오라클이 멜트다운 및 스펙터 CPU 보안취약점에 대응하는 첫번째 패치를 내놨다.
17일(현지시간) 미국 지디넷 등 외신에 따르면, 오라클은 237종의 취약점을 해결하는 1월 크리티컬 패치 업데이트를 배포했다. 이 업데이트는 스펙터와 멜트다운 패치도 포함한다.
오라클은 자사 제품의 인텔 프로세서 취약점을 위한 수정사항을 제공한다고 설명했다.
이와 함께 스팍V9 아키텍처에서 오라클 솔라리스의 일부 버전을 사용하는 경우 스펙터의 영향을 받을 수 있다고 회사측은 해설했다.
지난 3일 구글은 세계 각지 보안전문가들과 함께 보안연구조직 '프로젝트제로' 팀 중심으로 협력해 내놓은 보안취약점 분석 보고서를 통해, 업계서 널리 쓰이는 제조사 CPU에서 컴퓨터 메모리에서 기밀을 노출하는 심각한 보안취약점 3건을 발견했다고 밝혔다. 2가지는 스펙터(Spectre)라 불렸고, 1가지는 멜트다운(Meltdown)이라고 불렸다.
스펙터와 멜트다운은 접근권한이 없는 운영체제(OS)나 다른 애플리케이션에서, 컴퓨터 메모리에서 처리되고 있는 패스워드를 비롯한 기밀 정보 등 민감한 데이터를 들여다볼 수 있게 만드는 CPU 하드웨어 결함이다. 개인용 모바일 기기 및 PC부터 기업 전산실 서버와 데이터센터 및 클라우드서비스의 가상머신(VM) 등 광범위한 컴퓨터가 이 취약점을 공격에 노출된 상황이 됐다.
구글은 3가지 취약점에 따른 보안위협에 대응하는 조치를 지난 몇개월에 걸쳐 취해 왔다. 그중 구글이 2번째 스펙터 결함인 '버라이언트2(Variant 2)' 또는 '분기표적 주입(Branch Target Injection)' 취약점을 해결하려다 문제가 발생했다. 이에 구글은 '리트폴린(Retpoline)'이라는 기술을 만들었다. 이후 3가지 취약점을 모두 해결한 뒤 누구도 성능 문제를 체감하지 못했다는 설명이다.
분기표적 주입 취약점은 CPU에 탑재된 '간접분기예측기(indirect branch predictors)'의 허점이다. 간접분기예측기는 CPU가 당장 불필요한 명령을 미리 처리해 전체 성능을 끌어올리는 '투기적실행(speculative execution)' 동작시 처리될 명령을 지시하는 구성요소다. 결함을 해결하기 위해 CPU의 투기적실행 동작이나 다른 기능을 끌 경우 성능에 손실이 발생할 수 있다.
오라클은 버라이언트1과 버라이언트2 취약점에 대응하는 패치를 제공하지 않고 있다. 프리미어 서포트나 확장 서포트 상의 스팍V9 기반 솔라리스 버전을 위한 패치 개발이 진행되고 있다고 회사측은 밝혔다. 솔라리스는 버라이언트3인 멜트다운의 영향을 받지 않는다.
오라클의 공식 설명서에 따르면, 버라이언트2로 알려진 스펙터 CVE-2017-5715 취약점은 '분기표적 주입'에 관련되며, 가상화된 클라우드 환경, 오라클 썬 x86 서버의 BIOS에 영향을 미친다.
현재 하드웨어 및 운영체제 제조사들은 인텔에서 실리콘 마이크로코드를 받아 버그 수정 작업을 진행중이다. 구글과 마이크로소프트 등은 버라이언트2 마이크로코드를 사용한 패치 후 성능 저하 이슈를 발견했다.
관련기사
- 리눅스는 지금 '멜트다운'과 혈투중2018.01.18
- MS CPU보안패치 적용한 공장시스템서 오류2018.01.18
- 구글, 인텔CPU 보안패치 성능저하 상쇄했다2018.01.18
- 인텔 CPU보안패치, 돌발 재부팅 결함 확인2018.01.18
오라클은 "썬 x86 서버 업데이트는 CVE-2017-5715를 위한 OS와 VM레벨 완화용도의 인텔 마이크로코드를 포함한다"고 설명했다.
스펙터는 인텔과 AMD 칩을 위한 오라클의 가상화 소프트웨어 '버추얼박스' 하이퍼바이저에도 영향을 미친다.