2018.01.12

토픽 브리핑 | CPU 고속 성장의 이면에 있는 것, 멜트다운과 스펙터 취약점

허은애 기자 | ITWorld
사용자나 기업이 지켜야 할 보안 수칙은 한두 가지가 아니다. 많은 사람들이 최신 운영체제를 사용하고, 꼬박꼬박 업데이트를 받고, 유료 백신 프로그램을 사용하고, 출처가 불분명한 링크를 클릭하지 않는 등, 다양한 노력을 꾸준히 기울이고 있다.

그러나 지난주부터 전 세계를 뒤흔든 멜트다운(Meltdown)과 스펙터(Spectre)는 개인이 아무리 주의해도 막기 힘든 CPU 차원의 취약점이라는 점에서 사용자들에게 큰 충격을 안겼다. 특히 인텔을 비롯한 칩 제조업체, 운영체제 및 부품 업체가 속속 관련 패치를 내놓고 있지만, 보안 위험 감소를 목적으로 한 패치가 오히려 CPU 성능을 저하한다는 소식이 알려져 사용자들의 우려가 크다. 아직까지 실제 피해 사례가 나타나지 않은 것은 다행스러운 일이다. 그러나 왜 이런 문제가 생겼고 기업과 개인 사용자가 어떤 행동을 취해야 하는지를 알아두는 것이 중요하다.

CPU 설계 방식은 제조사마다 다른데, 특히 인텔 CPU에서 결함이 가장 크게 나타난다. CPU는 컴퓨터가 데이터를 읽거나 입출력할 때 예측 기능을 활용해 작업 일부만 처리하고 나머지를 보류한 채 다음 작업을 준비하는 예측 실행으로 성능과 속도를 크게 높이는 방식을 썼는데, 바로 이 점이 문제였다.

커널은 애플리케이션에 맞춰 컴퓨터 내부를 컨트롤하면서 하드웨어와 소프트웨어를 중개하는 역할을 맡은 컴퓨터의 핵심 구성 요소다. 사용자 애플리케이션과 운영체제 커널은 기본적으로 상호 격리 상태를 유지해야 한다. 멜트다운은 이 격리 상태를 무너뜨려 애플리케이션의 메모리 액세스를 가능하게 만드는 공격이다.

현재 저전력을 목적으로 의도적으로 성능을 낮춘 인텔 아이테니엄, 아톰 프로세서를 제외하고 1995년 이후 비순차적 명령어 처리 방식을 취한 모든 x86 프로세서가 멜트다운 결함의 대상이 된다고 알려졌다. 지금까지 멜트다운 취약점은 인텔 프로세서와 일부 ARM 프로세서에서 발견됐다. AMD는 인텔에서 라이선스한 64비트 확장 프로그램을 갖췄지만 구현 방식이 완전히 달라 멜트다운 취약점에는 문제가 없다고 발표했다.

인텔 CPU 커널 버그 총정리 : 대규모 보안 결함으로 성능 악영향 가능
글로벌 칼럼 | 멜트다운과 스펙터 익스플로잇, "두려워 말고 팩트만 보라"
IDG 블로그 | 인텔 CPU 버그가 불러온 가상화의 악몽
“모바일도 위험하다” 스펙터 CPU 버그 영향권의 모바일 디바이스 현황

사용자 애플리케이션도 역시 서로 고립 상태를 유지해야 하지만, 스펙터는 이 고립을 파괴하고 다른 애플리케이션 영역에 액세스할 수 있는 결함이다. 한 애플리케이션에서 다른 사용자 애플리케이션의 핵심 데이터에 접근할 수 있다. 공격하기도 어렵지만, 위험 완화도 까다로워 유령처럼 PC 환경을 계속 따라다닌다는 특징 때문에 스펙터라는 이름이 붙었다.

스펙터 결함은 대다수 현대 CPU의 동작 구조의 한계에서 기인한다. 그러므로 업체를 가리지 않고 PC부터 스마트폰까지 거의 모든 시스템이 영향을 받을 수 있다. 특히 인텔은 물론, 일부 AMD, ARM 프로세서에서까지 스펙터 결함이 존재하는 것으로 확인됐다.

일반적으로 취약점이 발견된 후 공개되는 보안 패치는 해결책 역할을 한다. 마이크로소프트, 애플 등은 운영체제 보안 패치를 속속 준비해 내놨다. 자동 업데이트를 지원하지 않는 구형 운영체제 PC에서는 직접 패치를 다운로드해 설치할 필요가 있다. 현재 리눅스, 윈도우, OS X용 멜트다운 패치가 공개됐다. 인텔은 최근 5년간 판매된 프로세서는 1주일 내에, 이전 칩의 업데이트는 1월 말까지 마치겠다고 밝혔다.

그러나 이번 멜트다운·스펙터 결함을 완화하는 보안 패치는 오히려 CPU 성능을 저하하는 부작용을 동반해 사용자의 우려를 사고 있다. 윈도우의 경우 7, 8 등 구형 운영체제에서 성능 하락 폭이 가장 크고, 최신 운영체제의 성능 하락은 체감하기 어려운 정도로 알려졌다.

크롬, 엣지, 파이어폭스가 내놓은 멜트다운·스펙터 취약점 대책
MS가 내놓은 스펙터 패치, 구형 PC일수록 성능 저하 커 “공식 패치 다운로드해야”
엔비디아, 스펙터 결험 대비한 그래픽 카드 업데이트 내놔
MS, 멜트다운, 스펙터 업데이트로 가장 느려지는 운영체제는 윈도우 7”

문제는 서버나 가상화 환경에 미치는 영향이다. 마이크로소프트는 입출력 빈도가 높은 작업에서 성능 저하를 관찰할 수 있다고 발표했다. 인텔 CPU와 젠 가상머신을 사용하는 클라우드 공급 업체가 패치를 적용하지 않을 경우 멜트다운의 영향을 받을 위험이 제기된다. 하드웨어 가상화뿐 아니라 소프트웨어 기반 가상화, 도커, LXC, 오픈VZ 등 커널 공유 컨테이너 업체도 영향을 받는다. 어렵기는 하지만, 스펙터 취약점을 이용해 같은 서버에 있는 다른 가상머신이나 가상머신 구동 서버의 메모리에 접근할 위험이 제기됐다.

멜트다운과 스펙터 결함, 맥 사용자를 위한 대책 FAQ
"멜트다운·스펙터 CPU 결함 대비하려면?" 개인 사용자를 위한 PC 보호 가이드
구멍이 뚫렸다··· '스펙터' & '멜트다운' 버그로부터 데이터를 보호하려면?

전문가들은 근본적인 해결책이 나오기까지 빨라도 6개월, 길게는 3~4년까지 걸릴 것으로 내다본다. 칩 제조 업체가 CPU의 동작 방식과 설계를 재검토하고 구조를 변경해야 하기 때문이다. 인텔은 성능과 속도를 높여 끊임없이 새로운 칩을 내놨던 최고의 기술 기업이었다. CPU 근본 설계에 보안 허점이 있었으며 패치를 해도 CPU 성능이 저하된다는 소식은 그래서 더욱 충격적이다. 현재 상황에서 개인 사용자가 할 수 있는 최선의 대비는 PC와 모바일 기기의 운영체제 패치와 업데이트에 주의를 기울이면서 상황을 장기적으로 지켜보는 것뿐이다. editor@itworld.co.kr 


2018.01.12

토픽 브리핑 | CPU 고속 성장의 이면에 있는 것, 멜트다운과 스펙터 취약점

허은애 기자 | ITWorld
사용자나 기업이 지켜야 할 보안 수칙은 한두 가지가 아니다. 많은 사람들이 최신 운영체제를 사용하고, 꼬박꼬박 업데이트를 받고, 유료 백신 프로그램을 사용하고, 출처가 불분명한 링크를 클릭하지 않는 등, 다양한 노력을 꾸준히 기울이고 있다.

그러나 지난주부터 전 세계를 뒤흔든 멜트다운(Meltdown)과 스펙터(Spectre)는 개인이 아무리 주의해도 막기 힘든 CPU 차원의 취약점이라는 점에서 사용자들에게 큰 충격을 안겼다. 특히 인텔을 비롯한 칩 제조업체, 운영체제 및 부품 업체가 속속 관련 패치를 내놓고 있지만, 보안 위험 감소를 목적으로 한 패치가 오히려 CPU 성능을 저하한다는 소식이 알려져 사용자들의 우려가 크다. 아직까지 실제 피해 사례가 나타나지 않은 것은 다행스러운 일이다. 그러나 왜 이런 문제가 생겼고 기업과 개인 사용자가 어떤 행동을 취해야 하는지를 알아두는 것이 중요하다.

CPU 설계 방식은 제조사마다 다른데, 특히 인텔 CPU에서 결함이 가장 크게 나타난다. CPU는 컴퓨터가 데이터를 읽거나 입출력할 때 예측 기능을 활용해 작업 일부만 처리하고 나머지를 보류한 채 다음 작업을 준비하는 예측 실행으로 성능과 속도를 크게 높이는 방식을 썼는데, 바로 이 점이 문제였다.

커널은 애플리케이션에 맞춰 컴퓨터 내부를 컨트롤하면서 하드웨어와 소프트웨어를 중개하는 역할을 맡은 컴퓨터의 핵심 구성 요소다. 사용자 애플리케이션과 운영체제 커널은 기본적으로 상호 격리 상태를 유지해야 한다. 멜트다운은 이 격리 상태를 무너뜨려 애플리케이션의 메모리 액세스를 가능하게 만드는 공격이다.

현재 저전력을 목적으로 의도적으로 성능을 낮춘 인텔 아이테니엄, 아톰 프로세서를 제외하고 1995년 이후 비순차적 명령어 처리 방식을 취한 모든 x86 프로세서가 멜트다운 결함의 대상이 된다고 알려졌다. 지금까지 멜트다운 취약점은 인텔 프로세서와 일부 ARM 프로세서에서 발견됐다. AMD는 인텔에서 라이선스한 64비트 확장 프로그램을 갖췄지만 구현 방식이 완전히 달라 멜트다운 취약점에는 문제가 없다고 발표했다.

인텔 CPU 커널 버그 총정리 : 대규모 보안 결함으로 성능 악영향 가능
글로벌 칼럼 | 멜트다운과 스펙터 익스플로잇, "두려워 말고 팩트만 보라"
IDG 블로그 | 인텔 CPU 버그가 불러온 가상화의 악몽
“모바일도 위험하다” 스펙터 CPU 버그 영향권의 모바일 디바이스 현황

사용자 애플리케이션도 역시 서로 고립 상태를 유지해야 하지만, 스펙터는 이 고립을 파괴하고 다른 애플리케이션 영역에 액세스할 수 있는 결함이다. 한 애플리케이션에서 다른 사용자 애플리케이션의 핵심 데이터에 접근할 수 있다. 공격하기도 어렵지만, 위험 완화도 까다로워 유령처럼 PC 환경을 계속 따라다닌다는 특징 때문에 스펙터라는 이름이 붙었다.

스펙터 결함은 대다수 현대 CPU의 동작 구조의 한계에서 기인한다. 그러므로 업체를 가리지 않고 PC부터 스마트폰까지 거의 모든 시스템이 영향을 받을 수 있다. 특히 인텔은 물론, 일부 AMD, ARM 프로세서에서까지 스펙터 결함이 존재하는 것으로 확인됐다.

일반적으로 취약점이 발견된 후 공개되는 보안 패치는 해결책 역할을 한다. 마이크로소프트, 애플 등은 운영체제 보안 패치를 속속 준비해 내놨다. 자동 업데이트를 지원하지 않는 구형 운영체제 PC에서는 직접 패치를 다운로드해 설치할 필요가 있다. 현재 리눅스, 윈도우, OS X용 멜트다운 패치가 공개됐다. 인텔은 최근 5년간 판매된 프로세서는 1주일 내에, 이전 칩의 업데이트는 1월 말까지 마치겠다고 밝혔다.

그러나 이번 멜트다운·스펙터 결함을 완화하는 보안 패치는 오히려 CPU 성능을 저하하는 부작용을 동반해 사용자의 우려를 사고 있다. 윈도우의 경우 7, 8 등 구형 운영체제에서 성능 하락 폭이 가장 크고, 최신 운영체제의 성능 하락은 체감하기 어려운 정도로 알려졌다.

크롬, 엣지, 파이어폭스가 내놓은 멜트다운·스펙터 취약점 대책
MS가 내놓은 스펙터 패치, 구형 PC일수록 성능 저하 커 “공식 패치 다운로드해야”
엔비디아, 스펙터 결험 대비한 그래픽 카드 업데이트 내놔
MS, 멜트다운, 스펙터 업데이트로 가장 느려지는 운영체제는 윈도우 7”

문제는 서버나 가상화 환경에 미치는 영향이다. 마이크로소프트는 입출력 빈도가 높은 작업에서 성능 저하를 관찰할 수 있다고 발표했다. 인텔 CPU와 젠 가상머신을 사용하는 클라우드 공급 업체가 패치를 적용하지 않을 경우 멜트다운의 영향을 받을 위험이 제기된다. 하드웨어 가상화뿐 아니라 소프트웨어 기반 가상화, 도커, LXC, 오픈VZ 등 커널 공유 컨테이너 업체도 영향을 받는다. 어렵기는 하지만, 스펙터 취약점을 이용해 같은 서버에 있는 다른 가상머신이나 가상머신 구동 서버의 메모리에 접근할 위험이 제기됐다.

멜트다운과 스펙터 결함, 맥 사용자를 위한 대책 FAQ
"멜트다운·스펙터 CPU 결함 대비하려면?" 개인 사용자를 위한 PC 보호 가이드
구멍이 뚫렸다··· '스펙터' & '멜트다운' 버그로부터 데이터를 보호하려면?

전문가들은 근본적인 해결책이 나오기까지 빨라도 6개월, 길게는 3~4년까지 걸릴 것으로 내다본다. 칩 제조 업체가 CPU의 동작 방식과 설계를 재검토하고 구조를 변경해야 하기 때문이다. 인텔은 성능과 속도를 높여 끊임없이 새로운 칩을 내놨던 최고의 기술 기업이었다. CPU 근본 설계에 보안 허점이 있었으며 패치를 해도 CPU 성능이 저하된다는 소식은 그래서 더욱 충격적이다. 현재 상황에서 개인 사용자가 할 수 있는 최선의 대비는 PC와 모바일 기기의 운영체제 패치와 업데이트에 주의를 기울이면서 상황을 장기적으로 지켜보는 것뿐이다. editor@itworld.co.kr 


X