아마존과 애플을 비롯한 미국 주요 기업들과 미국 국방부, 중앙정보국(CIA) 등에 도입된 서버의 마더보드에서 중국 정부가 심은 것으로 보이는 좁쌀 만한 해킹 칩이 발견돼 미국 정부가 수사를 벌여왔다고 블룸버그 비즈니스위크(BW)가 4일(현지시각) 보도했다.
BW가 전현직 미국 국가안보 당국 관계자와 정부 관계자, 아마존 및 애플 내부자 등 모두 17명을 인용해 이같이 보도했다. 공격 대상이 된 것으로 언급된 애플과 아마존은 물론, 공격을 감행한 것으로 지목된 중국 정부는 서둘러 의혹을 부인했다. 그러나 내용이 워낙 구체적이고 기사에 언급된 증언 및 자료가 방대해서 파문이 이어질 전망이다.
이 보도를 통해 드러난 하드웨어 해킹은 소프트웨어를 공격 대상으로 하는 일반적인 해킹공격과는 차원이 다르다. 어지간한 배짱과 치밀한 수법 없이는 감히 생각조차 하기 어려운 게 바로 하드웨어 해킹이다. 미국 정부는 2015년 이 사실을 발견한 이후 3년 넘게 극비리에 수사를 벌여왔다고 BW는 전했다.
수상한 칩
우선 사건의 개요를 간략히 설명하면 이렇다. 세계 최대의 서버 마더보드 공급업체인 ‘슈퍼 마이크로 컴퓨터 Inc.(슈퍼마이크로)’는 마더보드 생산을 해외 제조업체들에 맡겨왔다. 그 중 핵심은 대만 타이완에 본부를 둔 2곳과 본사가 중국 상하이에 있는 1개 업체다.
이 업체들은 밀려드는 주문을 소화하기 위해 다시 재하청을 주곤 하는데, 이들 중 최소 2년 동안 슈퍼마이크로의 마더보드를 생산해왔던 4개 협력업체 공장에서 수상한 칩이 생산공정 도중 제품에 삽입된 것으로 수사 결과 드러났다.
쌀알과 비슷한 크기의 이 수상한 칩은 원래의 설계도면에 없는 것이었다. 이 칩은 마이크로칩이라기 보다는 마더보드의 다른 부품 중 하나인 신호 조정 연결기(signal conditioning coupler)처럼 보이도록 만들어졌다.
이 칩은 외부 공격자들이 서버에 침입할 수 있도록 해주는 문 역할을 했다. 데이터가 서버의 마더보드를 거치는 동안 CPU가 수행하려던 정해진 서버 작동 프로세스를 조작하는 것.
이 덕분에 공격자들은 아무 흔적도 남기지 않은 채 서버에 침입해 마음대로 기기를 조작할 수 있었다. 또 보안 커뮤니케이션에 쓰이는 암호화된 키를 훔치는 것은 물론, 보안 업데이트를 중단시키는 역할도 수행했다.
슈퍼마이크로와 그들의 비즈니스 모델을 연구한 한 전직 미국 정보기관 관계자는 ”슈퍼마이크로를 하드웨어 세계의 마이크로소프트로 생각해보라”고 말한다. ”슈퍼마이크로 마더보드를 공격하는 것은 윈도(Windows)를 공격하는 것과 같다. 이건 전 세계를 공격하는 것과도 같다.” (블룸버그 비즈니스위크 10월4일)
어떻게 발견됐나
이 수상한 칩의 존재는 우연찮은 기회에 아마존에 의해 발견됐다. 2015년, 훗날 ‘아마존 프라임 비디오‘로 탄생하게 될 스트리밍 비디오 서비스를 구상중이던 아마존은 관련 기술을 보유한 ‘엘리멘탈 테크놀로지’라는 스타트업 인수를 극비리에 추진중이었다.
오리건주 포틀랜드에 위치한 이 회사는 비디오 압축 기술, 여러 기기에 알맞흔 형태로 비디오 파일을 변환하는 기술 등을 가지고 있었다. 이 기술은 스포츠 경기를 온라인으로 스트리밍 하거나 국제우주정거장과 소통하거나 드론 촬영 영상을 CIA로 안전하게 보내는 데에도 쓰여왔다.
2006년 세 명의 엔지니어가 창업한 엘리멘탈은 동영상의 시대가 올 것이라고 예측하고 관련 소프트웨어를 개발했다. 이어 주문제작된 서버에 이 소프트웨어를 탑재해 최대 10만달러에 판매해왔다. 초기 고객 중에는 설교를 전 세계 신도들에게 전파할 방법을 찾던 몰몬교, 성인영화 업계 등이 있었다.
엘리멘탈은 2009년 CIA의 벤처 캐피털 ‘인큐텔’과 협약을 맺고 정부 국가안보 분야에 서버를 공급하기 시작했다. 드론과 감시카메라로 촬영한 영상을 처리하는 국방부 데이터 센터, 정부 내 보안 화상통화 시스템을 비롯해 항공우주국(NASA), 상원 및 하원, 국토안보부 등도 주요 고객이었다고 BW는 전했다.
아마존은 아마존웹서비스(AWS)가 CIA를 위해 구축하고 있던 보안 클라우드 같은 정부 분야 사업에 엘리멘탈의 기술이 유용하게 쓰일 것이라 기대했다. 인수에 앞서 AWS는 외부업체를 고용해 엘리멘탈의 보안성 검토를 진행했다. 이 때 어떤 문제가 발견되자 AWS는 추가 조사에 나섰다. 엘리멘탈의 핵심 제품인 고가의 서버를 들여다보기 시작한 것.
고객사들은 비디오 압축을 처리하기 위해 자신들의 네트워크에 이 비싼 서버를 도입해두고 있었다. 이 서버들을 주문받아 생산한 게 바로 슈퍼마이크로였다. 2015년 늦은 봄, 엘리멘탈 직원은 서버 몇 개를 캐나다 온타리오로 보내 외부 보안업체의 테스트를 받았다. 결과는 충격적이었다.
테스터들은 서버의 마더보드에 둥지를 튼, 쌀알과 비슷한 크기의 아주 작은 마이크로칩을 발견했다. 이는 원래 설계에는 없는 것이었다. 아마존은 이 발견 사실을 미국 정부 당국에 보고했으며, 이는 정보당국들을 충격에 빠뜨렸다. 엘리멘탈의 서버는 국방부 데이터센터, CIA의 드론 관련 부서, 해군 전함의 선상 네트워크 등에도 도입됐다. 그리고 엘리멘탈은 슈퍼마이크로의 수백개 고객사 중 하나일 뿐이었다. (블룸버그 비즈니스위크 10월4일)
엘리멘탈은 캘리포니아주 산호세에 본사가 있는 슈퍼마이크로에 서버 주문생산을 맡겼다. 슈퍼마이크로가 생산한 마더보드는 은행, 헤지펀드, 클라우드 컴퓨팅 서비스업체, 웹호스팅 서비스 등에서 사용하는 주문형 서버에 들어간다. 슈퍼마이크로는 캘리포니아와 네덜란드, 대만 등에 조립생산시설을 두고 있지만 핵심 제품인 마더보드의 생산은 거의 전부 중국의 협력업체들이 담당해왔다.
중국의 해당 공장들에는 낯선 인물들이 접근해왔다. 이들은 본사(슈퍼마이크로)나 정부 관계자를 사칭해 뇌물을 건네거나 공장 폐쇄로 이어질 수 있는 점검을 벌이겠다고 위협해 생산공정에 개입하는 데 성공했다고 BW가 수사 내용을 인용해 보도했다.
BW는 엘리멘탈이 보유한 쟁쟁한 고객사들 때문에 이 업체가 공격 표적이 된 것으로 보인다고 전했다. 엘리멘탈에 주문제작형 서버를 납품하는 슈퍼마이크로도 덩달아 잠입 대상이 됐다.
특히 슈퍼마이크로의 직원 대부분이 중국어를 사용하는 대만인이거나 중국인이어서 중국 입장에서는 잠입하기가 더 쉬웠을 수 있다고 BW는 추정했다. 미국 정부 관계자는 스파이들이 슈퍼마이크로 또는 다른 미국 기업들의 내부에 침투했는지 여전히 조사중이라고 말했다.
충격적인 수사 결과
미국 기업들의 네트워크에서 공격에 관한 구체적인 증거들이 나오기 훨씬 전부터, 미국 정보기관 소식통들은 중국 스파이들이 악성 마이크로칩을 서버 부품 공급망에 심으려는 계획을 가지고 있다고 보고해왔다.
그러나 2014년 상반기에 들어서면서 훨씬 더 구체적인 정보가 보고되기 시작했다. 이 즈음 정보기관 관계자들은 중국 군부대가 슈퍼마이크로가 생산하는, 미국으로 공급되는 마더보드에 칩을 심을 계획을 세우고 있다고 백악관에 보고했다. 그러나 ”이 정보의 구체성이 놀라웠던 만큼이나 그에 따르는 도전도 마찬가지였다”고 BW는 전했다.
예를 들어 슈퍼마이크로의 고객사들에게 널리 ‘주의하라’고 경고할 경우, 슈퍼마이크로 기업 자체가 무너질 수도 있었다. 당시에는 이같은 공격이 누구를 겨냥한 것인지, 궁극적인 목표가 무엇인지 명확하지 않았다는 점도 영향을 미쳤다. 피해 사실이 아직 확인되지 않은 상황에서 FBI가 섣불리 대응하기도 어려웠다. 백악관은 주기적으로 새로 발견되는 정보들을 보고할 것을 지시했다고 한 관계자는 설명했다.
애플은 2015년 5월에 자사가 보유중이던 슈퍼마이크로 서버 내 수상한 칩을 발견해냈다. 수상한 네트워크 활동과 펌웨어 문제들을 발견한 이후의 일이다. 애플은 FBI에 관련 사실을 보고했으나 구체적인 내용은 내부적으로도 철저히 기밀로 다뤘다. 정부는 아마존이 제공한 정보 등을 바탕으로 극비리에 수사에 착수했다.
수사당국은 부품 공급체계를 거슬러 올라가는 방식으로 칩이 삽입된 경로를 추적해나가기 시작했다. 이 과정에서 미국 정보당국은 도감청, 정보원 잠입, 핵심 인물의 전화 감청 등의 수단도 동원했다.
그렇게 3년 넘게 지속된 수사 결과, 미국 정부는 이 칩이 중국에 위치한 슈퍼마이크로의 생산 담당 협력업체의 공장에서 삽입됐다는 사실을 발견해냈다. 더 놀라운 건, 이런 거대한 일을 벌인 주체가 바로 하드웨어 공격에 특화된 중국 인민해방군(PLA) 소속 작전부대라는 사실이었다. 한 관계자는 BW에 이 부대의 존재가 지금까지는 공개된 적이 없다고 말했다.
보도에 따르면, 한 정부 관계자는 중국의 목표가 1급 기업 기밀과 민감한 정부 네트워크에 대한 장기적 접근권한을 확보하는 것이었다고 말했다. 소비자 데이터가 유출된 정황은 알려지지 않았다.
공격자들이 슈퍼마이크로의 생산 공정에 어느 정도까지 깊숙하게 잠입했는지, 얼마나 많은 기업들이 위험에 노출되었으며 피해 규모는 어느 정도인지 등에 대해서는 여전히 수사가 필요한 상황이라고 BW는 설명했다.
다만 지금까지 발견된 것만 해도 30여개에 달하는 미국 기업들이 이 공격의 피해를 입은 것으로 수사 결과 드러났다. 수사당국은 슈퍼마이크로의 주요 고객사들의 고위 임원을 불러 구체적인 정보를 특정하지는 않은 채 ‘슈퍼마이크로 제품을 주의하라’는 메시지를 넌지시 전달했다고 BW는 보도했다.
방어
아마존은 2015년 엘리멘탈을 인수한 이후 이 회사의 소프트웨어를 AWS 클라우드로 옮겼다. 여기에 쓰이는 칩과 마더보드, 서버는 아마존이 자체 개발하고 아마존이 직접 계약한 공장에서 생산된다. 그러나 중국에 있는 AWS 데이터센터에는 슈퍼마이크로의 서버가 쓰였다.
아마존 보안팀은 베이징에 위치한 AWS 시설 점검에서 알려졌던 것보다 더 복잡한 형태의 수상한 칩이 마더보드에 삽입됐다는 사실을 발견해냈다. 칩을 제거해버리면 해커들이 눈치 챌 것이라고 생각한 이들은 그 대신 칩의 활동을 모니터하는 방법을 개발했다.
이후 몇 개월 동안 이 칩의 몇몇 활동을 발견해내긴 했지만 데이터 탈취 흔적 등은 발견하지 못했다고 한다. 그러나 향후 공격에 대비해 ‘잠복’한 상태인지, 모니터링이 시작되기 전에 이미 네트워크의 다른 부분에 잠입하는 데 성공했기 때문인지는 분명하지 않은 상황이다.
애플은 수상한 칩의 존재를 발견한 지 몇 주 만인 2015년 여름, 슈퍼마이크로가 생산한 서버 7000여대 전부를 ”몇 주 만에” 교체했다고 한 고위 내부 관계자가 BW에 말했다. 이어 슈퍼마이크로와의 계약 관계를 완전히 끊어버렸다.
그러나 대부분의 기업들은 아마존이나 애플처럼 이 문제에 대응할 내부 역량을 갖추지 못한 상황이라고 BW는 지적했다. 정확한 피해규모는 물론, 피해를 당했다는 사실조차 파악하기 힘들 수 있다는 얘기다. 전대미문의 ‘하드웨어 해킹’ 파문은 앞으로 더 확대될 것으로 보인다.