인텔 CPU 보안 이슈(Meltdown & Spectre 취약점)의 영향

4 Comments

인텔 CPU 보안 이슈(Meltdown & Spectre 취약점)의 영향 2

최근 인텔은 중앙처리장치(CPU)에서 중대한 보안 결함이 발견되면서 이슈가 되었습니다.

이와 관련하여 보안 업체인 Defiant(Wordfence의 기업명이 최근 Defiant로 변경됨)에서  The Impact of Meltdown & Spectre Vulnerabilities(Meltdown & Spectre 취약점의 영향)라는 글을 공개했습니다.

Google의 Project Zero(GPZ)는 최첨단 보안 연구자들의 싱크 탱크로서 획기적인 연구 결과를 보여주었습니다. 어제(1월 3일) GPZ는 두 가지 종류의 취약점을 노출하는 CPU 아키텍처의 결함을 발표했습니다.

비록 연초이지만 2018 년에 가장 중요하고 영향을 미치는 보안 취약점이 될 수 있으며 운영 체제(OS)나 공급 업체에 관계없이 인텔 칩에서 실행되는 모든 소프트웨어가 영향을 받습니다. 이 취약점은 1995년 이후 out-of-order 실행을 구현하는 모든 인텔 프로세서(Itanium과 2013년 이전의 Atom 제외)에  영향을 미칩니다.

이 취약점은 University of Pennsylvania, University of Maryland, Graz University of Technology, Cyberus Technology, Rambus Cryptography Research Division, University of Adelaide, Data61의 연구원들과 GPZ 연구원들의 공동 연구로 발견되었습니다.

결함은 2017년 6 월 1일 인텔, AMD 및 ARM 등의 CPU 제조업체들에 비밀리에 처음으로 보고되었습니다. 다음 주까지 보도 제한(embargo) 요청이 있었지만 문제를 수정한 커널 패치에 대한 추측이 난무하자 2018년 1월 1일부터 관련 연구자들이 마침내 조기에 대부분의 정보를 공개했습니다.  어제, 1 월 3 일 관련 연구원들이 대부분의 정보를 공개했고, 보안 결함과 관련된 연구가 Google Project Zero 블로그에 게시되었습니다.

이번 결함은 Spectre & Meltdown(스펙터와 멜트다운) 결함으로 명명되었습니다. Spectre에 대한 논문은 이 페이지(PDF)에서 확인할 수 있고  Meltdown에 대한 논문은 이 페이지(PDF)에서 확인이 가능합니다. 이 글을 작성할 당시 아마 트래픽 초과 때문인지 두 사이트 모두 다운이 되어 미러 사이트를 제공합니다: Spectre Mirror & Meltdown Mirror.

이 두 가지 취약점은 모두 CPU의 성능 최적화에서 비롯됩니다. 보안 패치는 성능에 영향을 미칠 수 있습니다. 일부 뉴스에서는 최대 30%까지 성능이 저하된다고 주장하지만 더 권위있는 소식통에 의하면 이 수치가 과장되었음을 나타냅니다. 인텔의 공식 성명에 의하면 따르면 "일부 보도와 달리 성능에 미치는 영향은 작업량에 따라 다르며 평균적인 컴퓨터 사용자에게는 심각하지 않으며 시간이 지나면서 그 영향이 줄어들게 될 것이다."고 합니다.

인텔은 인텔 CPU가 얼마나 악영향을 받았는 지와 이러한 취약점의 부정적인 영향에 대해 이번 취약점의 심각성을  축소하고 있다는 비난을 받고 있습니다.

ARMAMD와 마찬가지로 공식 성명을 발표했습니다.

Meltdown 취약점:

Meltdown은 GPZ가 공개한 두 가지 취약점 중 첫 번째 취약점으로, 임의의 커널 메모리 위치를 읽는 '비순차적 명령어 처리(out-of-order execution)'라는 CPU 성능 최적화를 악용하는 것입니다. 이 공격은 운영 체제와 독립적이며 어떠한 소프트웨어 취약점에도 의존하지 않습니다. 즉, 실행 중인 운영 체제가 무엇이든 상관 없이, 시스템의 소프트웨어에 취약점이 있는지 여부에 관계없이,  모든 시스템에서 악용될 수 있는 칩 하드웨어의 취약점입니다.

...

Spectre:
Spectre는 추측 실행(speculative execution)이라는 최신 CPU의 성능 향상 기능을 악용하는 취약점입니다. 그래서 Spectre라는 이름이 붙여졌습니다.

Defiant의 "The Impact of Meltdown & Spectre Vulnerabilities"에서 Meltdown & Spectre의 영향에 대한 자세한 분석을 확인해볼 수 있습니다.

참고:

일부 글에 제휴 링크가 포함될 수 있으며 파트너스 활동으로 일정액의 수수료를 받을 수 있습니다.

4개 댓글

  1. 이 사건에서 가장 크게 주목해야 될점은 구글 프로잭트 제로에서 결함을 보고 받은뒤 인텔 CEO인 크르자니크가 보유 주식을 모두 매각했다는 것에 있죠.

    지금은 지분이 하나도 없는 상태에서 CEO 직에 앉아 있습니다. 전문용어로 빤스런이라고 하더군요.

    전문경영인 체제의 나쁜점은 모두 보여주는 사례가 아닌가 싶습니다. CES 기조연설에서는 업계가 단합하여 문제를 잘 했다며 유체이탈 화법까지 시전하더라고요. 라이브로 보다가 얼마나 얼탱이가 없던지...

    응답

    1. 구글 프로잭트 제로에서 결함을 보고 받은뒤 인텔 CEO인 크르자니크가 보유 주식을 모두 매각했다는 것에 있죠.

      ==> 이런 경우 법적인 문제가 발생하지 않을까요?

      조만간 노트북을 정말로 하나 구입해야 하는데... (구입한다고 말만 하고 있네요. 노트북이 의외로 오랫동안 고장이 나지 않네요. 예전에 LG 놋북을 사용할 때에는 고장이 가끔 발생한 것 같았는데...) 인텔 CPU라고 해서 크게 문제가 되지 않겠죠?

      응답

      1. 지금 미국에서는 인텔 인사이드를 인텔 인사이더 트레이딩으로 사명을 바꾸라면 조롱하고 있습니다.

        다수의 테크 기업 (아마존, 에픽 게임즈 etc)은 이미 인텔을 상대로 소송전에 들어간 상태고, 미 국방부는 결함이 있는 CPU를 전량교체해야 한다며 국가에 예산을 요구하기도 했습니다.

        인텔로써는 사면초가나 다름없는 상황인데 워낙 결함 적용 범위가 넓어서 (1995년 이후 현재까지 생산된 제품 전량) 보상을 다 해주다가는 회사가 파산할 판국이라 나몰라라 하고 있습니다.

        LG 그램이나 XPS 시리즈 추천합니다. 인텔 CPU 들어간것 사용하셔도 상관없는데 또 얼마전에 모바일용 인텔 프로세서에 들어가는 vPro 기술 관련 보안문제가 터져서 모바일 프로세서도 문제가 심각한 상황입니다.

        2/4분기 지나면 AMD 프로세서가 적용된 라이젠 노트북이나, 퀄컴 스냅드레곤이 적용된 ARM 윈도우 노트북들이 쏟아져 나올 예정이니 조금만 더 기다렸다가 구매하셔도 상관 없을 것 같습니다. ^^

      2. 인텔 인사이더 트레이딩... 적절한 표현이네요.ㅎㅎ

        컴퓨터에 대해 항상 좋은 정보를 주셔서 감사합니다.

댓글 남기기

* 이메일 정보는 공개되지 않습니다.