이달초 인텔 중앙처리장치(CPU)에서 컴퓨터 메모리를 유출당할 수 있는 보안결함이 공개됐다. 인텔은 스펙터(Spectre)와 멜트다운(Meltdown)이라 불리는 자사 CPU 보안결함 공격을 막기 위해, 운영체제(OS)와 컴퓨터 하드웨어 제조사를 위한 패치를 배포했다. 현재 OS 및 컴퓨터 제조사(OEM)가 패치를 사용해 소비자와 기업 사용자를 위한 소프트웨어(SW) 및 펌웨어 업데이트를 제공 중이다.
그중 인텔이 하드웨어 OEM 업체에게 제공한 CPU 패치에 문제가 있었다. 인텔의 패치를 바탕으로 만든 OEM 업체의 펌웨어 업데이트를 적용한 컴퓨터 시스템에서 돌발 재부팅 현상을 일으키는 것으로 파악됐다. 사용자와 시스템관리자가 뜻하지 않게 PC와 데이터센터 전산장비가 재부팅한다면 그만큼 컴퓨터의 안정성과 이를 사용한 서비스 및 IT인프라의 신뢰성은 낮아진다. 패치 적용이 꺼려질 수밖에 없다.
미국 지디넷은 지난 12일 인텔이 멜트다운과 스펙터 취약점 공격을 막기 위한 자사 CPU패치가 PC 및 데이터센터 장비에 문제를 일으킨다는 점을 드러냈다고 보도했다. 보도에 따르면 하드웨어 OEM 업체에 제공된 인텔의 펌웨어 패치가 브로드웰 및 하스웰 CPU에서 시스템 돌발 재부팅 위험을 높인다는 설명이다. [☞원문보기]
나빈 셰노이 인텔 데이터센터그룹 총괄매니저는 회사 공식사이트를 통해 "몇몇 고객으로부터 펌웨어 업데이트를 적용한 이후 시스템 재부팅 빈도가 높아졌다는 제보를 받았다"며 "해당 시스템은 클라이언트와 데이터센터에서 인텔 브로드웰 및 하스웰 CPU를 구동하는 경우였다"고 밝혔다. [☞원문보기] 인텔이 일부 고객에게 조용히 '버그가 있으니 패치 적용을 미루라'고 안내한 월스트리트저널 보도 후 발표다.
■"필요시 펌웨어 업데이트 배포하겠다"
15일 현재 인텔은 자사 CPU 보안결함 사태와 관련해, 일반 소비자를 위한 마이크로코드(microcode) 업데이트는 기기 제조사와 OS 개발업체가 대응하는 반면, 데이터센터 고객사를 위한 보안결함 관련 대응은 회사가 직접 대응 중이다. 인텔은 고객사 제보 내용을 조사한 결과에 따라 OEM 제조사를 위한 펌웨어 업데이트 수정판을 제공할 것으로 보인다. 다만 구체적인 시기는 불분명하다.
셰노이 총괄매니저는 "우리는 고객들이 재부팅 현상 문제를 이해하고, 조사하고, 해결할 수 있도록 빠르게 조치하고 있다"며 "만일 인텔의 펌웨어 업데이트 수정판이 요구될 경우, 우리는 일반 (배포) 경로를 통해 업데이트를 배포할 것"이라고 언급했다. 이어 "일반 사용자는 앞으로도 각자 시스템 및 OS 공급업체로부터 권고되는 업데이트를 적용하기 바란다"고 덧붙였다.
CPU결함 대응 초기 마이크로소프트(MS)가 배포한 보안패치도 일부 기기서 문제를 보였다. 앞서 회사가 멜트다운과 스펙터 취약점 공격을 막기 위해 윈도 사용자에게 배포한 OS 업데이트가 AMD CPU기반 컴퓨터에 부팅 실패 등 문제를 일으켰다. MS는 업데이트 개발중 참고한 AMD 칩 기술문서 정보가 부정확했다며, 해당 업데이트 배포를 일시 중단하고 이번주 수정된 패치 배포를 예고했다. [☞참조링크]
■SW·펌웨어 업데이트 적용해야 하는 이유
추후 인텔CPU 기반 기기 사용자는 스펙터 및 멜트다운 취약점 공격에 대응하기 위해 OS 개발업체의 SW업데이트와 OEM 하드웨어 제조사의 펌웨어 업데이트를 설치해야 한다. 스펙터 취약점 2종과 멜트다운 취약점 1종, 3가지 보안결함은 구글 보안연구조직 '프로젝트제로' 팀 중심으로 안팎에서 협력한 보안 전문가를 통해 지난해 발견돼 인텔에 제보됐고, 지난 3일 인터넷을 통해 공개됐다. [☞관련기사]
3가지 취약점 모두 컴퓨터 시스템에서 접근이 허용되지 않는 상태의 메모리 내용을 노출시킨다. 스펙터는 애플리케이션간의, 멜트다운은 애플리케이션에 대한 OS의 격리(isolation) 방식을 통한 보안효과를 무너뜨린다. 그 결과 스펙터는 안 보여야 할 다른 애플리케이션의 데이터를, 멜트다운은 역시 안 보여야 할 OS 수준의 데이터를, 엉뚱한 애플리케이션이 가져올 수 있게 허용한다.
어떤 사용자의 애플리케이션이나 OS 구현 자체에 보안상 문제가 없어도, 그 구동 컴퓨터가 인텔CPU 탑재 시스템이라는 이유로 스펙터 또는 멜트다운 공격에 당할 수 있다. 3가지 취약점의 파장이 심각한 이유다. 이런 공격은 모두 암호학 관점에서 부채널 공격(side-channel attack)에 해당한다. 보안알고리즘의 결함을 직접 노리지 않고 암호시스템의 물리적 구현이 수반하는 정보에 기반한 공격 기법을 가리킨다.
■스펙터 취약점은 인텔·AMD·ARM 기반 컴퓨터 모두 영향
인텔만 문제가 되는 건 아니다. 대다수 인텔CPU 기반 시스템 사용자는 스펙터 취약점 2종과 멜트다운 취약점 1종에 모두 대응이 필요하다. AMD는 라이젠(Ryzen) 및 에픽(EPYC) CPU 기반 시스템 사용자는 멜트다운 취약점에 해당사항이 없지만 스펙터 취약점 2종에 대응할 필요가 있다. AMD는 지난 11일 공식사이트를 통해 관련 정보를 공개했다. [☞원문보기] 일부 ARM 기기도 스펙터 영향권에 있다. [☞관련기사]
관련기사
- 인텔 "CPU보안패치 PC 성능저하" 인정2018.01.15
- IBM 파워도 스펙터 사정권…OS 패치는 2월2018.01.15
- 엔비디아, 스펙터 취약점 완화 패치 배포2018.01.15
- 인텔 CEO "5년내 제품, 이달내 CPU결함 해결"2018.01.15
그래픽처리장치(GPU)는 어떨까. GPU 제조사들은 자신들의 하드웨어가 스펙터와 멜트다운 공격에 영향을 받지 않는다고 발표한 상태다.
AMD는 자사 라데온(Radeon) GPU 아키텍처가 3가지 취약점에서 공격 기법의 일부로 활용하는 프로세서 성능최적화 기법인 '투기적 실행(speculative execution)' 동작을 사용하지 않기 때문에 문제가 없다고 밝혔다. 엔비디아도 최근 CPU의 버그에 대응하기 위해 투기적 실행 기능을 쓰지 않는 드라이버 업데이트를 내놓긴 했지만, 엔비디아의 GPU 하드웨어 자체엔 취약점이 없다고 밝혔다. [☞관련기사]