개인용컴퓨터(PC)와 서버업계에 이어 스마트폰 업계도 스펙터, 멜트다운으로 명명된 보안 취약점 해결에 나섰다. 삼성전자 무선사업부는 이르면 이달부터 갤럭시 시리즈 스마트폰용 신규 보안 업데이트를 순차 실시한다고 25일 밝혔다.
해당 보안 업데이트는 중앙처리장치(CPU)의 취약점 때문에 올해 초 세계를 떠들썩하게 만든 스펙터, 멜트다운 문제를 해결하는 것이다.
삼성전자 무선사업부는 이달 초 구글로부터 스마트폰 안드로이드 운용체계(OS) 보안 업데이트를 전달받았다. 갤럭시 시리즈 스마트폰에 맞게 최적화하는 작업을 수행하고 있다. 이번 업데이트에는 CPU 하드웨어(HW) 동작 구조를 일부 뜯어고치는 펌웨어(FW)의 업데이트도 포함될 것으로 알려졌다. 엑시노스와 스냅드래곤 CPU를 공급하는 삼성전자 시스템LSI사업부와 미국 퀄컴이 각각 FW를 제공한 것으로 전해졌다. LG전자도 2월부터 프리미엄 스마트폰을 시작으로 패치를 실시할 예정이라고 밝혔다.
스펙터와 멜트다운은 CPU 고속화 기술인 분기 예측, 비순차 명령어 처리, 추측 실행의 약점을 파고들어 가서 기기 메모리에 저장된 데이터 일부를 훔쳐볼 수 있는 취약점이다.
분기 예측은 앞으로 이뤄질 명령을 예상해 연산에 필요한 자원을 메모리에서 미리 꺼내 준비해 두는 기술이다. 비순차 명령어 처리는 빠르게 끝낼 수 있는 명령어부터 연산하는 기술을 의미한다. 추측 실행은 다음 번 연산을 추측해서 사전에 연산해 두는 기술이다.
구글 사내 보안 분석팀인 프로젝트제로는 분기 예측과 추측 실행의 약점을 파고든 보안 취약점을 스펙터, 비순차 명령어 처리와 추측 실행을 파고든 취약점을 멜트다운이라고 각각 명명했다.
CPU 고속화 기술은 1990년대부터 적용돼 왔다. 올해 초 취약점이 처음 알려질 때만 하더라도 '인텔 CPU만의 문제'라는 식의 주장이 나왔다. 그러나 전문가들은 “지금 출시되는 대부분의 고성능 CPU가 이들 기술을 차용하고 있다”면서 “CPU를 탑재한 기기 거의 모두가 스펙터, 멜트다운 취약점에 노출돼 있다”고 설명했다.
ARM CPU 코어를 사용한 삼성전자 엑시노스, 퀄컴 스냅드래곤 시리즈는 물론 대만 미디어텍과 중국 하이실리콘의 모바일용 CPU 일부가 스펙터 및 멜트다운 보안 취약점에 노출돼 있는 것으로 확인됐다. 이에 따라 삼성전자 외에도 이들 CPU를 채용해 스마트폰을 만든 업체는 조만간 신규 보안 업데이트를 실시할 것으로 예상된다. 보안 업데이트 이후에는 PC와 마찬가지로 일부 성능의 저하가 우려된다. 그러나 전문가들은 애플 사례를 언급하면서 체감 가능한 성능 저하 수준은 아닐 것이라고 진단했다.
애플은 이미 올해 초 iOS 업데이트를 통해 아이폰, 아이패드, 아이팟의 보안 취약점을 고쳐 나가고 있다. CPU부터 OS, 하드웨어(HW)를 모두 직접 만들어서 빠른 대응이 가능했다는 평가가 나온다. 애플은 보안 업데이트 이후 성능 저하가 거의 없다고 발표했다.
한주엽 반도체 전문기자 powerusr@etnews.com