![[생생경제] 전세계 CPU 해킹 무방비...사실상 무대책](https://image.ytn.co.kr/general/jpg/2018/0105/201801051729551581_d.jpg)
AD
[생생인터뷰] 전세계 CPU 해킹 무방비...사실상 무대책
■ 방송 : YTN 라디오 FM 94.5 (15:10~16:00)
■ 진행 : 김우성PD
■ 대담 : 김승주 고려대학교 정보보호대학원 교수
◇ 김우성PD(이하 김우성)> 지금 방송하고 있는 기기도 그렇고 개인들의 스마트폰와 컴퓨터까지 전부 반도체 칩, CPU 중앙연산처리장치를 통해서 움직입니다. 오늘 굉장히 화제가 된 뉴스입니다. 전 세계 80% 이상을 차지하고 있는 게 인텔이라는 컴퓨터 회사인데요. 인텔의 컴퓨터 반도체 칩을 비롯해 여러 회사들의 칩이 해킹에 노출되기 쉬운 결함을 안고 있다는 보도가 나옵니다. 이번 문제가 아니라 수년 동안 방치된 문제다, 업체들도 수개 월 동안 알고 있었지만 모른 척 하고 있었다, 대처하지 않았다, 이런 비판까지 나옵니다. 당장 피해가 드러나는 건 아니지만 지금 제대로 대처하지 않으면 당장 CPU를 많이 사용하는 업체들, 관계 기관들은 위험에 처할 수 있다. 개인도 마찬가지입니다. 이 문제를 어떻게 바로보아야 할지, 해법을 어떻게 찾아보아야 할지에 대해 정보보안 전문가와 이야기 나눠보겠습니다. 김승주 고려대학교 정보보호대학원 교수입니다. 안녕하십니까.
◆ 김승주 고려대학교 정보보호대학원 교수(이하 김승주)> 네, 안녕하세요.
◇ 김우성> 보안 IT 관계자들 아니면 낯설 수 있지만, 반도체 CPU 칩의 결함이다, 어렵기도 합니다. 이번 문제점은 무엇인가요?
◆ 김승주> 우리가 보통 CPU라고 하면 얼마나 빠른 속도를 내느냐가 관건이지 않습니까.
◇ 김우성> 마케팅 포인트였죠.
◆ 김승주> 보통 CPU를 만드는 회사들은 굉장히 다양한 기법을 사용해서 처리 속도를 끌어 올립니다. 그런데 이번에 발견된 것은 이 처리 속도를 끌어 올리는 기법, 설계 기법에서 문제가 발견된 겁니다. 그래서 지금 보도되기로는 1995년 이후에 출시된 거의 대부분의 인텔 프로세서가 잠재적 영향을 받는다고 얘기가 나오고 있고요. 인텔뿐만 아니라 ARM과 AMD에도 같은 문제가 나올 수 있다고 얘기하고 있습니다. 최근 나온 보도에 따르면 애플도 아이폰이나 아이패드, 맥 컴퓨터도 이러한 취약점에 영향을 받는다고 발표했고요.
◇ 김우성> 지금 1995년부터 잠재적 영향이라고 한다면 20년 가까이 대부분 모든 기기라고 할 수 있지 않습니까.
◆ 김승주> 거의 대부분의 기기라고 보시면 되고요.
◇ 김우성> 아이폰에 들어가 있는 게 AMD에서 만든 프로세스 칩인데요. 이를테면 어떤 위험이 생기는 건가요?
◆ 김승주> 실제로 우리가 보통 요새는 컴퓨터나 플랫폼을 여러 사용자가 쓰도록 되어 있습니다. 무슨 서버라는 건 나 혼자 쓰는 게 아니고 여러 사용자가 사용할 수 있지 않습니까. 통신사들이 클라우드 서비스 같은 것을 제공하잖아요. 클라우드도 여러 사용자가 쓰는 것이지 않습니까. 실제로 다른 사용자의 메모리에 어떤 정보가 올라가 있는지, 사람의 비밀번호가 무엇인지, 어떤 데이터가 있는지에 대해 읽어낼 수 있습니다.
◇ 김우성> 말 그대로 개인정보나 중요, 민감한 정보가 뚫릴 수 있다는 얘기이네요.
◆ 김승주> 특히 공용으로 사용하는 서버라든가 공용으로 사용하는 서비스의 경우 직접적 영향을 받게 됩니다.
◇ 김우성> 미래 기술로 가장 유력한 것을 클라우드로 꼽는데요. 개인이 무거운 기기를 다 들고 다니는 게 아니라 접속만 하면 쓸 수 있는 건데, 이런 문제는 큰 걱정인데요. 보안 전문가들도 여러 얘기를 하는데요. 장단기적으로 문제를 나눠봐야 한다. 이 문제 자체도 장기적 위험, 단기적 위험이 있다고 하는데, 어떤 얘기인가요?
◆ 김승주> 지금 문제는, 미국 정부에서는 이번 문제를 해결하기 위한 가장 좋은 방법은 CPU칩을 교체하는 거라고까지 얘기합니다. 이게 칩 설계상 결함이기 때문에 교체하라는 겁니다. 그런데 그럴 수가 없단 말이죠. 그러다 보니까 임시방편으로 운영체제를 업데이트한다거나 클라우드 프로그램을 업데이트 하거나 해서 임시방편으로 막고 있는 거거든요. 근본적인 문제는 해결이 안 되기 때문에 장기적으로 이것을 활용한 또 다른 공격에 취약할 수 있다고 전문가가 우려하는 거고요. 그래서 임시방편인 조치도 중요하지만 장기적인 대책을 갖고 이것을 근본적으로 어떻게 막을 건지에 대한 안을 내놓아야 한다고 얘기를 하고 있는 겁니다.
◇ 김우성> 새로운 보호 대책을 내놓지 않는다면, 문제가 뚫리기 시작하면 한없이 뚫릴 텐데요. 걱정입니다. 해커들은 이러한 정보를 알게 되면 집약적으로 노력하지 않습니까.
◆ 김승주> 실제로 전문가들이 했습니다. 이 관련 연구원들이 이 내용을 발표했습니다. 어떤 취약점이 있다. 그 리포트를 보고 실제로 공격 도구를 만들어낼 수 있는지, 해킹 도구를 만들어낼 수 있는지 실험했는데 실제 해킹 도구를 만드는데 하루 정도 걸렸다고 봅니다.
◇ 김우성> 패치 및 수정 프로그램 배포하고 있다, 한국에서도 KISA같은 기관에서 내용 공지하고 배포하고 있지만, 해당 회사도 마찬가지이고요. 이게 방법이 될까 걱정이 되는데요.
◆ 김승주> 패치가 나오고 있죠. 아직 모든 패치가 다 나온 건 아니고요. 문제는 인텔의 공식 발표에 따르면 다음주 말까지 최근 5년간 출시된 인텔 CPU에 90%를 아우르는 업데이트를 내보낼 거라고 합니다. 이건 최근 5년간 출시된 거거든요. 그 이전에 출시된 것들은 어떻게 하느냐에 대한 답은 아직 없습니다.
◇ 김우성> 게다가 이 인터뷰 시작하면서 말씀하신 게, 프로세스를 주로 사람들에게 얘기하는 건 더 빨라졌다, 처리 속도가 빨라졌다고 하는데요. 패치해서 응급조치하면 느려진다는 지적이 있는데요.
◆ 김승주> 여기에서 생긴 문제는 CPU를 설계할 때 처리 속도를 높이기 위해서 했던 부분에서 문제가 생긴 거거든요. 이 부분을 고치려고 하니까 속도가 다시 저하되어버리는 겁니다. 전문가들이 보기엔 5%에서 30%까지 느려질 수 있다고 얘기하고 있고요. 애플에서 발표한 것에 따르면 조치를 했더니 2.5%까지 느려지더라는 얘기도 있습니다.
◇ 김우성> 방송사들도 전부 다 컴퓨터와 반도체 프로세스를 사용하고요. 안보 상황도 걱정인데 큰 문제가 아닐 수 없는데요. 근본적인 해결 방법을 얘기해주셨지만, 설계 단계부터 재검토라면 해결 방안이 너무 커지는 것 아닌가 우려되는데요. 어떻게 해야 합니까?
◆ 김승주> 많은 분들이 해킹이라고 얘기하시면 컴퓨터 프로그램을 공격하는 거로 알고 계실 거예요. 그런데 최근 해커들은 CPU나 컴퓨터 하드웨어를 공격하는 쪽으로 많이 바뀌고 있습니다.
◇ 김우성> 프로그램 설치된 거나 콘텐츠에 대한 것을 암호로 풀고 들어오는 게 아니라 컴퓨터 자체를,
◆ 김승주> 하드웨어 자체를 공격해서 문제가 생길 경우 설계 결함이기 때문에 대응하기가 쉽지 않거든요. 더 심각한 문제로 발전할 수 있고요. 그렇기 때문에 특히나 하드웨어 쪽 만드는 업체가 국내에도 많이 있지 않습니까. 하드웨어를 만들 때 설계 단계부터 보안을 신경 쓸 필요가 있습니다.
◇ 김우성> 걱정거리가 커진 것 같은데요. 정보 보안 관련해서 다양한 사회적 이슈를 교수님께서 해설해주시고 계신데요. 걱정해야 할 것들이 많아지는 것 아닌가요?
◆ 김승주> 지금 외국에서도 이번 취약점이 클라우드 서비스에는 직접적으로 영향을 미치거든요. 그래서 외국에서 클라우드 서비스를 제공하는 업체들도 지금 발 벗고 나서서 보안 패치를 내보내고 있습니다. 그런데 우리나라도 클라우드 서비스를 중요한 정책으로 추진하고 있는데요. 우리나라도 면밀하게 볼 필요가 있고요. 특히나 평창올림픽 앞두고 있는데, 일반인들이 몰라서 그렇지 최초의 클라우드 기반 올림픽입니다. 여러 가지 데이터들이 클라우드 서비스로 올라가 있거든요. 클라우드를 이용하는 주요 국가 시설들에 대해서도 점검이 필요할 것 같습니다.
◇ 김우성> 많은 분들이 정보라든지 생활에 필요한 부분들, 클라우드 서비스를 직접 하지 않더라도 그와 유사한 서버에 접속해 다양한 정보 교류를 하시는데 큰 위험이 발견됐습니다. 당장 패치를 까는 것 말고 개인이 예방할 수 있는 조치가 있을까요?
◆ 김승주> 이건 외국 사이트를 봐도 개인이 할 수 있는 건 없습니다. 설계상 문제이기 때문에. 그래서 보통 권고하기에 보안 패치들이 쏟아져 나오고 있거든요. 그래서 업데이트 공지가 올라오는 것을 눈여겨보셔서 업데이트 공지가 뜨면 즉각적으로 업데이트 하실 필요가 있습니다. 주말로 미루지 마시고 즉각적으로 하실 필요가 있습니다.
◇ 김우성> 요즘 컴퓨터를 매개한 다양한 일들이 벌어지고 있습니다. 좀비 PC 얘기도 있죠. 업데이트 바로바로 하면서 개인 정보, 컴퓨터를 보호할 방안을 찾으셔야 할 것 같습니다. 오늘 말씀 감사드립니다.
◆ 김승주> 네, 감사합니다.
◇ 김우성> 김승주 고려대학교 정보보호대학원 교수였습니다.
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
■ 방송 : YTN 라디오 FM 94.5 (15:10~16:00)
■ 진행 : 김우성PD
■ 대담 : 김승주 고려대학교 정보보호대학원 교수
◇ 김우성PD(이하 김우성)> 지금 방송하고 있는 기기도 그렇고 개인들의 스마트폰와 컴퓨터까지 전부 반도체 칩, CPU 중앙연산처리장치를 통해서 움직입니다. 오늘 굉장히 화제가 된 뉴스입니다. 전 세계 80% 이상을 차지하고 있는 게 인텔이라는 컴퓨터 회사인데요. 인텔의 컴퓨터 반도체 칩을 비롯해 여러 회사들의 칩이 해킹에 노출되기 쉬운 결함을 안고 있다는 보도가 나옵니다. 이번 문제가 아니라 수년 동안 방치된 문제다, 업체들도 수개 월 동안 알고 있었지만 모른 척 하고 있었다, 대처하지 않았다, 이런 비판까지 나옵니다. 당장 피해가 드러나는 건 아니지만 지금 제대로 대처하지 않으면 당장 CPU를 많이 사용하는 업체들, 관계 기관들은 위험에 처할 수 있다. 개인도 마찬가지입니다. 이 문제를 어떻게 바로보아야 할지, 해법을 어떻게 찾아보아야 할지에 대해 정보보안 전문가와 이야기 나눠보겠습니다. 김승주 고려대학교 정보보호대학원 교수입니다. 안녕하십니까.
◆ 김승주 고려대학교 정보보호대학원 교수(이하 김승주)> 네, 안녕하세요.
◇ 김우성> 보안 IT 관계자들 아니면 낯설 수 있지만, 반도체 CPU 칩의 결함이다, 어렵기도 합니다. 이번 문제점은 무엇인가요?
◆ 김승주> 우리가 보통 CPU라고 하면 얼마나 빠른 속도를 내느냐가 관건이지 않습니까.
◇ 김우성> 마케팅 포인트였죠.
◆ 김승주> 보통 CPU를 만드는 회사들은 굉장히 다양한 기법을 사용해서 처리 속도를 끌어 올립니다. 그런데 이번에 발견된 것은 이 처리 속도를 끌어 올리는 기법, 설계 기법에서 문제가 발견된 겁니다. 그래서 지금 보도되기로는 1995년 이후에 출시된 거의 대부분의 인텔 프로세서가 잠재적 영향을 받는다고 얘기가 나오고 있고요. 인텔뿐만 아니라 ARM과 AMD에도 같은 문제가 나올 수 있다고 얘기하고 있습니다. 최근 나온 보도에 따르면 애플도 아이폰이나 아이패드, 맥 컴퓨터도 이러한 취약점에 영향을 받는다고 발표했고요.
◇ 김우성> 지금 1995년부터 잠재적 영향이라고 한다면 20년 가까이 대부분 모든 기기라고 할 수 있지 않습니까.
◆ 김승주> 거의 대부분의 기기라고 보시면 되고요.
◇ 김우성> 아이폰에 들어가 있는 게 AMD에서 만든 프로세스 칩인데요. 이를테면 어떤 위험이 생기는 건가요?
◆ 김승주> 실제로 우리가 보통 요새는 컴퓨터나 플랫폼을 여러 사용자가 쓰도록 되어 있습니다. 무슨 서버라는 건 나 혼자 쓰는 게 아니고 여러 사용자가 사용할 수 있지 않습니까. 통신사들이 클라우드 서비스 같은 것을 제공하잖아요. 클라우드도 여러 사용자가 쓰는 것이지 않습니까. 실제로 다른 사용자의 메모리에 어떤 정보가 올라가 있는지, 사람의 비밀번호가 무엇인지, 어떤 데이터가 있는지에 대해 읽어낼 수 있습니다.
◇ 김우성> 말 그대로 개인정보나 중요, 민감한 정보가 뚫릴 수 있다는 얘기이네요.
◆ 김승주> 특히 공용으로 사용하는 서버라든가 공용으로 사용하는 서비스의 경우 직접적 영향을 받게 됩니다.
◇ 김우성> 미래 기술로 가장 유력한 것을 클라우드로 꼽는데요. 개인이 무거운 기기를 다 들고 다니는 게 아니라 접속만 하면 쓸 수 있는 건데, 이런 문제는 큰 걱정인데요. 보안 전문가들도 여러 얘기를 하는데요. 장단기적으로 문제를 나눠봐야 한다. 이 문제 자체도 장기적 위험, 단기적 위험이 있다고 하는데, 어떤 얘기인가요?
◆ 김승주> 지금 문제는, 미국 정부에서는 이번 문제를 해결하기 위한 가장 좋은 방법은 CPU칩을 교체하는 거라고까지 얘기합니다. 이게 칩 설계상 결함이기 때문에 교체하라는 겁니다. 그런데 그럴 수가 없단 말이죠. 그러다 보니까 임시방편으로 운영체제를 업데이트한다거나 클라우드 프로그램을 업데이트 하거나 해서 임시방편으로 막고 있는 거거든요. 근본적인 문제는 해결이 안 되기 때문에 장기적으로 이것을 활용한 또 다른 공격에 취약할 수 있다고 전문가가 우려하는 거고요. 그래서 임시방편인 조치도 중요하지만 장기적인 대책을 갖고 이것을 근본적으로 어떻게 막을 건지에 대한 안을 내놓아야 한다고 얘기를 하고 있는 겁니다.
◇ 김우성> 새로운 보호 대책을 내놓지 않는다면, 문제가 뚫리기 시작하면 한없이 뚫릴 텐데요. 걱정입니다. 해커들은 이러한 정보를 알게 되면 집약적으로 노력하지 않습니까.
◆ 김승주> 실제로 전문가들이 했습니다. 이 관련 연구원들이 이 내용을 발표했습니다. 어떤 취약점이 있다. 그 리포트를 보고 실제로 공격 도구를 만들어낼 수 있는지, 해킹 도구를 만들어낼 수 있는지 실험했는데 실제 해킹 도구를 만드는데 하루 정도 걸렸다고 봅니다.
◇ 김우성> 패치 및 수정 프로그램 배포하고 있다, 한국에서도 KISA같은 기관에서 내용 공지하고 배포하고 있지만, 해당 회사도 마찬가지이고요. 이게 방법이 될까 걱정이 되는데요.
◆ 김승주> 패치가 나오고 있죠. 아직 모든 패치가 다 나온 건 아니고요. 문제는 인텔의 공식 발표에 따르면 다음주 말까지 최근 5년간 출시된 인텔 CPU에 90%를 아우르는 업데이트를 내보낼 거라고 합니다. 이건 최근 5년간 출시된 거거든요. 그 이전에 출시된 것들은 어떻게 하느냐에 대한 답은 아직 없습니다.
◇ 김우성> 게다가 이 인터뷰 시작하면서 말씀하신 게, 프로세스를 주로 사람들에게 얘기하는 건 더 빨라졌다, 처리 속도가 빨라졌다고 하는데요. 패치해서 응급조치하면 느려진다는 지적이 있는데요.
◆ 김승주> 여기에서 생긴 문제는 CPU를 설계할 때 처리 속도를 높이기 위해서 했던 부분에서 문제가 생긴 거거든요. 이 부분을 고치려고 하니까 속도가 다시 저하되어버리는 겁니다. 전문가들이 보기엔 5%에서 30%까지 느려질 수 있다고 얘기하고 있고요. 애플에서 발표한 것에 따르면 조치를 했더니 2.5%까지 느려지더라는 얘기도 있습니다.
◇ 김우성> 방송사들도 전부 다 컴퓨터와 반도체 프로세스를 사용하고요. 안보 상황도 걱정인데 큰 문제가 아닐 수 없는데요. 근본적인 해결 방법을 얘기해주셨지만, 설계 단계부터 재검토라면 해결 방안이 너무 커지는 것 아닌가 우려되는데요. 어떻게 해야 합니까?
◆ 김승주> 많은 분들이 해킹이라고 얘기하시면 컴퓨터 프로그램을 공격하는 거로 알고 계실 거예요. 그런데 최근 해커들은 CPU나 컴퓨터 하드웨어를 공격하는 쪽으로 많이 바뀌고 있습니다.
◇ 김우성> 프로그램 설치된 거나 콘텐츠에 대한 것을 암호로 풀고 들어오는 게 아니라 컴퓨터 자체를,
◆ 김승주> 하드웨어 자체를 공격해서 문제가 생길 경우 설계 결함이기 때문에 대응하기가 쉽지 않거든요. 더 심각한 문제로 발전할 수 있고요. 그렇기 때문에 특히나 하드웨어 쪽 만드는 업체가 국내에도 많이 있지 않습니까. 하드웨어를 만들 때 설계 단계부터 보안을 신경 쓸 필요가 있습니다.
◇ 김우성> 걱정거리가 커진 것 같은데요. 정보 보안 관련해서 다양한 사회적 이슈를 교수님께서 해설해주시고 계신데요. 걱정해야 할 것들이 많아지는 것 아닌가요?
◆ 김승주> 지금 외국에서도 이번 취약점이 클라우드 서비스에는 직접적으로 영향을 미치거든요. 그래서 외국에서 클라우드 서비스를 제공하는 업체들도 지금 발 벗고 나서서 보안 패치를 내보내고 있습니다. 그런데 우리나라도 클라우드 서비스를 중요한 정책으로 추진하고 있는데요. 우리나라도 면밀하게 볼 필요가 있고요. 특히나 평창올림픽 앞두고 있는데, 일반인들이 몰라서 그렇지 최초의 클라우드 기반 올림픽입니다. 여러 가지 데이터들이 클라우드 서비스로 올라가 있거든요. 클라우드를 이용하는 주요 국가 시설들에 대해서도 점검이 필요할 것 같습니다.
◇ 김우성> 많은 분들이 정보라든지 생활에 필요한 부분들, 클라우드 서비스를 직접 하지 않더라도 그와 유사한 서버에 접속해 다양한 정보 교류를 하시는데 큰 위험이 발견됐습니다. 당장 패치를 까는 것 말고 개인이 예방할 수 있는 조치가 있을까요?
◆ 김승주> 이건 외국 사이트를 봐도 개인이 할 수 있는 건 없습니다. 설계상 문제이기 때문에. 그래서 보통 권고하기에 보안 패치들이 쏟아져 나오고 있거든요. 그래서 업데이트 공지가 올라오는 것을 눈여겨보셔서 업데이트 공지가 뜨면 즉각적으로 업데이트 하실 필요가 있습니다. 주말로 미루지 마시고 즉각적으로 하실 필요가 있습니다.
◇ 김우성> 요즘 컴퓨터를 매개한 다양한 일들이 벌어지고 있습니다. 좀비 PC 얘기도 있죠. 업데이트 바로바로 하면서 개인 정보, 컴퓨터를 보호할 방안을 찾으셔야 할 것 같습니다. 오늘 말씀 감사드립니다.
◆ 김승주> 네, 감사합니다.
◇ 김우성> 김승주 고려대학교 정보보호대학원 교수였습니다.
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
