인텔이 중앙처리장치(CPU) 칩셋의 보안 결함을 미국 정부보다 중국 기업을 포함한 소수의 고객사에 먼저 통보한 사실이 뒤늦게 밝혀졌다.

월스트리트저널(WSJ)은 마이크로소프트, 아마존, ARM홀딩스를 비롯해 중국 PC 제조사 레노버와 전자상거래 기업 알리바바 등 일부 대형 고객사가 칩셋의 보안 결함과 관련해 인텔의 사전 통보를 받았다고 28일(현지시간) 보도했다. 반면 감독기관인 미 국토안보부와 국가안보국(NSA)은 올해 초 언론 보도가 나오기 전까지 인텔로부터 아무런 통지를 받지 못한 것으로 알려졌다.

인텔은 지난 3일 서버·PC·스마트폰 등 컴퓨팅 기기의 CPU에 ‘멜트다운’이란 이름의 보안취약점이 존재한다고 밝혔다. 이는 구글의 보안팀 ‘프로젝트 제로’가 작년 6월께 처음 발견해 인텔 측에 알려준 것이다. 따라서 인텔이 대형 고객사에 이 사실을 사전 통보한 시점은 작년 하반기 중일 것으로 전문가들은 보고 있다.

인텔이 소수 기업을 선별해 보안 결함을 먼저 알렸다는 사실이 전해지면서 우려의 목소리가 커지고 있다. 보안 전문가들은 해당 정보가 중국 정부에 넘어갔을 가능성을 걱정하고 있다.

NSA 출신인 제이크 윌리엄스 렌디션인포섹 사장은 “문제의 결함은 클라우드에서 민감한 정보를 훔치는 데 사용할 수 있기 때문에 정보기관도 관심을 기울일 만한 것”이라고 말했다. 그는 “중국 정부가 인텔과 중국 정보기술(IT) 기업들 사이에 오간 정보를 알고 있었을 것이란 건 거의 확실하다”며 “중국 정보당국이 이 같은 교신을 상시 모니터링하고 있기 때문”이라고 덧붙였다.

미리 정보를 얻지 못한 기업들은 불만을 쏟아냈다. 공식 발표에 앞서 사전 통보를 받은 기업들은 칩셋 결함이 보도되자마자 고객 대부분이 보호를 받고 있다는 성명을 낼 수 있었지만 사전 통보 대상에서 제외된 기업들은 발등에 불이 떨어졌다. 클라우드 컴퓨팅 서비스업체인 디지털오션, 랙스페이스 등은 아직도 보완책을 마련하지 못했다. 삼성전자가 인수한 클라우드 기업 조이언트의 브라이언 캔트릴 최고기술책임자(CTO)는 “6개월이나 늦게 정보를 접한 탓에 허둥댈 수밖에 없는 상황”이라고 말했다.

추가영 기자 gychu@hankyung.com