2018.08.22

스펙터, 멜트다운 취약점 개선하려면··· 전문가들, "새로운 프로세서 설계 필요"

Mark Hachman | PCWorld
올 한해 마이크로 프로세서 업계의 최고 화제는 스펙터와 멜트다운 등의 실행 버그를 확인해 수정하는 것이었다. 업계 학술회의 중 하나인 핫 칩(Hot Chips)에서 전문가들은 스펙터와 멜트다운에 대한 궁극적인 해결책에 더 많은 논의가 필요하다는 데 동의했다.

미국 캘리포니아 주 쿠퍼티노에서 개최된 회의에서 미국 위스콘신 대학교의 마크 힐 교수는 ARM, 인텔 등의 최슨 마이크로 프로세서의 사이드 채널이나 예측적 실행 공격의 영향에 대한 의견을 물었다. 힐 교수와 다른 패널들은 모두 하드웨어와 소프트웨어 개발사의 연합을 통해 현재의 마이크로프로세서를 완전히 재설계해야 한다는 데 의견을 모았다.

칩 산업 전체가 모르고 있었던 것
멜트다운과 스펙터는 2017 년 말에 갑작스레 공개되었다. 원래는 2018 년 1 월 CES에서 정식으로 공개 될 예정이었다. 처음 이 취약점을 발견한 것은 구글 제로 데이 조사 팀인 구글 프로젝트 제로다. 멜트다운과 스펙터는 프로세서가 실행할 명령어 분기를 추측하는 투기적 실행이라는 현대 마이크로프로세서의 특징을 악용했다. 구글 커널 부서 엔지니어이며 책임자인 폴 터너는 프로젝트 제로는 미리 다른 구글 부서에 경고를 한 적이 없다고 밝혔다.

마이크로프로세서 설계자들은 20년 간 안전하게 데이터를 폐기해왔다고 생각했지만, 사이드 채널 공격은 이들 설계자가 틀렸음을 입증했다.

실제로는 브라우저 탭이 서로 다른 브라우저의 내용을 열람하거나 가상 시스템이 다른 브라우저 내용을 읽을 수 있다. 따라서 인텔 등의 CPU 공급 업체는 마이크로소프톼 함께 소프트웨어적 완화책을 발견했다. 소프트웨어 완화책은 스펙터, 멜트다운, 포어섀도우(Foreshadow) 등의 후속 공격에서 PC를 보호하는 가장 효과적인 방법이었다.

다행히도 몇몇 경우에는 시간이 걸린다. 넷스펙터는 스펙터 취약점을 원격으로 익스플로잇하고 클라우드나 원격 머신을 통해 침입할 수 있다. 패널 중 하나인 존 헤네시에 따르면, 넷스펙터로 데이터 유출을 분당 1비트로 늦출 수 있다고 말했다. 다른 한편, 서버가 원격 칩입한 후 침입 사실이 밝혀질 때까지의 평균 시간은 100일이었다.

헤네시는 인텔이 올 가을 새로운 제온 프로세서인 캐스케이트 레이크로 하드웨어 이전 계획이 실행되더라도, 인텔 차세대 프로세서가 첫 번째 스펙터 변종을 완전히 수정하지는 않을 것이라고 말했다.

인텔이 차세대 제온 마이크로프로세서 캐스케이드 레이크에 포함한 하드웨어 완화책 목록


패치인가, 도돌이표인가?
힐은 ARM, 인텔, AMD 및 여러 업체가 단기간에 소프트웨어 완화책으로 문제를 해결할 수 있다고 덧붙였다. 그러나 문제를 완전히 없애기 위해서는 더 근본적인 변화가 필요하다는 것이 그의 주장이다.

레드햇 컴퓨터 아키텍트인 예측적 실행은 존 마스터스는 예측적 실행으로 마이크로프로세서나 PC 산업이 기록적 판매를 달성한 이유라고 말했다. 그러나 예측적 실행은 ‘마법의 블랙 박스’로만 취급되었고 사용자나 고객의 적절한 의문이 제기된 적은 없었다고 지적했다. 마법의 램프가 부서진 후, 예측적 실행과 실행에 필요한 프로세서 캐시를 제거하면 성능이 20배나 줄어들 수 있다.


힐은 분기 예측 요소 분리, 무작위 추가, 하드웨어 보호 솔루션을 제안했다. 예측적 실행 기능을 끄고 더 느리고 안전한 실행 모드를 더하는 것도 하나의 해결책일 수 있다. ‘빠른 코어’와 ‘안전한 코어’ 사이에서 예측 적 엔진을 분리하는 것이 될 수 있다. 힐은 가상 시스템에 더 많은 비용을 청구하는 비즈니스 솔루션을 제안했다. 1개 이상의 가상 머신과 하드웨어 자원을 공유하지 않고, 클라우드 공급 업체가 단독 액세스를 제공하는 것이다. 마지막으로는 스펙서 같은 유형의 공격이 가속기의 부활로 이어질 수 있다고 지적했다.

그러나 근본적인 해결책은 구조적 정의를 근본적으로 재작업하는 것이다. 컴퓨터 아키텍처는 어떤 프로세서가 소프트웨어 명령어 세트를 실행하고 수학적 유닛, 부동 소수점 유닛 등을 사용하는 방식으로 이루어져 있고, 오늘날의 칩은 최초 모델의 요구 사항을 준수하도록 설계되었다. 그러나 기본 아키텍처에 근본적인 결함이 있으면 새로운 아키텍처가 필요할 수도 있다. 다른 의미로 스펙터와 멜트다운은 버그가 아니라, 현대 칩 설계에 있는 결함이며 어쩌면 새로운 모델도 스펙터와 멜트다운이 필요할지 모른다.

패널의 합의는 소프트웨어를 중심으로 하드웨어가 설계되어야 한다는 단순한 진리에 모아졌다. 그 반대도 마찬가지다. 소프트웨어와 하드웨어는 둘 다 보안에 더욱 신경써야 한다. 힐은 “소프트웨어와 하드웨어 업계의 단절은 이제 개선되어야 한다”고 강조했다. editor@itworld.co.kr  


2018.08.22

스펙터, 멜트다운 취약점 개선하려면··· 전문가들, "새로운 프로세서 설계 필요"

Mark Hachman | PCWorld
올 한해 마이크로 프로세서 업계의 최고 화제는 스펙터와 멜트다운 등의 실행 버그를 확인해 수정하는 것이었다. 업계 학술회의 중 하나인 핫 칩(Hot Chips)에서 전문가들은 스펙터와 멜트다운에 대한 궁극적인 해결책에 더 많은 논의가 필요하다는 데 동의했다.

미국 캘리포니아 주 쿠퍼티노에서 개최된 회의에서 미국 위스콘신 대학교의 마크 힐 교수는 ARM, 인텔 등의 최슨 마이크로 프로세서의 사이드 채널이나 예측적 실행 공격의 영향에 대한 의견을 물었다. 힐 교수와 다른 패널들은 모두 하드웨어와 소프트웨어 개발사의 연합을 통해 현재의 마이크로프로세서를 완전히 재설계해야 한다는 데 의견을 모았다.

칩 산업 전체가 모르고 있었던 것
멜트다운과 스펙터는 2017 년 말에 갑작스레 공개되었다. 원래는 2018 년 1 월 CES에서 정식으로 공개 될 예정이었다. 처음 이 취약점을 발견한 것은 구글 제로 데이 조사 팀인 구글 프로젝트 제로다. 멜트다운과 스펙터는 프로세서가 실행할 명령어 분기를 추측하는 투기적 실행이라는 현대 마이크로프로세서의 특징을 악용했다. 구글 커널 부서 엔지니어이며 책임자인 폴 터너는 프로젝트 제로는 미리 다른 구글 부서에 경고를 한 적이 없다고 밝혔다.

마이크로프로세서 설계자들은 20년 간 안전하게 데이터를 폐기해왔다고 생각했지만, 사이드 채널 공격은 이들 설계자가 틀렸음을 입증했다.

실제로는 브라우저 탭이 서로 다른 브라우저의 내용을 열람하거나 가상 시스템이 다른 브라우저 내용을 읽을 수 있다. 따라서 인텔 등의 CPU 공급 업체는 마이크로소프톼 함께 소프트웨어적 완화책을 발견했다. 소프트웨어 완화책은 스펙터, 멜트다운, 포어섀도우(Foreshadow) 등의 후속 공격에서 PC를 보호하는 가장 효과적인 방법이었다.

다행히도 몇몇 경우에는 시간이 걸린다. 넷스펙터는 스펙터 취약점을 원격으로 익스플로잇하고 클라우드나 원격 머신을 통해 침입할 수 있다. 패널 중 하나인 존 헤네시에 따르면, 넷스펙터로 데이터 유출을 분당 1비트로 늦출 수 있다고 말했다. 다른 한편, 서버가 원격 칩입한 후 침입 사실이 밝혀질 때까지의 평균 시간은 100일이었다.

헤네시는 인텔이 올 가을 새로운 제온 프로세서인 캐스케이트 레이크로 하드웨어 이전 계획이 실행되더라도, 인텔 차세대 프로세서가 첫 번째 스펙터 변종을 완전히 수정하지는 않을 것이라고 말했다.

인텔이 차세대 제온 마이크로프로세서 캐스케이드 레이크에 포함한 하드웨어 완화책 목록


패치인가, 도돌이표인가?
힐은 ARM, 인텔, AMD 및 여러 업체가 단기간에 소프트웨어 완화책으로 문제를 해결할 수 있다고 덧붙였다. 그러나 문제를 완전히 없애기 위해서는 더 근본적인 변화가 필요하다는 것이 그의 주장이다.

레드햇 컴퓨터 아키텍트인 예측적 실행은 존 마스터스는 예측적 실행으로 마이크로프로세서나 PC 산업이 기록적 판매를 달성한 이유라고 말했다. 그러나 예측적 실행은 ‘마법의 블랙 박스’로만 취급되었고 사용자나 고객의 적절한 의문이 제기된 적은 없었다고 지적했다. 마법의 램프가 부서진 후, 예측적 실행과 실행에 필요한 프로세서 캐시를 제거하면 성능이 20배나 줄어들 수 있다.


힐은 분기 예측 요소 분리, 무작위 추가, 하드웨어 보호 솔루션을 제안했다. 예측적 실행 기능을 끄고 더 느리고 안전한 실행 모드를 더하는 것도 하나의 해결책일 수 있다. ‘빠른 코어’와 ‘안전한 코어’ 사이에서 예측 적 엔진을 분리하는 것이 될 수 있다. 힐은 가상 시스템에 더 많은 비용을 청구하는 비즈니스 솔루션을 제안했다. 1개 이상의 가상 머신과 하드웨어 자원을 공유하지 않고, 클라우드 공급 업체가 단독 액세스를 제공하는 것이다. 마지막으로는 스펙서 같은 유형의 공격이 가속기의 부활로 이어질 수 있다고 지적했다.

그러나 근본적인 해결책은 구조적 정의를 근본적으로 재작업하는 것이다. 컴퓨터 아키텍처는 어떤 프로세서가 소프트웨어 명령어 세트를 실행하고 수학적 유닛, 부동 소수점 유닛 등을 사용하는 방식으로 이루어져 있고, 오늘날의 칩은 최초 모델의 요구 사항을 준수하도록 설계되었다. 그러나 기본 아키텍처에 근본적인 결함이 있으면 새로운 아키텍처가 필요할 수도 있다. 다른 의미로 스펙터와 멜트다운은 버그가 아니라, 현대 칩 설계에 있는 결함이며 어쩌면 새로운 모델도 스펙터와 멜트다운이 필요할지 모른다.

패널의 합의는 소프트웨어를 중심으로 하드웨어가 설계되어야 한다는 단순한 진리에 모아졌다. 그 반대도 마찬가지다. 소프트웨어와 하드웨어는 둘 다 보안에 더욱 신경써야 한다. 힐은 “소프트웨어와 하드웨어 업계의 단절은 이제 개선되어야 한다”고 강조했다. editor@itworld.co.kr  


X