최악의 CPU 보안 결함...가장 큰 타격은 클라우드 서비스

사상 최악의 중앙처리장치(CPU)에서 밝혀진 보안 취약점이 클라우드 서비스에 가장 큰 타격을 줄 전망이다. 수많은 서버를 운영하는 클라우드 사업자는 보안 패치에 시간이 걸리는데다 성능 저하 문제까지 떠안게 될 전망이다.

미국 침해사고대응팀(US-CERT)은 CPU 하드웨어 설계 오류로 인한 보안 취약점이 발견돼 신속한 보안 업데이트를 권고했다. 아마존, 구글, 마이크로소프트 등 클라우드 기업이 업데이트를 시작했다. 인텔, AMD, ARM은 물론이고 애플, 시스코, 시트릭스 등 39곳이 보안 업데이트를 내놨다. 트렌드마이크로, 포티넷, F5네트웍스 등 보안 제품도 영향을 받는다.

사상 최악의 CPU보안 취약점이 발견됐다. GettyImagesBank
사상 최악의 CPU보안 취약점이 발견됐다. GettyImagesBank

해당 취약점은 구글 프로젝트제로팀과 그라즈기술대학(Graz Unitersity fo Technology) IAIK(Institute of Applied Information Processing and Communications)와 앤더스 포그(Anders Fogh) 연구팀 등 3곳이 발견했다.

연구팀은 인텔과 AMD, ARM 등 CPU가 시스템 메모리에 저장된 모든 데이터를 빼돌릴 수 있는 '멜트다운(Meltdown)'과 '스펙터(Spectre)' 취약점에 노출됐다고 밝혔다. 취약점 CVE-2017-5753과 CVE-2017-5715는 스펙터란 이름으로 불린다. CVE-2017-5754는 멜트다운으로 명명됐다.

인텔 등 CPU 제조사는 시스템에서 실행 중인 명령어 순서를 바꾸거나 심지어 명령어를 미리 예측해 CPU 성능을 극대화했다. 이 과정에서 바꿔서는 안 되는 명령어를 바꿨거나 다음에 실행할 명령어 예측이 틀리는 경우가 발생한다. CPU가 미리 해둔 내용은 무시된다. 하지만, 미리 실행한 결과 값이 완전히 없어지지 않았다. 실제로 캐시 메모리에 그대로 저장됐다.

연구팀은 부채널 공격 기법을 이용해 캐시 메모리에 저장된 정보가 노출되는 취약점을 찾아냈다. 시스템 로그인 ID와 비밀번호, 사진, 이메일 등 개인정보를 모두 빼돌린다. 부채널 공격이란 특수한 상황에서 처리 시간 차이 특성을 이용한 해킹 방식이다.

보안 업데이트가 시급하다. GettyImagesBank
보안 업데이트가 시급하다. GettyImagesBank

스펙터 취약점은 모든 CPU에 적용되며 멜트다운은 인텔 CPU에 영향을 끼친다. 인텔 CPU는 스펙터와 멜트다운 모두 영향을 받는 셈이다.

김승주 고려대 정보보호대학원 교수는 “이번 CPU 보안 취약점은 칩 구조를 다시 설계해야 완벽하게 대응할 수 있다”면서 “CPU는 단시간에 다시 설계해 생산할 수 없어 OS 커널과 CPU마이크로코드 업데이트로 대처 중”이라고 설명했다. 그는 “수많은 서버를 운영 중인 금융권과 클라우드 사업자는 보안 업데이트 규모가 방대한데다 성능 저하 이슈까지 떠안아야 하는 상황”이라면서 “취약점이 공개돼 관련 공격이 발생하는 건 시간문제”라고 덧붙였다.

일부 해외 소셜네트워크에 관련 취약점을 이용한 공격 코드를 만드는 데 하루 밖에 걸리지 않는다는 글이 올라왔다.

인텔을 비롯해 영향권에 놓인 IT기업이 업데이트를 속속 내놨다. 인텔은 지난 5년 내 생산된 프로세서 제품 상당수에 대한 업그레이드가 이미 완료됐다고 밝혔다. 구글은 최근 보안 패치를 설치한 안드로이드 이용자는 추가 조치가 필요 없다고 설명했다. 구글은 성능 저하 없이 패치하는 방법도 내놨다. 아마존웹서비스(AWS)는 모든 자사 시스템 업데이트의 완료가 임박했다며 고객도 자체 OS 패치 준비를 권고했다. 마이크로소프트는 지난 3일 멜트다운을 해결하기 위해 윈도용 보안 패치를 배포했다. ARM은 대부분 프로세서가 영향을 받지 않았다며 특정 고급 칩만 영향을 받았다고 설명했다. 어드밴스드 마이크로 디바이스(AMD)는 “소프트웨어 패치를 통해 결함 중 하나를 해결했다”면서 “ADM칩이 다른 방식으로 설계됐다”고 주장했다.

자료:이스트시큐리티 블로그
자료:이스트시큐리티 블로그

김인순 보안 전문기자 insoon@etnews.com