인텔, 중국 IT협회에서 보안 감소 필요 제안 나와, 미-중 갈등 희생양 우려

이태선 선임연구원이태선 선임연구원 입력 수정
160X600_GIAI_AIDSNote 
중국 IT협회, 인털 제품이 중국 국가 안보 위혐한다 지적
인텔, 성실히 조사에 임할 것, 제품 안전성과 보안 중요하게 생각해
미-중 갈등에 인텔 희생양 되는 것 아니냐는 우려도

중국 사이버보안협회에서 인텔 제품이 국가 안보를 위협한다며 정부가 사이버보안 감사를 실시할 필요가 있다는 주장이 제기했다. 파운드리 사업부 대규모 적자 및 연이은 투자 실패로 경영 위기에 빠져 고전 중인 인텔이 미국과 중국의 반도체 전쟁에 휘말릴 수 있다는 우려가 제기된다. 

16일(현지시간) 월스트리트저널(WSJ)에 따르면 중국 사이버보안협회는 중앙처리장치(CPU)를 포함한 인텔 제품이 보안 취약성을 보인다며 사이버보안관리국(CAC)이 이에 대한 조사를 진행할 것을 촉구했다. 협회 관계자는 공식 위챗 계정을 통해 “중국의 국가 안보와 소비자의 정당한 권익을 보호하기 위해 필요한 조치”라며 인텔 제품의 취약성이 “사용자를 해킹에 노출시킬 수 있다”고 주장했다. 

Intel_20241017_TE
사진 = 인텔

중국 사이버보안협회, 인텔이 중국 안보 위협한다 지적

WSJ은 이번 요청이 “인텔의 가장 중요한 시장 중 하나인 중국에서 CAC의 공식 조사를 시작하기 위한 전조일 수 있다”고 분석했다. 중국의 사이버보안 협회는 중국 정보기술(IT) 기업과 전문가들이 참여하는 비영리단체다. 인텔에 대한 조사를 직접 수행할 권한은 없지만 규제 당국의 지원을 받고 있는만큼, 실질적으로는 중국 정부의 의견을 대변할 수도 있다는 것이 업계 관계자들의 설명이다. 인텔 대변인은 회사가 중국 당국과 협력해 “가능한 모든 질문을 명확히 하고 자사 제품의 안전성과 보안에 깊이 전념하고 있음을 보여줄 것”이라고 전했다.

중국 당국이 사이버보안 감사를 실시해 제재를 가할 경우 인텔이 입을 타격은 적지 않을 것으로 보인다. 지난해까지 인텔의 5년간 연평균 매출액의 1/4 정도가 중국에서 발생했다. 중국 조립 후 글로벌 시장에 판매되는 OEM형 제품을 제외한다고 하더라도 중국 시장에서 인텔 CPU의 판매가 급감하는데 영향을 줄 수 있는 논란인 것이다. 실제로 CAC는 지난해 미국 메모리반도체 업체 마이크론에 대해 감사를 실시하고 보안 위험을 초래한다는 판단에 따라 자국 주요 IT 인프라업체에 회사 제품 구매를 중단하도록 했다. CAC 발표가 나오자 마이크론 매출이 10% 이상 감소할 것이라는 예측이 나온 바 있다. 미-중 갈등으로 중국 수요가 뚝 떨어진 네덜란드 반도체 장비 전문 업체 ASML의 경우 내년 매출액 규모가 올해의 절반으로 떨어질 가능성이 높은 상황이다.

이번 논란이 미국 정부의 자국 반도체 제품 대상 중국 수출 통제에 대한 중국의 보복이라는 관측도 제기된다. 중국도 미국의 수출 통제에 맞서 주요 반도체 생산 필수 소재 일부의 수출을 이미 제한하고 있다.  때문에 인텔이 인공지능(AI) 열풍에서 뒤처지며 심각한 경영난을 겪고 있는 가운데 미중 갈등이 또다른 악재의 원인이 될 수도 있다는 우려가 나온다. 인텔은 최근 비용 절감을 위해 전체 인력의 15%에 해당되는 15,000명을 감원과 파운드리 사업부 분사 등 구조조정안을 발표했다. 인텔 주가는 올해 들어 50% 넘게 하락했다.

IntelGather_20241017_TE
메모리에 흩어진 데이터를 읽어오기 위한 ‘개더’ 명령어 / 자료= 구글 프로젝트 제로 팀

인텔, 보안 문제로 연이은 타격 맞나?

인텔은 이미 지난해에 서버 전용으로 출시된 제온(Xeon) 프로세서의 보안 문제를 지적받은 바 있다. 구글 프로젝트 제로 팀 소속 전문가 팀이 지난해 8월에 발표한 보안 취약점으로 비밀번호 및 암호화 키 등을 빼돌릴 수 있는 우려가 있다는 것이다. 프로세서 내 데이터 저장공간인 ‘레지스터’에 데이터를 전달하기 전 임시로 저장된 데이터를 PC나 서버 내 다른 프로그램이 엿볼 수 있다는 설명이다. 2015년부터 2021년 사이 출시된 인텔 코어·제온 프로세서가 해당 문제에 노출될 수 있다. 인텔은 PC와 서버 등 제조사 대상으로 해당 취약점을 보완할 수 있는 마이크로코드 업데이트 제공에 나섰다.

이 문제를 처음 발견한 구글 프로젝트 제로 팀 소속 전문가인 다니엘 모기미(Daniel Moghimi)는 8월 공개한 웹사이트를 통해 “해당 문제는 메모리나 프로세서 내 레지스터 등 여러 곳에 흩어진 데이터 접근 속도를 높이는 최적화 기법 때문에 발생한다”고 밝혔다. 인텔 프로세서는 대용량 데이터를 처리하기 위한 AVX2·AVX512 등 명령어를 내장하고 있다. 이 명령어는 메모리 여러 곳에 흩어진 데이터를 불러오게 되는데 이 과정에서 메모리 접근 때문에 지연 현상이 발생할 수 있다. AVX2·AVX512 명령어 중 ‘개더'(Gather) 관련 명령어는 AVX2 명령어 처리에 필요한 정수·실수 데이터를 미리 모아 지연 현상을 최소화한다.

이 때 사용되는 임시 메모리가 보안 처리가 되지 않은 탓에 일반 사용자들마저도 내용을 열어서 볼 수 있게 된 것이다. 서버 장비 전문 업체의 한관계자는 악성코드를 심으면 쉽게 정보를 유출할 수 있어 윈도우즈에서도 즉각 보안 업데이트가 진행됐고, 서버 장비들이 주로 이용하는 운영체제인 리눅스는 구글 제로 팀의 발표 익일에 ‘개더’ 기능을 멈추는 업데이트를 발표하기도 했다고 전했다. 일반 사용자들은 크게 체감하기 어려운 기술이지만 고급 과학용 계산 등에는 AVX 시리즈 모듈의 활용 여부가 체감 속도를 눈에 띄게 바꿀 수도 있다고 지적했다.

이미 2018년 멜트다운 시절부터 인텔 CPU에 대한 불만 컸었다는 지적도

해당 관계자는 이미 2018년에 멜트다운(Meltdown)이라는 이름으로 알려진 인텔CPU의 보안 문제의 연장선상에서 AVX 보안 문제를 볼 수 있다고도 설명했다. 인텔은 이용자 접근으로부터 차단되어야 할 메모리 상의 주소 영역에 대한 보안이 무력화디는 멜트다운 이슈로 한 때 인텔 CPU 게이트라는 표현까지 등장할 정도의 문제를 겪기도 했다.

때문에 이번 중국 사이버보안협회의 지적도 단순히 미-중 갈등에 따른 ‘인텔 때리기’를 넘어서 인텔의 근본적인 보안 결함에 대한 또 다른 지적이 될 수도 있다는 우려의 목소리도 제기된다. 그간 인텔이 CPU 코어 집적률을 높이는데 실패하면서 속도 개선을 위해 추측 실행 등의 주요 소프트웨어 작업이 캐시 내 보안 정보 미 삭제 등의 결함으로 나타나면서 신뢰도가 크게 떨어진 것도 주목할만한 대목이다.

이태선 선임연구원

이태선 선임연구원

[email protected] 세상은 이야기로 만들어져 있습니다. 다만 우리 눈에 그 이야기가 보이지 않을 뿐입니다. 숨겨진 이야기를 찾아내서 함께 공유하겠습니다.

관련기사