BadBIOS가 언급된 해는 2013년, 지금으로부터 5년 전 일이다. 지금 그의 이야기를 들어보면 그럴 수도 있겠거니 싶지만, 5년 동안 새롭게 얻은 기술의 지식이 없는 상태에서 그의 이야기를 들었다면 어땠을까. 아마 우리도 그를 미치광이라고 표현했을지도 모른다. 그렇다면 좀 더 그 상황을 이해할 수 있도록 5년 전에는 어떤 보안 이슈가 있었을까. 여기서부터 이야기해보자.

BadBIOS는 또 다른 사이버 무기로도 통했다. 2010년 최초의 사이버 무기인 Stuxnet의 발견은 모두가 깜짝 놀랄만한 사건이었다. 바야흐로 사이버 전쟁의 시대가 도래한 것이다. Stuxnet은 1개당 1억 원의 가치를 가지고 있는 제로데이가 무려 4개나 들어가 있고, 시스템 안에서 은밀하게 목적을 달성하는 완전한 사이버 무기였다. 2010년에 밝혀진 Stuxnet은 최초의 사이버 무기였고, BadBIOS가 그 뒤를 이을 한 단계 앞선 국가적 사이버 무기로 추측되었다. 즉, BadBIOS의 발견은 Stuxnet의 전적으로 한 국가의 지원을 받고 만들어진 사이버 무기일 수도 있겠다는 생각을 할 수 있는 상황을 만들었다.[1]

또한, BadBIOS가 발견되지 몇 개월 전인 2013년 6월에는 NSA, CIA에서 근무했던 에드워드 스노든이 영국 언론매체 가디언을 통해 미국 정부에서 비밀리에 진행하던 여러 기밀문서를 공개했다. 당시 밝혀진 것은 국가 1급 비밀 프로젝트인 프리즘 프로젝트였고, 인권 침해 성향을 띤 프로젝트가 상당한 문제를 만들어냈다. 세계 민간 기업을 해킹하고, 브라질 멕시코 대통령의 이메일을 열람하였으며, 일반인들의 통화도 감청 대상이 되면서 수많은 민간인의 개인정보가 프리즘 프로젝트 하에 수집되었다. 여기서 주목해야 할 것은 미국 정부가 프리즘 프로젝트를 진행할 때 사용된 기술력이 상당하다는 점이다. 그들은 광섬유 케이블에서 정보를 가져올 수 있는 등 거대하고 촘촘한 감시망을 만들어냈다.[2] 따라서 Ruiu가 말한 BadBIOS의 놀라운 기술은 이러한 점을 미루어봤을 때 NSA의 또 다른 높은 기술력을 엿볼 수 있는 부분이라고 생각될 수 있다는 것이다.

이러한 정황을 두고 BadBIOS의 발견을 다시 바라보면, BadBIOS는 미국과 이스라엘의 합작으로 만들어진 최초의 사이버 무기 Stuxnet처럼 그 뒤를 이을 새로운 사이버 무기일 수도 있겠다는 얘기가 오갔다. 또한, 에드워드 스노든에 의해 밝혀진 NSA의 높은 기술력은 BadBIOS가 공격무기라는 가능성에 더 큰 가능성을 보여준 셈이다. 하지만 에드워드 스노든의 폭로에서는 BadBIOS에 대한 얘기가 일절 공개되지 않았고, 2016년 NSA가 The Shadow Brokers에게 해킹을 당하면서 그들이 가지고 있는 기술력이 어느 정도인지도 폭로되었다.[3] 결국, Ruiu가 말했단 기술의 가능성, 많은 이가 말한 BadBIOS의 배후 등과 관련한 가정들이 힘을 잃어갔다. 그렇다면 BadBIOS가 밝혀진 2013년 한 해는 BadBIOS를 어떻게 바라봤을까.

앞서 얘기한 Ruiu의 주장은 마치 마법처럼 들렸다. 그가 만약 존경받는 보안 전문가로 알려지지 않았다면, 오히려 정신에 문제가 있는 정신 분열증 환자로 많은 이가 그에게 비난을 날렸을지도 모를 일이었다. Ruiu는 자신이 발견한 증거에 하나의 가능성을 두고 모든 기능을 설명했다.[4] 하지만 그의 주장을 조사한 또 다른 보안 전문가들은 그를 매우 의심스러워하거나 모호한 가정에 의존한다고 주장했다. 예를 들면, Ruiu의 주장에 따르면 컴퓨터 스피커는 데이터를 보내기 위해 고안되지 않은 주파수를 통해 송수신할 수 있어야 했다. 만약, 지금에 와서 그랬다면, 이것이 가능할 법한 일이라고 생각했겠지만, 당시에는 말도 안 되는 일이었다. 결국, 당시 BadBIOS를 믿으려면 믿을 수 없을 만큼의 놀라운 기술적인 업적을 모두 가능하다고 믿어야 했다. 많은 이가 이를 순순히 믿었을까.

좀 더 자세히 얘기해보자.[5] 먼저, Ruiu가 공유한 증거에서는 단 한 건도 결정적 증거를 발견하지 못했다는 점에서 의심스러워 했다. Ruiu는 자신이 발견한 BadBIOS와 관련한 내용과 파일을 공유했다. 많은 사람은 그 파일들을 가져갔고, 똑같은 증상을 경험했다고 말했다. 하지만 단지 그뿐이었다. 이 분야에서 유명한 전문가들을 포함한 단 한 명도 흥미로운 점을 발견하지 못했다. 많은 이가 Ruiu가 올리고 말한 악성코드의 특징과 증거 정도의 수준으로 얘기했다. 그뿐이었고 새로운 것은 없었다. 물론, 이에 대해 Ruiu는 자신보다 더 많은 증거를 찾은 전문가가 있다고 얘기했다. 하지만 이조차도 의심스러웠고, 그가 BadBIOS를 발견하고 3년간의 분석을 통해 얻은 추가적인 증거도 공유하지 않아 과연 실제로 더 발견된 것이 있는지 의심스러워 했다. 결국, 그를 믿지 않은 많은 이는 Ruiu는 우리가 확인할 수 있는 무언가를 주지 않았다고 얘기했다. 그리고 Ruiu의 말이 사실이라면 악성코드인 BadBIOS를 추출하고 개시할 수도 있었을 것이고, USB로 시스템이 감염되었다면 USB 스니퍼를 사용하여 USB 버스를 통해 오가는 모든 패킷을 덤프할 수 있었을 것이다. 또한, 초음파 오디오라면 WAV 파일에 사운드를 녹음할 수 있었을 것이란 얘기다. 즉, 그가 말한 모든 것들은 파일 혹은 로그로 확인되었을 것이란 얘기다. 하지만 문제는 아무것도 없었다는 것이다.[6]

둘째로, Ruiu는 밖으로 잘 노출이 되지 않는 슈퍼 버그 존재의 증거를 얘기했다. 예를 들어, 그는 악성코드에서 초음파 음파를 사용하여 일종의 통신 프로토콜을 나타낸다고 말했다. 그는 사운드 장비를 통해 이 정보를 수집하고 그래픽 분석을 개시했다. 하지만 이를 본 몇몇은 반응을 달리했다. Ruiu가 올린 파일은 컴퓨터의 정상적인 소리로, 초음파 소리를 잘못 녹음하여 만들어진 파일이라는 것이다. 또한, 다른 이는 이런 얘기에 컴퓨터의 머더보드 상의 칩이 주파수와 특성이 맞기 때문에 소음을 내기 쉽다고도 얘기했다.[7] 만약, Ruiu가 과학적으로 이 상황에 접근했다면, 과학적 회의론으로 시작하면서 좀 더 신중하게 밝히지 않았겠느냐는 얘기도 더 나왔다. 하지만 그는 그런 식으로 하지 않았고, BadBIOS는 초음파로 통신이 이루어진다고 주장했다. 결국, 여러 이는 과학적인 측면에서 봤을 때, 원인에 의한 오류로 단순히 편견이지 않을까 생각하기도 했다는 것이다.[8]

셋째로, Ruiu가 얘기하는 악의적인 시나리오는 충분히 가능할 법한 이야기다. 하지만 Ruiu가 내놓은 증거를 보면 대부분의 전문가는 Ruiu가 말하는 것이 불가능하다고 단호하게 주장한다는 점이다. 단순히 회의론적으로 그를 바라보는 것이 아니라, 이는 자신들이 알고 있는 것을 기반으로 Ruiu의 주장이 비현실적이라는 이야기다. 다른 한편으로, 어떤 사람들은 범주적 태도를 보이며 믿지 않기도 했다. 예를 들어, Firmware BIOS 전문가는 Ruiu가 주장하는 증거들이 포렌식 관점에서 숨길 수 없다고 말했다. 더욱이 Ruiu가 공유한 포렌식 덤프나 악성 코드는 뭔가 숨겨져 있다는 징후의 증거도 충분히 보여줄 수도 없었다.[9]

넷째로, BadBIOS는 적어도 하나의 국가가 개입되어 만들어졌다는 점이다. 사실, 이는 거의 그럴듯하다. Ruiu는 거의 3년간 이를 분석했다. 그리고 BadBIOS가 나왔을 때쯤은 사이버 무기 Stuxnet이 공개된 지 약 3년의 시간이 흐른 시점이었다. 그래서 우리가 알 수 없는 국가가 Stuxnet보다 훨씬 더 정교한 무기를 개발했다는 주장을 했다. 문제는 이 사이버 무기가 왜 Ruiu만을 노리며 다른 그 누구도 그것에 대해 들어 본 적이 없겠느냐는 점이다. Stuxnet이 발견되었을 때, 전 세계의 여러 백신 회사는 복사본을 찾고 그것을 분석했다. 이는 한 군데에서 시작하여 다른 여러 곳으로 빠르게 퍼져 나갔다. 하지만 BadBIOS는 그렇지 않았다. 오로지 Ruiu 만이 그것을 발견하고 분석했다는 것이다. 오직 Ruiu만을 노리고 말이다.[10]

모든 것을 다 떠나서 Ruiu의 주장에서 가장 큰 결점은 그가 악성 코드에 대한 확실한 증거가 부족했을 뿐만 아니라 포렌식 조사에 관련된 사람도 그에 대한 증거를 발견하지 못했다는 것이다. 그 분야의 전문가에 의한 검사에서도 특별한 것을 발견하지 못했다는 점에서 Ruiu가 주장한 바는 단순히 시스템에서 정상적이고 예상되는 신호이며 데이터라 얘기가 나왔다. 이에 대해, Ruiu는 포렌식 수사를 위해 악성 코드를 복사하려고 할 때마다 악성 코드가 지워지고 있다고 주장했다. 더욱이 웬만한 악성코드는 물론, NSA의 펌웨어 해킹도 쉽게 감지해내는 그 어떤 백신 회사도 BadBIOS를 감지할 수 없었다. BadBIOS 코드를 탐지할 수 있는 사람은 아무도 없었다. 만약, 일반적인 악성코드라면 그것을 발견하고, 분석하고, 제거할 수 있었을 것이다. 결국, 전문가들도 감지하지 못하고 발견하지 못하는 흔적 없는 BadBIOS는 있을 수 없다고 주장했다.[11]

약 4년이 흐른 지금에 와서도 BadBIOS의 존재에 대해 여전히 많은 회의론자가 남아 있지만, 4년이 지난 시점에서 Ruiu가 말한 기능의 개념은 입증되었거나 실제 세계에서 사용된 사례가 하나둘 나타났다.[12][13][14] 하지만 여전히 의문의 여지는 많이 남아있다. 익스플로잇 코드를 찾지 못했다는 점, Ruiu가 UEFI 코드를 추출하는 동안 아무것도 발견하지 못했다는 점, 그리고 BadBIOS가 흔적을 지울 수 있는 능력을 갖추고 있다는 것이다. 그리고 만약 악성코드가 실존한다면 감염되는 곳은 컨트롤러 칩 또는 아마도 존재하지 않는다고 얘기한다는 것이다. 악성코드가 존재한다는 확실한 증거도 없고, 무엇이 진짜인지는 모를 일이다. 하지만 이제껏 발견한 NSA 펌웨어 해킹사건[15], 해킹 취약점[16], 소리를 이용한 데이터 통신 등[17][18]은 그가 말한 BadBIOS의 기능이 더 많은 것을 설명할 수 있다는 것을 보여주는 것으로 생각한다. 더욱이, pwn2own 대회의 창시자로 이미 이 분야에서 상당한 명예를 가지고 있고 유명한 그가 더욱 주목을 받기 위해 모두를 속이는 장난이었던 것일까. 보안 괴담 BadBIOS를 믿는가?