구글이 공개한 인텔의 CPU(중앙처리장치) 결함이 일명 ‘CPU 게이트’로 확산되는 가운데, 다음 달 9일 개막을 앞둔 2018 평창동계올림픽의 클라우드 서비스에 대해 전문가들이 보안 관련 우려를 제기했다.
김승주 고려대학교 정보보호대학원 교수는 8일 코리아헤럴드와의 통화에서 “세계 최초로 선보일 클라우드 기반 평창동계올림픽의 보안에 대한 철저한 점검이 필요하다”며 “아직까지 조직위에서 현장조사 등에 나서고 있지 않은 것으로 알고 있다”고 전했다.
김 교수는 현재 평창올림픽 조직위 정보보호전문위원 중 한 명이다.
김 교수에 따르면 올림픽조직위원회(IOC)가 네덜란드 소재 데이터센터에 올림픽 관련 각종 데이터 및 선수들 정보를 보관하고 있으며 평창동계올림픽 공식 통신 파트너사인 KT가 목동 인터넷데이터센터(IDC)에 구축한 클라우드 서버를 통해 올림픽 기간 동안 관련 데이터를 송수신할 계획이다.
김 교수는 “구글 보안팀이 인텔 CPU 결함에 관한 보고서를 공개한 지 불과 며칠이 되지 않았기 때문에 아직 조직위에서도 별다른 보고를 받지 못했다”고 전했다.
지난 3일 구글 보안팀이 공개한 인텔 CPU의 두 가지 결함은 멜트다운(Meltdown) 과 스펙터(Spectre)이다.
김 교수가 그의 페이스북 포스팅을 통해 설명한 바에 따르면, 인텔과 같은 프로세서 제조사들은 최근 고사양 PC와 모바일 기기에 들어가는 CPU 성능을 극대화하기 위해 명령어의 순서를 바꾸거나, 다음에 실행할 명령어 순서를예측해 미리 실행시키는 방법 등을 통해 성능을 향상시키고 있다.
이 과정에서 잘못된 예측이나 틀린 명령어 순서로 인해 생긴 선행 작업의 결과가 무시(discard)되는데, 이 때 이 결과들은 완전히 없어지는게 아니라 캐쉬메모리(cache memory)에 그대로 저장되어 해커들의 공격대상이 된다.
김 교수는 “결과적으로 이 공격을 이용하면 운영체제 커널 영역의 메모리를 들여다본다던지, 다른 사용자의 메모리 영역을 마음대로 들여다본다던지, 즉 메모리 전체 영역을 내 마음대로 접근(access) 할 수 있게 있게 되며, 바로 이러한 이유로 이 공격은 클라우드 서비스와 같은 다중 사용자 시스템의 경우 특히 치명적”이라고 명시했다.
이와 같은 우려에 대하여 오상진 평창동계올림픽 조직위 정보통신국장은 지난 주 보고서가 공개된 이후 “가용한 범위 내에서 대응을 하고 있으며 충분한 수준”이라고 말했다.
오 국장은 “조직위에서 2016년 4월, 2017년 4 ~5월 경 두 차례 네덜란드 데이터센터 현장점검을 실시했으며, 최근 인텔 게이트 발발 이후에는 서면 보고 형식으로 보안에 대한 점검을 진행하고 있다”고 전했다.
또한 지난 주부터 과학기술정보통신부가 배포하기 시작한 소프트웨어 패치 파일 등을 통해 대응 중이라고 밝혔다.
오 국장은 “평창동계올림픽에 사용되는 클라우드 서버는 사실 프라이빗(private) 형태로, 실제로 중요한 데이터는 외부에 공개되지 않는 구조”라고 덧붙였다.
업계에 따르면 최근 클라우드 서버에 사용되는 CPU의 대부분(약99%)을 인텔이 공급한 것으로 전해진다.
송수현 코리아헤럴드 기자 (
song@heraldcorp.com)