Word Cracker의 잡다한 정보 모음

인텔 CPU 보안 이슈(Meltdown & Spectre 취약점)의 영향

0

최근 인텔은 중앙처리장치(CPU)에서 중대한 보안 결함이 발견되면서 이슈가 되었습니다.

이와 관련하여 보안 업체인 Defiant(Wordfence의 기업명이 최근 Defiant로 변경됨)에서  The Impact of Meltdown & Spectre Vulnerabilities(Meltdown & Spectre 취약점의 영향)라는 글을 공개했습니다.

Google의 Project Zero(GPZ)는 최첨단 보안 연구자들의 싱크 탱크로서 획기적인 연구 결과를 보여주었습니다. 어제(1월 3일) GPZ는 두 가지 종류의 취약점을 노출하는 CPU 아키텍처의 결함을 발표했습니다.

비록 연초이지만 2018 년에 가장 중요하고 영향력을 미치는 보안 취약점이 될 수 있으며 운영 체제(OS)나 공급 업체에 관계없이 인텔 칩에서 실행되는 모든 소프트웨어가 영향을 받습니다. 이 취약점은 1995년 이후 out-of-order 실행을 구현하는 모든 인텔 프로세서(Itanium과 2013년 이전의 Atom 제외)에  영향을 미칩니다.

이 취약점은 University of Pennsylvania, University of Maryland, Graz University of Technology, Cyberus Technology, Rambus Cryptography Research Division, University of Adelaide, Data61의 연구원들과 GPZ 연구원들의 공동 연구로 발견되었습니다.

결함은 2017년 6 월 1일 인텔, AMD 및 ARM 등의 CPU 제조업체들에 비밀리에 처음으로 보고되었습니다. 다음 주까지 보도 제한(embargo) 요청이 있었지만 문제를 수정한 커널 패치에 대한 추측이 난무하자 2018년 1월 1일부터 관련 연구자들이 마침내 조기에 대부분의 정보를 공개했습니다.  어제, 1 월 3 일 관련 연구원들이 대부분의 정보를 공개했다. 보안 결함과 관련된 연구는 Google Project Zero 블로그에 게시되었습니다.

이번 결함은 Spectre & Meltdown 결함으로 명명되었습니다. Spectre에 대한 논문은 이 페이지(PDF)에서 확인할 수 있고  Meltdown에 대한 논문은 이 페이지(PDF)에서 확인이 가능합니다. 이 글을 작성할 당시 아마 트래픽 초과 때문인지 두 사이트 모두 다운이 되어 미러 사이트를 제공합니다: Spectre Mirror & Meltdown Mirror.

이 두 가지 취약점은 모두 CPU의 성능 최적화에서 비롯됩니다. 보안 패치는 성능에 영향을 미칠 수 있습니다. 일부 뉴스에서는 최대 30%까지 성능이 저하된다고 주장하지만 더 권위있는 소식통에 의하면 이 수치가 과장되었음을 나타냅니다. 인텔의 공식 성명에 의하면 따르면 “일부 보도와 달리 성능에 미치는 영향은 작업량에 따라 다르며 평균적인 컴퓨터 사용자에게는 심각하지 않으며 시간이 지나면서 그 영향이 줄어들게 될 것이다.”고 합니다.

인텔은 인텔 CPU가 얼마나 악영향을 받았는 지와 이러한 취약점의 부정적인 영향에 대해 이번 취약점의 심각성을  축소하고 있다는 비난을 받고 있습니다.

ARMAMD와 마찬가지로 공식 성명을 발표했습니다.

Meltdown 취약점:

Meltdown은 GPZ가 공개한 두 가지 취약점 중 첫 번째 취약점으로, 임의의 커널 메모리 위치를 읽는 ‘비순차적 명령어 처리(out-of-order execution)’라는 CPU 성능 최적화를 악용하는 것입니다. 이 공격은 운영 체제와 독립적이며 어떠한 소프트웨어 취약점에도 의존하지 않습니다. 즉, 실행 중인 운영 체제가 무엇이든 상관 없이, 시스템의 소프트웨어에 취약점이 있는지 여부에 관계없이,  모든 시스템에서 악용될 수 있는 칩 하드웨어의 취약점입니다.

Spectre:
Spectre는 추측 실행(speculative execution)이라는 최신 CPU의 성능 향상 기능을 악용하는 취약점입니다. 그래서 Spectre라는 이름이 붙여졌습니다.

Defiant의 “The Impact of Meltdown & Spectre Vulnerabilities“에서 Meltdown & Spectre의 영향에 대한 자세한 분석을 확인해볼 수 있습니다.

참고:

Related Posts

Comments