"보안 보증은 목적지가 없는 여정입니다. 인텔에서는 세계적 수준의 표준에 맞춰 프로그램과 프로세스를 지속적으로 평가하고 진화하며, 개선 및 적응을 추구합니다. 이것이 보안 우선 서약의 본질입니다."
4일 오전 원격으로 진행된 인터뷰에서 제리 브라이언트(Jerry Bryant) 인텔 보안 커뮤니케이션·사고 대응 담당 시니어 디렉터가 이렇게 설명했다.
인텔은 지난 2월 중순 보안관련 시장조사업체인 ABI리서치에 의뢰해 발간한 '2024 인텔 제품 보안 보고서'를 공개하고 지난 1년간 각종 제품과 서비스에서 발견된 보안 취약점과 대응 상황을 소개했다.
보고서에 따르면 인텔은 지난 한 해 동안 총 374개의 취약점을 해결했으며, 그중 96%가 선제적 조치로 발견됐다. 특히 하드웨어 취약점 21개는 모두 인텔 내부 인력이 발견한 것이다.
보안 관련 지속 투자로 경쟁사 대비 높은 수준 유지
ABI리서치가 평가한 보안 대비 태세 평가에서 인텔은 82.2점으로 업계 1위를 차지했다. 이는 2위 퀄컴(68.5점)과 상당한 격차를 보이는 수치다.
제리 브라이언트 시니어 디렉터는 "인텔은 보안 개발 라이프사이클(SDL) 프로그램, PSIRT, 혁신적인 버그 바운티 프로그램, 적극적인 보안 연구 역량, 장기 보존 및 지원 랩, 예측 가능한 인텔 플랫폼 업데이트 프로세스로 보안에 지속적 투자중"이라고 설명했다.
보고서에 따르면 지난 해 인텔 제품에서 발견된 하드웨어 신뢰 기반(root-of-trust) 취약점은 경쟁사인 AMD의 33% 수준으로 적었다. 이러한 격차에 대해 브라이언트 디렉터는 인텔의 체계적 접근법을 강조했다.
"인텔 내 하드웨어 신뢰 보안을 담당하는 팀은 보안 우선 사고방식으로 체계적인 접근 방식을 이용해 제품을 개발하도록 돕고 있다. 보안은 인텔 문화에 깊이 뿌리 박혀 있고, 직원들은 이를 달성하기 위해 최선을 다하고 있다."
지난 해 하드웨어 취약점 전부 내부에서 발견
인텔은 지난 해 하드웨어 관련 보안 취약점 중 전체 21개를 모두 내부 연구와 검토 과정에서 해결하고 이에 대한 해결책을 내놨다. 제리 브라이언트 시니어 디렉터는 이것이 인텔의 보안 연구 역량을 잘 보여준다고 설명했다.
"외부 위협과 공격 방법이 끊임없이 진화하고 있으며, 아무도 완벽한 보안을 보장할 수 없다는 것은 누구나 아는 사실이다. 그러나 인텔은 이런 문제를 해결하기 위한 인적 자원을 보유하고 있다."
그는 이어 "최종 제품이 실리콘으로 생산되기 전에 특정 분야에서 발생할 수 있는 문제를 미리 찾아내고 제거하고 있으며 '장기 보존 및 지원 연구실' 역량을 활용해 현재 발견된 문제가 이미 출시된 다른 제품에도 존재하는지 파악하고 있다"고 설명했다.
전체 취약점 중 53% 버그 바운티로 발견... 보안 업계와 협력
주요 소프트웨어·하드웨어 업체들은 보안 취약점을 발견하는 개인이나 보안 회사에 보상금 등을 지급하는 '버그 바운티' 프로그램을 진행한다. 인텔 버그 바운티 프로그램은 지난 해 전체 취약점의 53%를 발견하는 성과를 거뒀다.
제리 브라이언트 시니어 디렉터는 "버그 바운티 프로그램의 이런 성과는 단시일 안에 만들어지지 않았다"며 "2018년부터 시작해 보안 전문가/학계와 적극적으로 협력해 얻은 성과"라고 설명했다.
그는 "인텔은 단순한 버그 바운티 프로그램에서 한 단계 더 나아가 2022년부터 '서킷 브레이커 프로젝트'를 시작했다. 인텔 엔지니어가 보안 관련 연구진이 하드웨어나 펌웨어에도 집중할 수 있도록 일정 기간동안 이를 지원하고 있다"고 설명했다.
이어 "현재까지 다른 실리콘 공급업체는 인텔 '서킷 브레이커 프로젝트'와 비슷한 프로그램을 운영하지 않는 것으로 안다"고 덧붙였다.
일정한 업데이트 주기로 사전 검증 효율 향상
인텔은 현재 매 분기별로 제품이나 소프트웨어 관련 보안 취약점을 공개하고 패치와 업데이트를 적용하는 '인텔 플랫폼 업데이트'(IPU) 프로세스를 운영중이다.
제리 브라이언트 시니어 디렉터는 "하드웨어와 펌웨어 업데이트 주기를 일정하게 유지하면서 전체 생태계가 일정한 날짜에 최종 업데이트를 제공할 수 있다는 것이 가장 큰 장점"이라고 설명했다.
관련기사
- 인텔 "레노버와 30년간 협업... 기업용 AI PC도 함께 선도할 것"2025.02.26
- 인텔, 제온 6700/6500 시리즈 프로세서 출시2025.02.25
- 삼성디스플레이, 인텔과 차세대 'AI PC' 시장 공략2025.02.23
- 인텔, 올해 AI·데이터센터 전략 전면 수정2025.02.03
그는 대규모 PC 제조사를 예로 들어 "이들 업체는 수백 개의 제품에 업데이트를 적용하고 검증해야 한다. 예측 가능한 업데이트 주기는 사전 검증과 리소스 투입 효율성을 높인다"고 설명했다.
제리 브라이언트 시니어 디렉터는 "인텔은 문제를 찾아 완화하는 인력의 역량과 절차에 대해 자신감을 가지고 있다. 문제가 발생한다면 인텔 플랫폼 업데이트 등 관련 절차를 통해 생태계에 해결 방법을 신속하게 제공하는 충분한 능력을 가지고 있다"고 강조했다.
