[IT CEO 열전] 인텔 CPU 보안 문제... 사용자들이 화난 이유는 현 CEO 때문?
[IT동아 강일용 기자] 세계 최대의 CPU(중앙처리장치) 제조 기업인 인텔은 CEO(최고경영자)를 뽑을때 반드시 준수하는 원칙이 있다. 외부 인사를 영입하지 않는다는 것이다. 인텔내에서 20년 이상 근무해 회사의 사정에 통달한 기술자만이 인텔의 CEO에 앉을 수 있다. 창업주인 로버트 노이스와 고든 무어 이래 5대 CEO였던 폴 오텔리니까지 반드시 지켜진 원칙이었다. 우수한 엔지니어를 토대로 기술 리더십을 확보하고 이를 바탕으로 돈을 벌어들이는 것이 인텔의 정체성이기 때문이다.
<브라이언 크러재니치 인텔 CEO. 출처 플리커>
인텔의 여섯 번째 CEO이자 현 CEO인 브라이언 크러재니치(Brian Krzanich, 브라이언 크르자니크)도 여기 해당한다. 그는 1959년 미국 캘리포니아 샌타클라라에서 태어났다. 과수원 농장만 가득하던 시골이었던 샌타클라라에 인텔이라는 기업이 들어서고 실리콘밸리로 변화하는 모습을 지켜보며 성장했다. 어린 크러재니치는 이를 지켜보며 자신도 커서 인텔에서 일해야겠다고 결심하게 된다. 새너제이 주립대학에서 화학을 전공한 후 1982년 그는 어린시절 소원대로 인텔에 입사하게 된다. 1982년부터 1996년까지 뉴멕시코주에 있는 인텔의 반도체 공장에서 CPU를 설계하는 엔지니어로 일하게 되었다.
1996년부터 그는 엔지니어 대신 관리자의 길을 걷는다. 1996년 인텔 애리조나 공장의 관리자로 발령되었고, 이후 미국 전역의 반도체 공장의 관리직을 맡게 되었다. 2007년부터는 회사의 주요 임원으로서 인텔의 물류(SCM)를 책임지게 되었다. 2012년 1월 인텔의 2인자인 최고운영책임자(COO)가 되었고, 2013년 5월 모바일 대응 실패와 건강상의 문제로 물러난 전임자 폴 오텔리니의 뒤를 이어 인텔의 CEO에 올랐다. 입사 30년만에 일개 사원에서 회사를 책임지는 최고의사결정권자로 거듭난 것이다.
CEO가 된 크러재니치의 어깨는 매우 무거웠다. 한때 5000억 달러가 넘었던 인텔의 시가총액은 크러재니치가 CEO로 취임한 시기에는 3분의 1 수준으로 떨어져 있었다. 원인은 모바일 대응 실패였다. PC나 데이터센터용 CPU 시장에선 독주하고 있었지만, 새롭게 떠오르는 모바일 CPU 시장에선 경쟁자 ARM, 퀄컴 등에 밀려 아무런 힘을 쓰지 못했다.
<인텔 로고>
이러한 난국을 타개하기 위해 크러재니치가 선택한 방법은 신사업 발굴이었다. CPU뿐만 아니라 5G 무선 네트워크, 인공지능, 자율주행차, 사물인터넷, 웨어러블 기기, 가상현실 등이 인텔이 나아가야 할 길이라고 선언하고 관련 연구 개발과 인수 합병 등을 진행했다.
하지만 결과는 신통치 않았다. 5G, 인공지능, 자율주행차 등은 상용화까지 많은 시간이 필요한 기술이었고, 웨어러블 기기와 가상현실은 사용자들이 시큰둥하게 반응함에 따라 시장 형성 자체에 실패했다. 크러재니치의 신사업 구상은 실패의 연속이었다. 2016년 5월에는 스마트폰용 모바일 CPU를 만드는 사업을 포기했다. 이에 따른 손해는 100억 달러에 이를 것으로 추산된다. 모바일 CPU를 만드는 사업을 포기함에 따라 인텔은 경쟁사 퀄컴처럼 모바일 CPU와 네트워크 칩셋이 하나로 합쳐진 원칩 대신 LTE나 5G를 위한 네트워크 칩셋만 생산할 수 있게 되었다.
인공지능 반도체 사업의 경우 과거 경쟁자로도 생각지 않았던 엔비디아의 약진 때문에 힘을 쓰지 못했다. 인텔이 인공지능 칩셋과 기술로 밀어붙였던 '제온 파이'와 '오픈 CL'은 엔비디아의 '테슬라'와 '쿠다'에 밀려 업계 표준의 자리를 내주고 만다. 인텔은 인공지능 칩셋의 이름을 연산보조장치(코프로세서, co-processor)로 정의했으나, 이는 엔비디아와 젠슨 황이 제안한 'GPGPU(일반목적용 그래픽프로세싱유닛)'에 밀려 거의 쓰이지 않는다. 학술적으론 연산보조장치라는 표현이 더 옳음에도 불구하고 말이다.
<현 인텔 CEO인 브라이언 크러재니치. 출처 플리커>
웨어러블 기기 사업도 실패했다. 크러재니치와 인텔은 2014년 웨어러블 기기 제조사 베이시스 사이언스를 1억 달러에 인수하고 다양한 스마트워치와 스마트밴드를 시장에 선보였다. 하지만 별다른 반향을 이끌어내지 못하고 잊혀지고 말았다. 결국 2016년부터 사업부를 정리하고 2017년에는 웨어러블 기기 시장에서 완전히 철수하고 만다.
어디에나 적용할 수 있는 범용 사물인터넷 칩셋을 만들겠다는 야심도 무너졌다. 크러재니치와 인텔이 야심차게 진행한 범용 사물인터넷 모듈인 에디슨, 갈리레오, 줄, 큐리 등은 모두 실패하고 2017년 초 사업을 접고만다. 큰 기업과 대규모 거래만 해왔기 때문에 개발자를 상대로 소소하게 칩셋을 판매하는 사업을 해본 경험이 없었던 것이 패착이었다.
그나마 다행인 것은 인공지능 반도체와 자율주행차 분야에서 제법 괜찮은 입지를 확보할 수 있었던 점이다. 크러재니치와 인텔은 용도변경이 가능한 반도체(FPGA) 업체인 알테라와 자율주행차의 원천 기술을 보유한 모빌아이를 각각 167억 달러와 153억 달러에 인수함으로써 인공지능 반도체와 자율주행차 분야에서 앞서나갈 수 있었다. 하지만 이는 온전히 크러재니치의 업적이라기 보다는 인수 합병을 통해 이뤄낸 결과라 조금 빛이 바랬다.
실패, 실패, 실패의 연속이었다. 크러재니치의 미래 설계가 이렇게 실패한 이유는 무엇일까? 많은 이들이 연구 개발의 부재(不在)를 꼽는다. 하지만 이는 사실과 다르다. 인텔은 매년 100억 달러가 넘는 비용을 연구 개발에 투자하고 있다. 2016년만 해도 127억 달러를 연구 개발에 투자했다. 이는 삼성전자의 연구 개발 비용의 4.5배에 달하는 수치다.
크러재니치의 미래 설계가 실패한 이유는 선택과 집중의 부재에 있다. 메모리 사업을 접고 CPU 시장에 진출한 후 인텔을 세계 최대의 반도체 기업으로 키운 인텔의 3대 CEO 앤디 그로브는 "편집광만이 살아남는다(Only the paranoid survive)"며 '무어의 법칙' 실현과 CPU 시장 점령에 회사의 모든 역량을 집중했다. 자본과 인력을 갈아넣어 무어의 법칙을 강제로 실현했고, 이를 통해 얻은 기술 리더십으로 반도체 시장을 선도했다. 앤디 그로브의 광(狂)적인 집착을 담은 경영을 통해 1990년대 인텔은 역대 최고의 전성기를 누리게 되었다.
무어의 법칙: 반도체의 정밀도는 18개월마다 2배씩 늘어난다는 반도체 업계의 법칙. 사실 고든 무어는 이 법칙을 주장한 적이 없고, 이를 현실화한 것은 앤디 그로브다.
반면 크러재니치는 뉴욕타임즈와의 인터뷰에서 "앤디 그로브의 철학을 여전히 믿지만, 이제 인텔은 다양한 분야로 영역을 확대하는 변화가 필요하다"며 "무어의 법칙보다 인텔과 파트너의 생태계를 만드는 것이 훨씬 중요하다"고 말했다. 인텔을 세계 최대의 반도체 회사로 만들어주었던 원동력을 부인한 것이다. 이후 크러재니치는 반도체 미세화 공정 투자와 CPU 관련 신 기술보다는 자신이 제안한 미래 산업들에 회사의 연구 개발 역량을 나눠서 배치했다.
결과는 모두 실패로 돌아왔다. 반면 인텔의 오랜 경쟁자였던 AMD의 CEO 리사 수는 "훌륭한 제품(CPU)을 개발하는 것이 가장 중요하다"며, 여기저기 흩어져있던 연구 개발 인력이 차세대 CPU 아키텍처 개발에만 집중하도록 했다. 그 결과 AMD는 4년 넘게 벌어져 있던 인텔과의 CPU 기술 격차를 단숨에 따라잡을 수 있었다.
이러한 크러재니치의 실책에도 불구하고 인텔의 경영 성적은 결코 나쁜 편이 아니다. 2015년 이후 인텔의 주가는 급격히 오르기 시작했고, 2017년 말에는 크러재니치가 처음 CEO 자리에 앉았을 때의 두 배인 46달러에 이르게 된다. 닷컴버블이 꺼진 이후 최대치를 갱신한 것이다. 이유는 인텔의 주요 고객들의 급성장이다. 인텔의 가장 큰 고객인 아마존, 구글, 마이크로소프트, 페이스북, 텐센트, 알리바바 등이 인터넷 서비스와 클라우드 컴퓨팅 시장의 성장에 대응하기 위해 대규모 데이터센터를 지으면서 인텔의 CPU를 대량으로 구매하기 시작했다. 인텔의 서버용 CPU는 생산하기 무섭게 이들의 데이터센터에 흘러들어갔고 인텔의 영업이익도 나날이 증가했다. 인텔을 먹여살리는 것은 여전히 앤디 그로브의 유산인 CPU였다.
별로 좋지않은 미래 설계 전략에도 불구하고 크러재니치의 대외적인 평가는 좋은 편이다. 사회공헌적 기업가로서의 면모가 강하기 때문이다. 크러재니치는 기업의 도덕적 책임을 언급하며 분쟁지역에서 생산된 희귀광물을 자사의 CPU에 이용하지 않기로 결정했다. 또한 여성의 사회 진출과 가난한 소수 민족을 돕기 위해 인텔이 2020년까지 3억 달러를 기부하겠다고 밝히기도 했다.
여기까지만 보면 경영 능력은 아쉬운 부분이 있지만, 나름 열심히 노력하는 CEO의 일대기 같아보인다. 하지만 인텔이 'CPU 게이트'에 휘말리고 크러재니치의 부적절한 처신이 도마에 오르면서 모든게 달라졌다.
오비이락(烏飛梨落)인가 내부자거래인가
1월 3일 역대 최악의 CPU(중앙처리장치) 보안 스캔들이 터졌다. CPU의 근본적인 설계 결함을 악용해 해커가 사용자의 암호와 중요한 데이터를 훔칠 수 있다는 사실이 드러난 것이다.
구글 보안 기술팀과 오스트리아 그라츠공과대학은 공동 연구를 통해 현재 이용되고 있는 CPU에는 치명적인 보안 결함이 있다는 사실을 밝혀냈다. '멜트다운(Meltdown, 붕괴)'과 '스펙터(Spectre, 유령)'라고 이름 붙여진 이 결함을 악용하면 해커는 암호화되어 있지 않은 일반 데이터뿐만 아니라 웹 브라우저에 저장된 암호, 이메일이나 메신저로 주고받은 내용, 개인의 비밀이 담긴 사진, 중요한 업무용 문서까지 PC와 스마트폰에 담겨있는 모든 중요한 데이터를 탈취할 수 있다.
<멜트다운과 스펙터>
멜트다운은 인텔 CPU에 적용된 '비순차적 명령어 처리(OoOE)' 기술의 버그를 악용한 보안 취약점이다. 사용자의 중요 데이터가 처리되는 CPU의 캐시 메모리는 응용 프로그램이 접근할 수 없는 격리구역이지만, 멜트다운을 이용하면 이 보안 구조가 붕괴되어 누구나 사용자의 중요 데이터에 접근할 수 있다. 멜트다운은 인텔이 1995년 펜티엄 프로에 처음 도입한 이래 자사 대부분의 CPU에 이용 중인 기술 때문에 생겨난 문제다. 시중의 모든 인텔 CPU에서 일어날 수 있다. (이후 ARM의 일부 CPU에서도 멜트다운이 일어나는 것으로 확인되었으나, 인텔만큼 많이 이용되는 제품은 아니다.)
스펙터는 CPU 속에 담겨있는 수 많은 '분기 추측 실행(BPE)' 명령어에서 일어나는 버그를 악용한 보안 취약점이다. 스펙터를 이용하면 해킹 프로그램이 다른 응용 프로그램의 내부를 훔쳐볼 수 있게 된다. 멜트다운처럼 심각한 문제는 아니자만 많은 명령어를 갖춘 현대 CPU는 이 스펙터가 일어날 위험성을 내포하고 있다. 때문에 인텔뿐만 아니라 AMD, ARM의 CPU에서도 스펙터가 일어날 수 있다.
구글은 지난 해 6월 1일 인텔 등 CPU 제조사들에게 비공개로 이 두 문제점을 통보했다. CPU 제조사들이 보안 패치를 개발할 수 있도록 하기 위함이다. CPU 제조사들은 마이크로소프트, 애플, 레드햇, 아마존 등과 협력해 보안 패치를 개발해서 운영체제와 서비스에 적용하기 시작했다. 현재 윈도10, 맥OS 하이시에라, 레드햇 리눅스 등 최신 운영체제에 적용되었고, 향후 윈도7과 윈도8 같은 구형 운영체제에도 적용될 예정이다. 주요 클라우드 컴퓨팅 업체의 서버에도 보안 패치가 적용되었다.
이번 CPU 보안 스캔들 때문에 인텔은 창사 이래 최대의 위기를 맞이하게 되었다. 1995년 이후 판매한 모든 제품에 문제가 있었다고 밝혀졌기 때문이다. 1994년 제품 설계를 잘못해 초기 펜티엄 프로세서를 전량 리콜해야했던 '펜티엄 게이트'를 능가하는 문제다.
<멜트다운을 이용해 아이디와 패스워드를 마음대로 들여다보는 시연 영상>
보안 패치를 하면 인텔 CPU의 성능이 최소 5%에서 최대 30%까지 저하된다고 알려진 상태다. 특히 데이터를 보조저장장치에서 CPU로 옮길때 이용하는 입출력 성능(I/O)이 급격히 저하되는 것으로 확인되었다. 이는 인텔의 최대 고객인 아마존, 구글, 마이크로소프트, 페이스북, 텐센트, 알리바바 등 인터넷 서비스 및 클라우드 컴퓨팅 기업에게 치명적인 이슈다. 보안 패치를 하면 바로 서비스의 성능이 떨어지고, 이를 보강하기 위해 추가로 서버 등을 구매해야 하기 때문이다. 인텔은 장기적으로 이들에게 CPU 보안과 성능에 대한 신뢰를 잃고, 최악의 경우 소송에도 직면할 수 있다.
인텔의 대처와 현 인텔 CEO 브라이언 크러재니치의 부적절한 처신도 논란이 되고 있다. 인텔은 구글의 정보 공개가 일어난 후 CPU 보안 결함은 인텔뿐만 아니라 AMD, ARM 등 경쟁사에서도 일어나는 문제라고 밝혔다. 하지만 가장 큰 문제인 멜트다운과 성능 저하는 인텔 CPU에서만 일어나는 문제라 이를 두고 많은 사용자들이 "인텔이 큰 문제가 아닌 스펙터까지 끌어들여 '물타기'를 시도하고 있다"고 비꼬았다.
이후 인텔은 향후 보안 업데이트 계획을 공개했다. 최근 5년 내에 출시된 인텔 CPU 가운데 90%에 적용되는 패치를 다음 주 말에 공개할 것이라고 밝혔다. 하지만 출시된지 5년이 넘은 CPU에 보안 업데이트를 언제 제공할 것인지는 밝히지 않았다. 구형 CPU와 서버를 이용하는 기업은 보안 패치가 나오기 전까지 해커의 공격에 무방비로 노출될 수밖에 없다.
하지만 무엇보다 사용자들을 화나게 한 것은 크러재니치의 부적절한 처신이다. 크러재니치는 지난 해 11월 29일 인텔 CEO가 반드시 보유해야 하는 최소 주식인 25만 주를 제외한 나머지 보유 주식과 스톡옵션 88만 9878주를 매도해 2400만 달러를 벌어들였다. 크러재니치는 인텔의 CEO로서 그 누구보다 멜트다운과 스펙터에 대해 잘 아는 인물이다. 구글이 인텔에 멜트다운과 스펙다운을 알려준 시점은 지난 해 6월이며, 이때부터 보안 패치 개발이 시작되었기 때문이다.
그런 크러재니치가 회사의 악재를 앞에 두고 주식을 매도한 것은 '내부자거래(Insider Trading)'라는 의심을 피하기 힘든 처사다. 내부자거래란 기업의 임직원이나 주요주주가 일반인에게 공개되지 않은 기업의 중요한 정보를 이용해 해당 기업의 주식을 거래하는 것을 뜻한다. 선량한 주주들에게 큰 피해를 입힐 수 있기 때문에 한국, 미국을 포함한 거의 대부분의 국가가 이를 범죄로 보고 엄격히 금지하고 있다.
물론 크러재니치의 주식 매도가 내부자거래가 아닌 오비이락(烏飛梨落)일 수도 있다. 미국 증권거래위원회(Securities and Exchange Commission)는 내부자거래를 막기 위해 기업의 고위임원이 자신이 보유한 주식 가운데 일부를 일정 시기에 반드시 처분하도록 규정하고 있다. 악재가 있든 호재가 있든 반드시 해당 시기에 처분해야 한다. 이번 주식 매도도 이러한 규정 때문에 이뤄졌다. 하지만 CEO 직위 유지를 위한 최소보유량을 제외한 나머지 주식을 모두 처분한 것은 증권거래위원회의 규정과는 무관한 크러재니치의 결정이다. 현재 비즈니스인사이더 등 미국의 경제지들은 이 부분을 문제 삼아 크러재니치의 주식 매도가 부적절하다고 지적하고 있다.
인텔의 CPU 보안 스캔들은 우리에게 많은 영감을 준다. 기업은 언제든 위기에 처할 수 있다. 중요한 것은 위기에 대처하는 자세다. '말 한마디로 천냥 빚을 갚는다'는 격언에서 알 수 있듯이 위기에 잘 대처하면 오히려 위기를 기회로 반등시킬 수도 있다. 슬프게도 인텔의 위기 대처는 '이렇게 하면 안된다'를 교과서적으로 보여주고 있다. 물타기를 동반한 변명, CEO의 주식 처분 대신 성의있는 사과와 후속 대처, 재발 방지를 위한 노력 공개, CEO 및 전현직 임원의 주식 거래 동결 등을 보여주었다면 여론이 이렇게 악화되었을까? 기업의 위기 관리자들이 인텔의 CPU 보안 스캔들을 반면교사로 삼아야 하는 이유다.
글 / IT동아 강일용(zero@itdonga.com)