업데이트: Apple과 Amazon은 목요일 중국 스파이 칩 혐의에 대해 장문의 성명을 발표했습니다. 이러한 진술을 포함하도록 이 게시물을 업데이트했습니다.
애플은 중국 스파이 칩이 아이클라우드 서버 하드웨어에 침투했다는 사실을 부인했다. Apple, Amazon 및 수십 개의 기타 기술 회사에서 사용하는 보안에 사용되는 마이크로칩이 포함되어 있습니다. 목적.
쿠퍼티노는 이 이야기가 "잘못되고 잘못된 정보"라고 주장합니다. Apple은 또한 중국 스파이가 공급업체와의 관계를 끊기로 한 회사의 결정과 아무 관련이 없다고 말했습니다.
애플의 성명은 다음과 같다. 블룸버그 비즈니스위크 보고서는 17개의 소식통을 인용하여 중국이 "미국 최고의 기업에 침투하는 작은 칩.”
보고서에 따르면 Super Micro에서 제조한 수천 개의 서버 마더보드에는 악성 칩이 포함되어 있습니다. 쌀알만한 크기의 중국산 칩은 스파이가 "고가치 기업 비밀과 민감한 정부 네트워크에 접근"할 수 있게 해줍니다.
3년 전 아마존 조사에서 발견된 이 칩은 일급비밀 조사를 촉발해 오늘날까지 계속되고 있습니다.
수상한 중국 칩
이야기는 Amazon이 Elemental Technologies라는 신생 기업을 평가하기 시작한 2015년부터 시작됩니다. Amazon은 비디오 스트리밍 서비스인 Prime Video를 확장하는 데 도움이 되는 인수를 원했습니다. 이미 여러 대기업에서 Elemental의 기술을 사용하고 있습니다.
보고서는 "그 기술은 올림픽 게임을 온라인으로 스트리밍하고 국제 우주 정거장과 통신하며 드론 영상을 중앙 정보국에 보내는 데 도움이 됐다"고 설명했다.
한 소식통의 주장에 따르면 평가 프로세스의 일부에는 Elemental의 보안을 조사하기 위해 타사를 고용하는 것이 포함되었습니다. 얼마 지나지 않아 그 회사가 "고통스러운 문제"를 발견했습니다. 그 발견으로 인해 Amazon Web Services(AWS)는 Elemental의 서버 제품을 자세히 살펴보게 되었습니다.
여러 서버가 캐나다 온타리오로 파견되었습니다. 테스터들은 마더보드의 원래 디자인에 포함되지 않은 작은 마이크로칩을 발견했습니다. 보고서는 “아마존이 이 발견을 미국 당국에 보고해 정보 커뮤니티에 전율을 보냈다”고 전했다.
중국 스파이 칩의 극비 조사
발견은 큰 걱정거리를 불러일으켰습니다. 예를 들어 Amazon, Apple 및 기타 기술 대기업은 Super Micro가 중국에서 만든 서버를 사용했습니다. 설상가상으로 이 칩은 주요 은행, 국방부, CIA의 드론 작전 및 해군에서 사용하는 하드웨어에 침투했습니다.
그리고 Super Micro는 Elemental에 기판만 공급한 것이 아닙니다. 수백 명의 다른 고객을 위해 하드웨어를 제조했습니다.
수사관들은 중국 하청업체가 운영하는 공장에 삽입된 칩을 통해 공격자가 사설망에 대한 출입구를 만들 수 있다고 판단했습니다. 이 방법은 소프트웨어 기반 공격보다 훨씬 더 정교하고 잠재적으로 훨씬 더 파괴적인 것으로 판명되었습니다.
Apple은 iCloud 하드웨어가 영향을 받았다고 부인합니다.
거대한 Super Micro 고객인 Apple은 2년에 걸쳐 30,000대 이상의 서버를 주문할 계획이었습니다. 그러나 세 명의 "고위 내부자"에 따르면 Apple은 2015년 여름에 악성 칩도 발견했습니다. Cupertino는 이듬해 회사와 관계를 끊었습니다.
Apple은 이러한 주장에 대해 이의를 제기합니다.
“Apple은 블룸버그 기자들이 우리와 거래하는 과정에서 회사는 성명을 통해 "자신이나 출처가 잘못되었거나 잘못 알려졌을 가능성이 있다"고 밝혔다. 에게 애플인사이더 목요일에. “가장 좋은 추측은 그들이 이전에 보고된 2016년 사건과 우리 연구실 중 한 곳의 단일 Super Micro 서버에서 감염된 드라이버를 발견한 사건과 그들의 이야기를 혼동하고 있다는 것입니다. 그 일회성 사건은 우발적이며 Apple에 대한 표적 공격이 아닌 것으로 결정되었습니다.”
'웃을 수 있는' 주장
명백한 이유로 이름을 밝히지 않은 Apple 내부 소식통은 다음과 같이 말했습니다. 애플인사이더 이와 같은 Apple에 대한 광범위한 공격 주장은 "웃을 수 있는" 것이며 "정말, 정말 잘못된 것"입니다.
블룸버그 비즈니스위크 6명의 전·현직 국가 안보 관리들이 애플과 아마존의 부인에 대응했다고 밝혔습니다. "AWS 내부의 관리 중 한 명과 두 명이 Elemental과 Amazon에서 공격이 어떻게 진행되었는지에 대한 광범위한 정보를 제공했습니다."라고 이야기는 말합니다.
총 17명이 이 이야기를 확인한 것으로 추정되며, 그중 3명은 Apple "내부자"로 의심됩니다.
NS 블룸버그 비즈니스위크 보고서는 공격에 대한 조사가 오늘 계속되고 있다고 주장합니다.
애플의 입장
비즈니스위크가 애플에 대해 잘못 알고 있는 것
Bloomberg Businessweek의 2018년 10월 8일호는 Apple이 2015년에 자사 네트워크의 서버에서 "악성 칩"을 발견했다고 잘못 보도했습니다. Apple이 지난 12개월 동안 Bloomberg 기자 및 편집자에게 반복적으로 설명했듯이 이러한 주장은 사실이 아닙니다.
Apple은 스토리가 게시되기 전에 Bloomberg Businessweek에 다음과 같은 성명을 제공했습니다.
지난 1년 동안 Bloomberg는 Apple에서 발생한 보안 사고에 대해 때로는 모호하고 때로는 정교하게 주장하는 주장에 대해 여러 번 당사에 연락했습니다. 매번, 우리는 그들의 질문을 기반으로 엄격한 내부 조사를 수행했으며 매번 그들을 뒷받침할 증거가 전혀 발견되지 않았습니다. 우리는 Apple과 관련된 Bloomberg 이야기의 거의 모든 측면을 반박하면서 사실에 입각한 답변을 반복적이고 일관되게 제공했습니다.
이에 대해 우리는 매우 분명합니다. Apple은 악성 칩, "하드웨어 조작" 또는 서버에 의도적으로 심어진 취약점을 발견한 적이 없습니다. Apple은 그러한 사건에 대해 FBI 또는 다른 기관과 연락한 적이 없습니다. 우리는 FBI의 조사에 대해 알지 못하며 법 집행 기관의 연락처도 모릅니다.
Bloomberg의 최신 버전 내러티브에 대한 응답으로 다음 사실을 제시합니다. Siri와 Topsy는 서버를 공유한 적이 없습니다. Siri는 Super Micro에서 판매한 서버에 배포된 적이 없습니다. Topsy 데이터는 7,000개가 아닌 약 2,000개의 Super Micro 서버로 제한되었습니다. 이러한 서버 중 어느 것도 악성 칩을 보유하고 있는 것으로 밝혀진 적이 없습니다.
실제로 Apple에서 서버를 생산하기 전에 보안 취약점을 검사하고 모든 펌웨어와 소프트웨어를 최신 보호 기능으로 업데이트합니다. 우리는 표준 절차에 따라 펌웨어와 소프트웨어를 업데이트할 때 Super Micro에서 구입한 서버에서 비정상적인 취약점을 발견하지 못했습니다.
우리는 블룸버그 기자들이 우리와 거래하면서 그들 또는 그들의 출처가 잘못되거나 잘못된 정보를 받았을 가능성에 대해 공개하지 않았다는 점에 깊이 실망했습니다. 우리의 가장 좋은 추측은 그들이 이전에 보고된 2016년 사건과 우리 연구실 중 한 곳의 단일 Super Micro 서버에서 감염된 드라이버를 발견한 사건과 혼동을 일으키고 있다는 것입니다. 그 일회성 이벤트는 우발적이며 Apple에 대한 표적 공격이 아닌 것으로 결정되었습니다.
고객 데이터가 관련되었다는 주장은 없지만 이러한 주장을 진지하게 받아들이고 사용자가 위탁한 개인 정보를 보호하기 위해 우리가 가능한 모든 일을 한다는 것을 사용자가 알기를 원합니다. 우리를. 우리는 또한 그들이 블룸버그가 Apple에 대해 보고하는 내용이 정확하지 않다는 것을 알기를 바랍니다.
Apple은 항상 데이터를 처리하고 보호하는 방식에 대해 투명하다고 믿어왔습니다. 블룸버그 뉴스가 주장한 것과 같은 사건이 있었다면 우리는 이에 대해 밝히고 법 집행 기관과 긴밀히 협력할 것입니다. Apple 엔지니어는 시스템이 안전한지 확인하기 위해 정기적이고 엄격한 보안 검사를 실시합니다.
우리는 보안이 끝없는 경쟁이라는 것을 알고 있으며, 이것이 우리의 데이터를 훔치려는 점점 더 교묘해지는 해커와 사이버 범죄자에 맞서 시스템을 지속적으로 강화하는 이유입니다.
출판된 Businessweek 기사는 또한 Apple이 "FBI에 사건을 보고했지만 내부적으로라도 단단히 붙잡혀 있는 것을 감지한 세부 사항을 보관했다"고 주장합니다. 에 2017년 11월, 우리는 이 주장을 처음 접한 후 길고 자세한 기록의 일부로 다음 정보를 Bloomberg에 제공했습니다. 응답. 먼저 추정되는 내부 조사에 대한 기자의 입증되지 않은 주장을 다룹니다.
여러 팀과 조직에 걸친 수많은 논의에도 불구하고 Apple의 누구도 이 조사에 대해 들어본 적이 없습니다. Businessweek는 예상되는 절차나 결과를 추적하기 위한 정보 제공을 거부했습니다. 또한 그들은 우회된 것으로 추정되는 표준 절차에 대한 이해를 보여주지도 않았습니다.
Apple의 어느 누구도 이와 같은 문제에 대해 FBI에 연락한 적이 없으며 우리는 FBI로부터 이런 종류의 조사에 대해 들어 본 적이 없습니다.
오늘 아침 블룸버그 텔레비전에 출연한 기자 조던 로버트슨(Jordan Robertson)은 악성 칩은 “애플의 경우 일부 문제가 있는 서버에 대한 무작위 스폿 체크로 인해 발각."
이전에 Bloomberg에 알렸듯이 이는 완전히 사실이 아닙니다. Apple은 우리 서버에서 악성 칩을 발견한 적이 없습니다.
마지막으로, Businessweek가 기사를 발표한 이후 다른 언론사로부터 받은 질문에 대해 우리는 어떠한 종류의 개그 명령이나 기타 기밀 유지 의무가 없습니다.
아마존의 성명
Bloomberg BusinessWeek의 잘못된 기사에 대한 기록 바로 세우기
오늘 Bloomberg BusinessWeek은 AWS가 SuperMicro 마더보드의 수정된 하드웨어 또는 악성 칩을 알고 있다고 주장하는 기사를 발표했습니다. 2015년 Amazon이 Elemental을 인수할 당시 Elemental Media의 하드웨어 및 Amazon은 AWS의 중국에서 하드웨어 또는 칩이 수정된 것을 알고 있었습니다. 지역.
지난 몇 달 동안 Bloomberg BusinessWeek과 여러 번 공유했지만 이는 사실이 아닙니다. 과거 또는 현재, Elemental 또는 Amazon 시스템의 SuperMicro 마더보드에서 수정된 하드웨어 또는 악성 칩과 관련된 문제를 발견한 적이 없습니다. 우리는 정부와 조사를 한 적도 없습니다.
이 기사에는 아마존과 관련된 부정확성이 너무 많아서 셀 수 없습니다. 여기서는 그 중 몇 가지만 언급하겠습니다. 첫째, Amazon이 Elemental 인수를 고려했을 때 우리는 자체적으로 많은 실사를 했습니다. 보안 팀, 또한 단일 외부 보안 회사에 우리를 위해 보안 평가를 의뢰했습니다. 또한. 그 보고서는 수정된 칩이나 하드웨어와 관련된 문제를 식별하지 못했습니다. 이러한 감사의 대부분이 일반적으로 권장되는 수정 영역을 제공했으며 인수가 완료되기 전에 모든 중요한 문제를 수정했습니다. 이것은 위임된 유일한 외부 보안 보고서였습니다. 블룸버그는 우리가 위임한 보안 보고서나 다른 어떤 보고서도 본 적이 없음을 인정합니다.
이 기사는 또한 Elemental 서버의 하드웨어 수정 및 악성 칩을 학습한 후 SuperMicro 마더보드에 대한 네트워크 전체 감사를 수행하고 베이징 데이터에서 악성 칩을 발견했습니다. 센터. 이 주장도 마찬가지로 사실이 아닙니다. 가장 분명한 첫 번째 이유는 Elemental 서버에서 수정된 하드웨어나 악성 칩을 발견하지 못했기 때문입니다. 그 외에도 데이터 센터의 서버에서 수정된 하드웨어나 악성 칩을 발견한 적이 없습니다. 그리고 우리가 SuperMicro 서버를 없애고 싶었기 때문에 중국의 하드웨어와 데이터 센터를 파트너 Sinnet에 매각했다는 이 생각은 터무니없는 것입니다. Sinnet은 우리가 중국에서 출시할 때부터 이러한 데이터 센터를 운영해 왔으며 처음부터 이 데이터 센터를 소유했으며 우리가 그들에게 "판매"된 것은 중국 외 클라우드 제공업체가 계속해서 운영할 수 있도록 하는 새로운 중국 규정에 따라 의무화된 자산 양도 계약이었습니다. 중국.
Amazon은 공급망 전반에 걸쳐 엄격한 보안 표준을 적용하여 모든 하드웨어 및 소프트웨어를 조사합니다. 생산에 들어가고 내부적으로 그리고 공급망과 함께 정기적인 보안 감사를 수행하기 전에 파트너. 프로세서, 서버, 스토리지 시스템 및 네트워킹 장비와 같은 중요한 구성 요소에 대한 자체 하드웨어 설계를 구현하여 보안 태세를 더욱 강화합니다.
보안은 항상 우리의 최우선 순위가 될 것입니다. AWS는 보안을 무엇보다 우선시하겠다는 확고한 의지를 보여주었기 때문에 세계에서 가장 위험에 민감한 많은 조직의 신뢰를 받고 있습니다. 우리는 고객에 대한 잠재적 위협에 대해 지속적으로 경계하고 있으며 식별될 때마다 신속하고 단호한 조치를 취하여 이를 해결합니다.
– Steve Schmidt, 최고 정보 보안 책임자
참고: 이 게시물은 원래 2018년 10월 4일 오전 5시 52분(태평양 표준시)에 게시되었습니다. Apple과 Amazon의 진술을 포함하도록 업데이트했습니다.