칼럼/사설

[칼럼] 보안상의 이유로 말씀드릴 수 없습니다


  • 김영로
    • 기사
    • 프린트하기
    • 크게
    • 작게

    입력 : 2012-06-25 10:44:14

    얼마 전 인텔은 샌드포스 SF-2281 SSD 컨트롤러를 쓴 520 SSD시리즈 제품에서 AES 256비트 암호화 기술에 문제가 생겼다고 밝혔다. IT 관련 미디어에서 리콜이라는 이름으로 발표한 이 뉴스의 속을 좀 들여다보면 뭔가 시원치 않은 구석이 있다. 

     

     

    먼저 이번 논란의 중심이 되고 있는 인텔 SSD 520 시리즈를 알아보자. 인텔은 세계적인 프로세서 회사이다. 프로세서 역시 반도체의 하나이고, 인텔은 흔히 메모리라고 말하는 낸드(Nand) 메모리에서도 상당한 위치를 차지하고 있는 강자다. SSD값의 절대적인 비중을 차지하는 것이 낸드 메모리와 컨트롤러라는 것을 생각하면 인텔에 CPU의 인지도를 기반으로 SSD 시장에 뛰어든 것은 충분히 이해되고 남음이 있다.

     

    그런데 SSD는 단지 메모리만으로는 움직이지 않는다. 이런 메모리를 마치 하드디스크처럼 SSD답게 생명력을 불어넣어주는 것이 바로 컨트롤러다. 이번에 문제가 된 샌드포스는 이런 컨트롤러 전문 제조사다. 마치 엔비디아나 ATI가 그래픽카드는 직접 만들지 않지만, 칩셋을 만들어 수많은 제조사에 공급하는 것과 비슷하게 샌드포스 역시 샌드포스 드라이븐이라는 정책으로 수많은 SSD제조사들과 협력관계를 맺어왔다.

     

    SSD제조사 입장에서는 사실 샌드포스 말고는 대안을 찾기 어려울 정도 샌드포스 컨트롤러는 대단한 위치였다. 문제는 샌드포스의 핵심 경쟁력이 기술력보다는 가격, 빠른 제품 개발 등에 있었다는 점이다. 그래서 이번 리콜 이전에도 SSD사용자들에게서는 SSD가 마치 얼어붙은 것처럼 순간적으로 작동을 멈추는 프리징(Freezing) 현상 등으로 그리 좋지 못한 평가를 받아온 것이 사실이다. 물론 샌드포스는 이런 고객의 불만을 꾸준한 업데이트를 통해 해결해오기는 했지만, 경우에 따라서는 업그레이드된 것이 아니라 오히려 퇴보했다는 평가를 받기도 했다. 물론 현재 컨트롤러를 만드는 회사가 샌드포스를 빼고 나면 삼성과 마벨 정도에 불과한 것이 사실이다.

     

     

    인텔 역시 처음부터 샌드포스를 쓴 것이 아니다. 마벨 같은 회사에 OEM 방식으로 제품을 만들어 써왔다. 2011년까지는 주로 마벨칩을 달아 상당히 안정적인 모습을 보여준 제품을 선보였다. 하지만 불경기에 싼값에는 장사가 없다고, 다른 제조사들이 경쟁적으로 샌드포스 컨트롤러를 달고 싼 값에 제품을 선보이자 인텔 역시 결국 샌드포스 컨트롤러를 쓴 제품들을 선보였다. 그리고 그 다음 이야기는 모두 아는 바와 같다.

     

    물론 이번에 환불까지 이르게 된 원인은 성능이나 호환성 또는 버그 같은 예전부터 SSD를 써왔던 소비자들이 주로 요구했던 문제는 아니다. 샌드포스 SF-2281 SSD 컨트롤러에 담긴  AES 256비트 데이터 암호화 기능이 실제로는 256비트가 아닌 128비트로 움직였고, 이 문제가 펌웨어 같은 소프트웨어 기술로는 수정할 수 없다는 것 때문에 불거진 문제다.

     

     

    SSD에 적용된 AES (Advanced Encryption Standard) 기술이란 말 그대로 암호화 기술이다. 하드웨어 기반 컨트롤러와 암호화 기술을 바탕으로 저장되는 데이터를 암호화해서 혹시 모를 정보 유출 등을 줄어준다. 이 과정에서 필연적으로 발생하는 성능 저하를 줄이기 위해 관련 알고리즘을 아예 컨트롤러에 담은 것이다.

     

    이번 샌드포스 SF-2281 SSD 컨트롤러의 결함에 대해, 샌드포스 측에서는 직접적인 언급은 자제하는 분위기다. 다만 흘러나오는 뉴스에선 보안상의 문제로 인한 미국 당국의 수출 규제 요구에 AES 256비트가 포함되었기 때문에, 샌드포스는 기술력은 있으나 어쩔 수 없이(?) 256비트가 아닌 128비트로 제품을 만들었다고 주장하고 있다는 소식이다. 보안기술이 보안상의 문제로 사건이 되는 정말 어처구니없는 일이 생긴 셈이다.

     

    물론 대부분의 경우에는 암호화 기술을 쓰지 않는 경우도 많고, AES 128비트 암호화 기술만 하더라도 지금의 기술로는 약 10억 년 가량의 시간이 걸린다는 주장도 있기에, 굳이 AES  256비트를 쓰지 못한다고 하더라도 암호화 성능에는 큰 영향은 없을 것으로 주장하는 이들도 있다. 

     

    언제나 그렇듯 리콜, 특히 인텔의 리콜은 조금은 이해되지 않는 부분이 있다. 먼저 이번 AES 256비트 암호화 결함 문제가 샌드포스 SF-2281 컨트롤러를 사용한 모든 제품에 해당하는 것인지, 아니면 인텔 제품에서만 문제가 되는 것인지가 확실하지 않다. 참고로 같은 부품을 쓰는 다른 회사의 대응이 거의 없다는 것도 이상하다.

     

    더군다나 최근 선보인 인텔 330 시리즈 SSD는 똑같은 샌드포스 SF-2281 SSD 컨트롤러를 쓰지만, 스펙 문서에 자세한 암호화 기능을 명시해 놓고 있지 않았다는 이유로 이번 환불 프로그램에는 포함되지 않았다. 소비자들이나 제품을 판매처에서는 헷갈릴 노릇이다.

     

    즉, 보안상의 이유로 보안 강도를 일부러 낮게 만들었지만 ‘실수’로 높게 표기했다는 샌드포스나 이 제품이 선보인지 거의 일 년이 지났는데 굳이 지금 와서 신제품 교환이 아닌 오로지 환불로 대응하는 인텔이나 뭔가 시원하지 않고 수상하다. 혹시 이것도 보안상의 이유인가?


    베타뉴스 김영로 (bear@betanews.net)
    Copyrights ⓒ BetaNews.net