전 세계 80% 이상의 PC와 서버에서 사용 중인 인텔 중앙처리장치(CPU)의 중대 보안 취약점이 드러난 데는 구글의 역할이 컸다. 구글 보안연구팀 소속 연구원들은 지난해 6~7월께 CPU 결함을 처음 찾아내 인텔에 알렸다. 구글의 활약은 여기서 끝나지 않았다. 새해 들어 CPU 중대 결함이 일반에 알려지며 전 세계 사용자들이 혼란에 빠지자 이를 해결할 대안도 가장 먼저 내놓았다.

구글은 4일(현지시간) 자사 보안블로그를 통해 자체 개발한 보안패치 기술을 공개하면서 이를 적용하면 해킹 위험을 없애면서도 CPU 속도 저하 같은 부작용을 막을 수 있다고 발표했다. 구글이 ‘반도체 강자’인 인텔을 들었다놨다 하고 있다는 평까지 나오고 있다.
인텔도 들었다놨다 한 구글… CPU 결함 찾아내고 해결책도 제시
◆구글이 주도한 ‘CPU 게이트’

구글의 사내 보안분석팀인 ‘프로젝트제로’는 이날 이번 CPU 게이트와 관련해 최근 구글의 전체 정보기술(IT) 인프라에 자체 개발한 신기술을 이용한 보안패치를 적용한 결과를 내놨다. 성능 저하는 ‘무시해도 좋은 수준’에 불과하며, 클라우드 업체를 비롯해 CPU 보안 결함에 따른 IT업계의 피해가 심각하지는 않을 것이라는 내용이다.

이번에 구글이 공개한 기술의 이름은 ‘렙트온라인(ReptOnline)’이다. 다른 회사가 쉽게 따라할 수 있도록 자세한 적용 방법도 웹페이지에 공개했다.

이 기술이 주목받는 것은 기존 해결책이 CPU 성능을 낮추는 부작용이 있는 것으로 알려졌기 때문이다. 인텔은 4일 “지난 5년 내 생산된 프로세서 제품 상당수에 대한 업그레이드가 이미 완료됐다”며 “다음 주말까지 해당 프로세서의 90% 이상에 대한 업데이트가 이뤄질 것으로 예상된다”고 밝혔다. 마이크로소프트(MS)는 전날 윈도10 운영체제(OS)용 긴급 보안 패치를 배포했다. 하지만 이를 적용하면 사용자 CPU의 성능이 5%에서 최고 30%까지 하락할 가능성이 있다는 우려가 나왔다.

렙트온라인 기술이 구글 주장대로 효과를 낸다면 인텔을 비롯해 클라우드 서버를 운영하는 IT업체들은 한숨 돌릴 수 있다. IT업계 전문가들은 이번 결함이 개인용 기기보다 클라우드 서버에 미칠 영향을 우려해 왔다. 미국의 IT 전문매체 더버지는 “구글이 반도체 제조사를 비롯한 글로벌 IT 업체에 좋은 소식을 전했다”고 했다.

이번 사태를 계기로 구글의 보안분석 전문팀인 프로젝트제로 엔지니어들이 주목받고 있다. CPU 보안 문제를 처음 찾아내 인텔을 당황케 한 것도 프로젝트제로 엔지니어를 중심으로 한 공동 연구진이었다. 이번에는 후속 영향도 가장 앞서 분석하고 공개하는 등 관련 이슈를 주도하고 있다.

보안업체 스틸리언의 박찬암 대표는 “구글, 아마존, 텐센트 등 글로벌 IT서비스 기업들은 수준급 화이트해커를 동원해 서비스의 보안 취약점을 찾는 팀을 운영하고 있다”며 “구글 프로젝트제로는 그중에서도 세계 최고 수준으로 꼽히는 팀”이라고 말했다.

◆“보안 위협 완전히 해소 안 돼”

속도 저하 문제는 전환점을 맞았지만 보안 위협은 아직 완전히 해소되지 않은 상황이다. 이번 보안 결함이 일으킨 피해 사례는 아직 공개되지 않았다. 문제가 발생한다면 여러 명이 로그인하는 서버나 클라우드 서버에서 일어날 확률이 높지만 PC나 스마트폰을 쓰는 개인 사용자도 안심할 수만은 없다.

PC 사용자는 CPU 칩셋 업체와 OS 개발사가 배포하는 보안 업데이트와 패치를 적용하면 된다. MS는 윈도 10, 8.1, 7 SP1용 긴급 업데이트 패치를 이미 내놨다. 박 대표는 “OS 업데이트뿐만 아니라 펌웨어 업데이트 점검, 브라우저 업데이트, 백신 프로그램 업데이트 등을 거쳐야 취약점을 막을 수 있다”고 말했다.

안드로이드폰이나 아이폰 등 스마트폰 사용자들은 당분간 매일 OS·보안·앱(응용프로그램) 업데이트를 하는 것이 좋다. 올해 1월 이후 나온 안드로이드 보안 업데이트에는 패치가 적용돼 있다. 구글은 취약점 방어 능력을 더 높이는 추가 패치를 내놓을 계획이다.

유하늘 기자 skyu@hankyung.com