iOS / 보안

애플, “스파이칩 해킹 증거 전혀 없어…” 블룸버그 보도에 반박

Jason Cross, Macworld Staff | Macworld 2018.10.23
지난 10월 초, 블룸버그가 중국의 정부 요원들이 하드웨어 해킹을 시도했다는 내용을 보도하며 파문이 일었다. “빅 해킹: 중국, 작은 칩 하나로 미국 산업 깊숙이 침투해 오다”라는 기사에서 블룸버그는 중국 인민해방군(People’s Liberation Army, PLA)이 어떻게 수퍼 마이크로(Super Micro)에서 제작한 서버 마더보드에 자그마한 칩을 이식했는지, 그리고 이를 이용하여 시스템을 해킹하고 그들에 대한 액세스를 확보했는지를 구체적으로 보도했다. 매우 길고 자세한 보도였기 때문에 여기에 모든 내용을 다 요약해 적기는 어렵다. 내용을 이해하기 위해서는 직접 원문 기사를 읽어 볼 것을 추천한다.



피해 기업 내, 외부 및 미 정부 내 여러 관계자들의 증언을 바탕으로 블룸버그는 PLA가 수퍼 마이크로사 또는 그 공급 업체에 침투해 (날카롭게 깎은 연필 끝만큼이나 작은) 서버의 마더보드에 극소형 하드웨어 칩을 삽입했다고 보도했다. 수퍼 마이크로사는 미 국방부, 국토 안보부, NASA, 의회는 물론 전 세계적 규모의 대기업 들에서 사용하는 하드웨어를 제조하는 업체이다. 중국 측의 해킹 시도에 크고 작은 영향을 받은 기업은 30여 곳에 이른다고 블룸버그는 주장했다.

애플 CEO 팀 쿡, 기사 철회요구
10월 19일 올라온 버즈피드(BuzzFeed) 기사에서, 애플의 CEO 팀 쿡은 “블룸버그가 기사에서 작성한, 애플에 대한 이야기는 사실이 아니다”라고 말하며 블룸버그 측에 해당 내용에 대한 철회를 요구했다. 팀 쿡은 애플이 자체적으로 해당 문제에 대한 조사를 진행했다고 말하며 아래와 같이 이야기했다.

“회사 전체를 이 잡듯이 뒤졌다. 이메일, 데이터 센터 기록, 재무 기록, 배송 기록 하나 하나를 전부 살펴 보았다. 정말로 바닥까지 파헤치고 2번, 3번씩 확인했지만 결론은 같았다. 그런 일은 일어난 적이 없으며, 블룸버그 통신의 보도는 사실이 아니다.”

블룸버그 통신의 보도 내용
블룸버그 통신의 보도에 따르면 애플 역시 중국의 하드웨어 해킹 공격에 당한 기업들 중 하나다.

애플은 과거 산발적으로 데이터 센터에 수퍼 마이크로의 하드웨어를 사용한 적이 있지만, 2013년 애플이 톱시 랩스(Topsy Labs)라는 스타트업을 인수하면서 두 기업 간 관계가 경직되었다. 톱시 랩스는 초고속 인터넷 콘텐츠 서칭 및 인덱싱 기술을 보유한 기업이다. 애플에 인수된 톱시 랩스는 전 세계 주요 대도시 근방에 소규모 데이터 센터를 건설하는 작업에 착수하였다. 애플 내부에서 ‘레드벨리(Ledbelly)’라 불린 이 프로젝트는 애플의 음성 어시스턴트 시리의 검색 기능을 더욱 빠르게 만들기 위한 것이었다고 3명의 애플 고위급 관계자들은 말했다.

한편 비즈니스위크(Businessweek)가 열람한 데이터에 따르면, 2014년 당시 애플은 암스테르담, 시카고, 홍콩, LA, 뉴욕, 산 호세, 싱가폴, 그리고 도쿄 등 전 세계 17개소에 설치할 목적으로 6,000개 이상의 수퍼 마이크로 서버를 주문할 예정이었다. 또한 기존 데이터 센터인 노스 캐롤라이나와 오레건 주 데이터 센터를 위해서도 4,000개의 서버를 주문하려 계획 중이었다. 또 2015년에는 이러한 주문량을 2배인 2만 개까지 늘릴 계획이기도 했다. PLA가 한창 벤더 하드웨어 해킹을 진행하던 당시 애플은 레드벨리 프로젝트를 위해 수퍼 마이크로의 서버를 대량 주문한 정황이 포착된 것이다.


종합적으로 볼 때, 애플의 보안 팀이 숨겨진 작은 칩을 발견했을 당시에는 이미 7,000대가 넘는 수퍼 마이크로 서버가 사용되고 있었을 것이라고 블룸버그 통신은 전했다. 또한 애플은 이 문제를 2015년 발견하고 FBI에 신고했으나 “해킹 사건에 대한 구체적 사항은 외부인에게는 물론이고 내부적으로도 철저히 감추었다”는 것이 블룸버그의 설명이다. 블룸버그 통신의 기사는 익명의 미국 관료를 인용하며 애플이 정부 기관의 시설 조사도, 문제의 하드웨어에 대한 조사도 일절 허용하지 않았다고 덧붙였다.

애플 측의 답변
블룸버그는 아마존과 애플, 수퍼 마이크로, 그리고 중국 외교부의 답신을 기사와 함께 보도했다. 애플의 답변은 무척 구체적이었으며, 기사의 내용이 사실이 아니라며 강력하게 부정했다.

지난 한 해 동안 블룸버그는 애플에서 보안상의 문제가 발생했다는 때로는 모호한, 때로는 구체적인 주장을 하며 우리 회사에 수 차례 연락을 해 왔다. 그 때마다 우리는 블룸버그 측의 문제 제기에 기반하여 강도 높은 내부 조사를 실시하였으며, 또 그 때마다 블룸버그의 주장을 뒷받침 할 만한 그 어떤 증거도 찾을 수 없었다. 우리는 반복적이고 일관되게, 그리고 공개적으로 사실에 기반한 답변을 제공하여 블룸버그가 애플에 대하여 제기한 사실상 모든 의혹에 반박해 왔다.

따라서 우리는 이 점에 대해서는 분명하고 확실하게 이야기 할 수 있다. 애플은 블룸버그 통신이 주장하는 것과 같은 해킹 칩을 그 어디에서도 발견하지 못했으며, “하드웨어 조작”이나 애플의 서버에 의도적으로 이식된 취약점의 증거도 발견하지 못했다. 또한 그러한 보안 상의 문제로 인해 FBI는 물론 그 어떤 기관과도 접촉한 바 없다. 우리는 FBI에서 진행하는 그 어떤 수사 상황에 대해서도 알지 못하며, 경찰 내부의 접선들 역시 이에 대해 아는 바가 없다.

블룸버그 통신이 가장 최근 보도한 기사에 대한 답변으로 우리는 다음과 같은 사실들을 공개한다. 시리와 탑시는 같은 서버를 공유한 적이 없다. 우리는 수퍼 마이크로가 우리에게 판매한 서버에 시리를 탑재 한 적이 없다. 또한 톱시의 데이터는 약 2천 대의 수퍼 마이크로 서버에 국한되어 있었으며, 7,000대라는 보도는 사실이 아니다. 그리고 이들 서버들 중 그 어느 것에서도 악성 칩은 발견되지 않았다.

관행적으로, 애플에서는 서버 제작에 들어가기에 앞서 보안상의 취약점을 위해 모든 서버를 검사하며, 모든 펌웨어와 소프트웨어를 최신 상태로 업데이트 한다. 애플의 표준적 절차에 따라 펌웨어 및 소프트웨어를 업데이트 하는 과정에서도 수퍼 마이크로로부터 구매한 서버에서 비정상적 취약점이 발견된 일은 없었다.

우리는 블룸버그 측이 위 보도를 내보내며 자사의 정보 소스가 부정확 했을 가능성을 전혀 고려하지 않은 것에 대해 깊은 유감과 실망의 뜻을 표하는 바이다. 이러한 오보가 일어난 까닭은 아마도 지난 2016년, 단 하나의 수퍼 마이크로 서버에서 감염된 드라이버가 발견된 사례와 이번 사례를 혼돈하였기 때문이었을 것이라고 생각할 수 밖에 없다. 그러나 당시 그 사건은 1회성 사고였으며 애플을 타깃으로 한 조직적 해킹 시도와는 무관했다.

블룸버그 측의 보도에 고객 데이터의 연루를 주장한 부분은 없었지만, 그럼에도 불구하고 우리는 블룸버그 측의 고발 내용의 심각성을 고려하여 애플이 고객의 개인 정보를 최대한 안전하게 보호하기 위해 가능한 한 모든 수단을 다 동원하고 있음을 다시 한 번 밝힌다. 또한 애플에 대한 블룸버그 통신의 보도는 부정확함을 알리는 바이다.

애플은 언제나 데이터 처리 및 보관에 있어 투명성을 강조해 왔다. 만일 블룸버그 가 주장하는것과 같은 그런 사건이 실제로 발생했다면 우리는 절대로 그 사실을 숨기지 않을 것이며, 수사 당국과 긴밀히 협조할 것이다. 시스템 보안을 위하여 애플의 엔지니어들은 무척 까다로운 보안 스크리닝 절차를 정기적으로 거치도록 되어 있다. 우리는 보안이 끝 없는 마라톤과 같다는 사실을 알고 있으며 바로 그렇기 때문에 갈수록 교묘해지는 해커 및 사이버 범죄자들의 수법에 대항하여 시스템을 보호하고 강화하는 데 모든 노력을 기울이고 있음을 알리는 바이다.


애플 진실 공방은 시작일 뿐 일수도…
사생활 보호 및 보안은 기업 정체성의 핵심으로 삼은 기업인 만큼, 만일 이런 해킹 스캔들이 사실이라면 애플이 입을 타격은 어마어마하다. 설령 이러한 해킹의 실질적 책임이 애플이 아니라 서버 공급자인 수퍼 마이크로 사에게 있다고 해도 말이다. 또한 전 세계적 규모의 공개 상장 기업으로써 이 정도 규모의 보안 이슈에 대한 사실 관계를 명확히 밝히지 않는다면 주가에 입는 타격도 상당할 것이다.

애플의 입장은 매우 명확하고 분명하다. “그 어느 서버에서도 악성 칩이나 하드웨어 조작, 또는 의도적으로 서버에 이식한 취약점의 증거를 발견하지 못했다”는 애플의 공식 성명은 주관적 해석의 여지가 거의 없는 무척 명확한 입장을 보여 주고 있으며, FBI를 비롯한 그 어떤 기관과도 단 한번도 접촉한 적이 없다는 성명 역시 그러하다.

한편 블룸버그는 3명의 애플 내부 관계자와 4명의 미국 정부 관계자로부터 애플이 중국 PLA 해킹 사건의 피해 기업이라는 구체적 증언을 받았다고 밝혔다.

블룸버그의 보도가 고발하는 내용의 심각성을 생각해 볼 때, 그리고 그것이 가져 올 금전적, 법적, 외교적 여파를 생각해 볼 때 앞으로 짧게는 수 일에서 길게는 수 주에 걸쳐 이 사건의 진실 공방에 대한 많은 이야기가 오가게 될 것으로 생각된다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.