈 스토리지 아키텍처는 일반적으로 디스크 또는 하이브리드 어레이, 플래시, 테이프를 사용하여 특정 작업 부하의 비용, 용량, 성능 요구 사항에 최적화할 수 있도록 미디어 유형을 혼합한다. 기업이 플래시 없이는 최신 작업 부하의 성능 수요를 따라잡지 못할 위험이 있다는 주장은 다음과 같은 3가지 이유로 반박 가능하다. 첫째, 대부분의 최신 작업 부하에는 플래시가 제공하는 성능상의 이점이 필요하지 않다. 전 세계 데이터의 대부분은 클라우드와 대규모 데이터센터에 저장되어 있으며, 이러한 환경에서는 작업 부하 중 극히 일부에만 상당한 성능이 필요하다는 파레토 법칙을 따르고 있다. 둘째, 예산 제약이 있고 데이터 세트가 빠르게 증가하는 기업들은 성능뿐만 아니라 용량과 비용의 균형을 맞춰야 한다. 플래시 스토리지는 읽기 집약적인 시나리오에서는 탁월한 성능을 발휘하지만 쓰기 작업이 증가하면 내구성이 떨어져 오류 수정과 오버프로비저닝에 추가 비용이 발생한다. 또한, 대규모 데이터 세트나 장기 보존의 경우 영역 밀도가 증가하는 디스크 드라이브가 더 비용 효율적인 솔루션일 뿐만 아니라 수천 개의 하드 드라이브를 병렬로 활용하면 플래시를 보완하는 성능을 달성할 수 있다. 셋째, 수많은 하이브리드 스토리지 시스템은 다양한 미디어 유형의 강점을 단일 유닛에 원활하게 통합하고 최대한으로 활용할 수 있도록 세밀하게 조정된 소프트웨어 정의 아키텍처를 사용한다. 이러한 스토리지는 유연성을 제공하므로 기업은 지속적으로 변화하는 요구 사항에 따라 스토리지 구성을 조정할 수 있다. AFA와 SSD는 고성능의 읽기 집약적인 작업에 매우 적합하다. 하지만 하드 드라이브가 이미 훨씬 낮은 TCO로 제공하는 기능을 AFA로 불필요하게 비싼 방법으로 제공하는 것은 비용 효율적이지 않을 뿐만 아니라, AFA가 하드 드라이브를 대체할 수 있다고 주장하는 근거가 될 수 없다.