중국 IT협회 “인텔 제품 보안 감사 필요” 제안, 미-중 갈등 희생양되나

중국 IT협회 "인텔 제품이 중국 국가 안보 위협" 지적
인텔 "성실히 조사에 임할 것, 제품 안전성과 보안 중요하게 생각"
미-중 갈등에 인텔만 희생양 되는 것 아니냐는 분석도

중국에서 인텔 제품이 국가 안보를 위협한다며 정부가 사이버보안 감사를 실시할 필요가 있다는 주장이 제기했다. 파운드리 사업부 대규모 적자 및 연이은 투자 실패로 경영 위기에 빠져 고전 중인 인텔이 미국과 중국의 반도체 전쟁에 휘말릴 수 있다는 우려가 나온다.

中 사이버보안협회, 인텔이 중국 안보 위협한다 지적

16일(현지시간) 월스트리트저널(WSJ)에 따르면 중국 사이버보안협회는 중앙처리장치(CPU)를 포함한 인텔 제품이 보안 취약성을 보인다며 사이버보안관리국(CAC)이 이에 대한 조사를 진행할 것을 촉구했다. 협회 관계자는 공식 위챗 계정을 통해 “중국의 국가 안보와 소비자의 정당한 권익을 보호하기 위해 필요한 조치”라며 인텔 제품의 취약성이 “사용자를 해킹에 노출시킬 수 있다”고 주장했다. 

WSJ은 이번 요청이 “인텔의 가장 중요한 시장 중 하나인 중국에서 CAC의 공식 조사를 시작하기 위한 전조일 수 있다”고 분석했다. 중국의 사이버보안협회는 중국 정보기술(IT) 기업과 전문가들이 참여하는 비영리단체다. 인텔에 대한 조사를 직접 수행할 권한은 없지만 규제 당국의 지원을 받고 있는 만큼, 실질적으로는 중국 정부의 의견을 대변할 수도 있다는 것이 업계 관계자들의 설명이다. 인텔 대변인은 “회사가 중국 당국과 협력해 가능한 모든 질문을 명확히 하고 자사 제품의 안전성과 보안에 깊이 전념하고 있음을 보여줄 것”이라고 전했다.

업계는 중국 당국이 사이버보안 감사를 실시해 제재를 가할 경우 인텔이 입을 타격이 작지 않을 것으로 보고 있다. 지난해까지 인텔의 5년간 연평균 매출액의 1/4 정도가 중국에서 발생했다. 중국 조립 후 글로벌 시장에 판매되는 OEM형 제품을 제외한다고 하더라도 중국 시장에서 인텔 CPU의 판매가 급감하는 데 영향을 줄 수 있는 논란인 것이다.

실제로 CAC는 지난해 미국 메모리반도체 업체 마이크론에 대해 감사를 실시하고 보안 위험을 초래한다는 판단에 따라 자국 주요 IT 인프라업체에 회사 제품 구매를 중단하도록 했는데, CAC 발표 이후 시장에선 마이크론 매출이 10% 이상 감소할 것이라는 예측이 나왔다. 미-중 갈등으로 중국 수요가 뚝 떨어진 네덜란드 반도체 장비 전문 업체 ASML의 경우 내년 매출액 규모가 올해의 절반으로 떨어질 가능성이 높은 상황이다.

그런가 하면 이번 논란이 미국 정부의 자국 반도체 제품 대상 중국 수출 통제에 대한 중국의 보복이라는 분석도 있다. 중국도 미국의 수출 통제에 맞서 주요 반도체 생산 필수 소재 일부의 수출을 이미 제한하고 있다. 때문에 인텔이 인공지능(AI) 열풍에서 뒤처지며 심각한 경영난을 겪고 있는 가운데 미중 갈등이 또 다른 악재의 원인이 될 수도 있다는 우려가 팽배하다. 인텔은 최근 비용 절감을 위해 전체 인력의 15%에 해당되는 15,000명의 감원과 파운드리 사업부 분사 등 구조조정안을 발표했다. 인텔 주가는 올해 들어 50% 넘게 하락했다.

인텔, 보안 문제로 연이은 타격

인텔은 이미 지난해에 서버 전용으로 출시된 제온(Xeon) 프로세서의 보안 문제를 지적받은 바 있다. 구글 프로젝트 제로팀 소속 전문가 팀이 작년 8월 발표한 보안 취약점으로 비밀번호 및 암호화 키 등을 빼돌릴 수 있는 우려가 있다는 것이다. 프로세서 내 데이터 저장공간인 ‘레지스터’에 데이터를 전달하기 전 임시로 저장된 데이터를 PC나 서버 내 다른 프로그램이 엿볼 수 있다는 설명이다. 전문가들은 2015년부터 2021년 사이 출시된 인텔 코어·제온 프로세서가 해당 문제에 노출될 수 있다고 봤다. 이에 인텔은 PC와 서버 등 제조사 대상으로 해당 취약점을 보완할 수 있는 마이크로코드 업데이트 제공에 나섰다.

이 문제를 처음 발견한 구글 프로젝트 제로팀 소속 전문가인 다니엘 모기미(Daniel Moghimi)는 당시 웹사이트를 통해 “해당 문제는 메모리나 프로세서 내 레지스터 등 여러 곳에 흩어진 데이터 접근 속도를 높이는 최적화 기법 때문에 발생한다”고 밝혔다. 인텔 프로세서는 대용량 데이터를 처리하기 위한 AVX2·AVX512 등 명령어를 내장하고 있다. 이 명령어는 메모리 여러 곳에 흩어진 데이터를 불러오게 되는데 이 과정에서 메모리 접근 때문에 지연 현상이 발생할 수 있다. AVX2·AVX512 명령어 중 ‘개더'(Gather) 관련 명령어는 AVX2 명령어 처리에 필요한 정수·실수 데이터를 미리 모아 지연 현상을 최소화한다. 이때 사용되는 임시 메모리가 보안 처리가 되지 않은 탓에 일반 사용자들마저도 내용을 열어서 볼 수 있게 된 것이다.

이미 2018년 멜트다운 시절부터 인텔 CPU에 대한 불만 확산

이와 관련해 서버 장비 전문 업체의 한 관계자는 악성코드를 심으면 쉽게 정보를 유출할 수 있어 윈도에서도 즉각 보안 업데이트가 진행됐고, 서버 장비들이 주로 이용하는 운영체제인 리눅스는 구글 제로팀의 발표 익일에 ‘개더’ 기능을 멈추는 업데이트를 발표하기도 했다고 전했다. 일반 사용자들은 크게 체감하기 어려운 기술이지만 고급 과학용 계산 등에는 AVX 시리즈 모듈의 활용 여부가 체감 속도를 눈에 띄게 바꿀 수도 있다고 지적했다.

해당 관계자는 이미 2018년에 멜트다운(Meltdown)이라는 이름으로 알려진 인텔 CPU의 보안 문제의 연장선상에서 AVX 보안 문제를 볼 수 있다고도 설명했다. 인텔은 이용자 접근으로부터 차단돼야 할 메모리 상의 주소 영역에 대한 보안이 무력화되는 멜트다운 이슈로 한때 ‘인텔 CPU 게이트’라는 표현까지 등장할 정도로 홍역을 치른 바 있다.

이번 중국 사이버보안협회의 지적도 단순히 미-중 갈등에 따른 ‘인텔 때리기’를 넘어서 인텔의 근본적인 보안 결함에 대한 또 다른 지적이 될 수도 있다는 우려의 목소리가 제기되는 것도 이런 이유에서다. 인텔이 CPU 코어 집적률을 높이는 데 실패하자 속도 개선을 위해 진행한 추측 실행 등의 주요 소프트웨어 작업이, 캐시 내 보안 정보 미삭제 등의 결함으로 나타나면서 신뢰도가 크게 떨어진 점도 주목할 만한 대목이다.