인텔이 CPU 칩셋 보안 결함을 중국 IT기업을 포함한 소수 고객사에게 먼저 통보한 것으로 알려졌다.
월스트리트저널(WSJ)은 마이크로소프트, 아마존, ARM홀딩스, 중국 레노버와 알리바바 그룹이 사전에 관련 내용을 통보받았다고 보도했다.
반면, 국토안보부와 국가안보국(NSA) 등 미국 정부 기관은 보도가 나오기 전에 인텔로부터 칩셋 결함과 관련해 아무런 연락을 받지 못했다는 것이다.
IT업계는 인텔이 통보 대상을 선별한 것에 술렁인다. 일부 보안 전문가들은 해당 정보가 일찌감치 중국 정부에 넘어갔을 가능성을 우려한다.
해당 결함은 지난해 6월 구글 보안팀 한 직원에 의해 밝혀졌다. 인텔은 보완책을 마련하느라 여러 차례 지체한 끝에 공식 발표일을 1월 9일로 잡았다. 영국 인터넷 매체 레지스터 보도가 나온 다음날인 지난 3일 서둘러 이를 발표했다.
인텔 측은 WSJ에 이메일로 보낸 성명에서 결함이 공개되기 수개월 전부터 구글과 주요 컴퓨터 제조업체, 클라우드 컴퓨팅 서비스 업체들과 보완책을 마련하고 있었다고 밝혔다.
인텔의 한 대변인은 9일로 예정된 공식 발표에 앞서 사전 통보를 받은 기업들을 밝히려 하지 않았다. 다만 예상보다 빨리 보도된 탓에 미국 정부를 포함, 당초 계획한 모든 통보 대상에 이를 알릴 수는 없었다고 주장했다.
마이크로소프트와 구글, 아마존 등은 미리 통보를 받은 덕분에 칩셋 결함이 보도되자마자 클라우드 컴퓨팅 고객들 대부분은 보호를 받고 있다는 성명을 낼 수 있었다.
레노버의 한 대변인은 “업계 파트너와 미리 준비를 마쳤기 때문에 인텔의 발표 당일인 지난 3일 자사 고객들에게 결함을 알리는 보도자료를 냈다”고 말했다. 알리바바 그룹의 한 대변인은 사전 통보를 받았는지 여부에 대해서는 논평을 피했다.
보안회사 렌디션 인포섹의 제이크 윌리엄스 사장은 문제의 결함은 클라우드에서 민감한 정보를 훔치는데 사용될 수 있기 때문에 정보기관에도 지대한 관심사라고 말했다.
통보 대상에서 제외된 군소 기업은 불만의 목소리가 높다. 클라우드 서비스 업체인 디지털오션과 랙스페이스 등은 아직도 보완책을 시험하거나 마련하고 있는 상태라고 밝혔다.
삼성전자에 인수된 클라우드 서비스 회사 조이언트의 브라이언 캔트릴 최고기술책임자(CTO)는 6개월이나 뒤처진 탓에 다급한 상황이라고 말했다. 미국 국토안보부는 중대 결함이 있으면 언론 보도에 앞서 이를 통보받는다. 국토안보부는 이번엔 뉴스를 통해 알게 됐다고 밝혔다.
NSA도 사정이 다르지 않았다. 백악관 사이버보안 책임자인 롭 조이스는 지난 13일 트위터를 통해 NSA도 결함을 모르고 있었다고 말했다.
월 스트리트 저널은 국토안보부가 초기에 잘못된 대처 방향을 제시한 것도 이와 무관치 않다고 지적했다. 국토안보부 긴급대응팀(CERT)은 당초 칩을 교체하는 것이 유일한 대책이라고 밝혔지만 현재는 패치를 권고했다.
김인순 보안 전문기자 insoon@etnews.com