글로벌 칼럼 | 멜트다운과 스펙터, 얼마나 심각한가

CSO
역사상 가장 심각한 컴퓨터 취약점으로 거론되는 멜트다운(Meltdown)과 스펙터(Spectre)에 대해 일반 대중과 일부 IT 관리자들은 별 관심이 없는 것처럼 보여 뜻밖이다. 물론 이 취약점으로 세상이 끝나지는 않는다. 아직 여기저기서 컴퓨터가 멈추는 것도 아니다.

큰 문제는 아직 발생하지 않았지만 그 점 역시 문제의 일부다. 멜트다운과 스펙터는 심각한 익스플로잇이며 큰 위험을 내포하고 있지만 아직 광범위하게 악용되지 않았기 때문에 그 심각도에 상응하는 관심을 받지 못하고 있다. 필자는 수억 개의 기기가 상당 기간 동안 계속 취약한 상태로 방치될 것이라고 생각한다.

참고: 이번 기사에서 멜트다운과 스펙터가 비슷한 영향을 미치는 비슷한 익스플로잇인 것처럼 이야기하고 있지만 사실 이 둘은 다르다. 다만 기사를 간략히 쓰기 위해 한 가지로 취급하고 있을 뿐이다. 다음 이야기들이 두 가지 취약점 모두 동일하게 적용되지는 않는다는 점을 유의하고 읽기 바란다.

일부 독자들이 필자의 우려에 대해 질문과 반박의 글을 보내왔다. 그 가운데서 몇 가지 사례를 종합해 필자의 답변과 함께 살펴보자.

별 것도 아닌데 너무 민감하게 반응하고 있다
멜트다운과 스펙터는 거의 모든 현대 운영체제(마이크로소프트 윈도우, 애플 OS X, iOS, 리눅스, BSD), 그리고 가장 많이 사용되는 CPU 칩(인텔, ARM, AMD)에 영향을 미친다. 서버, 워크스테이션, 노트북, 태블릿, 모바일 기기, 네트워크 장비, 클라우드 서비스, 그래픽 카드, 일부 사물인터넷(IoT) 기기가 영향을 받는다. 이게 전부가 아닐 수도 있다.

게임 콘솔 등 일부 기기는 안전하다고 생각할 수 있다. 가장 인기 있는 게임 콘솔 가운데 일부는 영향을 받지 않는다. 단, 거의 모든 현대 게임 콘솔은 클라우드에 연결되고, 이런 클라우드 서비스는 영향을 받을 가능성이 높다. 스마트 워치와 최신 버전의 일부 스마트폰, 와이파이 라우터, 다수의 홈 오토메이션 기기들 역시 영향을 받지 않는다고 한다. 이것이 위안이 될 수 있을까.

패치만 하면 해결된다
멜트다운과 스펙터 문제는 상당히 복잡해 대부분의 경우 익스플로잇을 방지하려면 칩, 펌웨어, 운영체제, 애플리케이션에 대한 패치가 필요하다. 일부 솔루션은 여기에 더해 구성 설정에 대한 변경도 필요하다.

패치해야 할 대상, 패치의 범위, 필요한 모든 패치를 배포할 방법, 모든 요소가 적재적소에 적용되었는지 확인할 방법을 알아냈다 해도 패치 과정은 악몽이다. 일부 기기와 소프트웨어는 패치가 불가능해 교체해야 한다. 관리자 입장에서는 모든 기기가 안전하게 패치되도록 보장할 책임을 지는 것보다 영향을 받는 모든 기기를 아예 교체하는 게 낫다고 생각할 수 있다.

더 큰 문제는 많은 기기가 패치되지 않은 채 방치될 것이라는 점이다. 일반적인 소프트웨어 패치의 경우 대체로 다음과 같은 양상으로 진행된다. 50%의 사람들은 적절한 시간 내에 패치를 적용한다. 25%는 아주 늦게 패치를 적용하고, 25%는 패치하지 않는다. 멜트다운과 스펙터의 복잡함은 곧 마지막 부류, 즉 영구적으로 패치를 적용하지 않는 사람들의 비중이 더 높을 가능성이 크다는 것을 의미한다.

왜 패치를 하지 않을까? 패치가 허락되지 않는 경우도 있다. 예를 들어 중요한 의료 기기 또는 중요한 에너지 제어 장비와 같은 환경에서는 관리자가 패치하고 싶어도 아예 허용되지 않거나, 적어도 패치가 나온 그 해에는 허용되지 않는다. 이보다 더 일반적인 경우는 특정 소프트웨어와 기기에 패치가 필요하다는 사실을 관리자가 모르는 경우다.

금전 등록기, 네트워크의 숨겨진 요소 또는 구석에 방치된 서버와 같은 컴퓨터가 영향을 받는다. 이런 기기의 화면에는 패치가 필요하다는 메시지가 표시될 수 있지만 패치되는 일은 없다. 온갖 패치 경고를 보고도 몇 년 동안 그냥 무시하는 사람들을 얼마나 알고 있는가? 필자의 지인 중에는 그런 사람이 많다.

심각한 익스플로잇이 아니라 사실 도청 취약점일 뿐이다
그 도청으로 기기 또는 운영체제의 보안과 관련된 가장 핵심적인 비밀이 새나간다. 악의적인 공격자는 문제가 해결되지 않은 기기에 구현된 현재의 모든 안티 악성코드 및 보호 기능을 우회할 수 있다. 아무런 경고도 일으키지 않고, 로그 파일에 흔적도 남기지 않는다.

멜트다운과 스펙터는 여러 사람이 발견했는데, 개발업체에 미치는 영향이 너무 심각한 나머지 이들은 여러 업체가 조율한 수정과 대처안이 나올 때까지 이 정보를 공개하지 않았다. 수십 개 개발업체의 수천 명의 사람들이 몇 개월 동안 이 익스플로잇에 대해 함구했다. 업계 전체적인 조율이 필요했을 뿐만 아니라 몇 개월 동안 그 과정이 비밀로 유지된 다른 "도청" 익스플로잇 사례가 또 있는가?

이 익스플로잇은 많이 사용되지 않고 있으며 무기화하기도 쉽지 않을 것이다
사실이 아니다. 지금 당장만 해도 여러 예제 익스플로잇이 프로세서 메모리에서 핵심적인 비밀을 빼내고 있지만 앞으로 등장할 익스플로잇은 더 발전해 공격자가 특정 프로그램을 실행해 특정 비밀을 획득하는 수준이 될 가능성이 높다.

원격 익스플로잇도 아닌데 공포가 과장됐다
현재 99%의 익스플로잇은 진정한 원격 익스플로잇이 아니지만 이와 무관하게 공격자들은 더 많은 성공을 거두고 있다. 공격자는 공격 측에서 필요한 모든 작업을 수행하면 진정한 원격 익스플로잇을 실행할 수 있다. 예를 들어 익스플로잇이 가능한 수신 서비스가 있다. 공격자는 이 서비스에 연결해 취약한 서비스를 상대로 익스플로잇을 전송하면 서비스는 익스플로잇된다. 원격 익스플로잇은 로컬 최종 사용자의 동작이 필요없기 때문에 상당히 멀리, 그리고 빠르게 전파될 수 있다. 한때는 익스플로잇의 대다수가 원격 익스플로잇이었지만 대략 20년 전부터는 상황이 바뀌었다.

현재 대부분의 익스플로잇은 성공적으로 활동하려면 로컬 최종 사용자의 동작이 필요하다. 수십년 전에는 사용자가 링크를 클릭하고 이메일을 열거나 파일을 더블클릭하도록 유도하기가 어려울 것이라고 생각했지만 사실 별로 어렵지 않은 것으로 드러났다. 그게 정말 어려웠다면 악성 인터넷 익스플로잇은 오래 전에 박멸됐을 것이다.

요즘 익스플로잇의 특성에 따른 로컬 전용과 원격 전용 구분은 거의 무의미하다. 로컬 전용 익스플로잇 또는 최종 사용자의 동작이 필요한 익스플로잇이라 해도 공격자는 여전히 성공을 거둘 수 있다.

빙산의 일각일 수도 있다
필자가 가장 두려움을 느끼는 점은 멜트다운과 스펙터에 대한 사람들의 방임적인 태도가 아니라, 이것이 앞으로 더 커질 문제의 시작일 가능성이 높다는 점이다. 하드웨어 익스플로잇은 점점 더 인기를 끌고 사람들의 관심을 모으고 있다. 실제로 멜트다운과 스펙터는 서로 무관한 여러 그룹의 사람들이 칩 익스플로잇 분야를 더 집중적으로 연구하던 중에 몇 개월의 기간 내에 개별적으로 발견했다.

멜트다운과 스펙터 이후 더 많은 칩 익스플로잇이 등장할 것은 거의 확실하다. 관건은 이 사회가 이런 상황에 충분히 대처할 만큼 관심을 갖느냐, 아니면 익스플로잇 피로감에 빠지느냐다.

스스로 잘 대처하고 있다고 느껴진다면 자사가 필요한 모든 요소를 패치하기 위해 가능한 모든 일을 하고 있는지 확인하라. 회사에 모든 칩과 펌웨어 패치를 적시에 적용해야 한다는 명시적인 정책이 있는지 자문하라. 또한 명시적인 정책과 별개로 칩 및 펌웨어 버전 목록을 갖고 있으며 적극적으로 패치가 있는지 여부를 확인해 적용하고 있는가? 아니면 멜트다운과 스펙터 문제에만 대처하고 있는가?

거의 모든 칩 및 펌웨어 패치는 하나 이상의 핵심 보안 취약점을 수정한다. 지금까지 항상 그래왔다. 공격자들이 그동안 하드웨어에 더 집중하지 않았다는 점은 우리에게 다행스러운 일이다. 이들에게는 매년 나오는 수천 개의 소프트웨어 취약점만으로 충분했기 때문에 하드웨어 문제에는 집중할 필요가 없었다. 하지만 양상은 바뀌고 있다. editor@itworld.co.kr