보안

"GPU 악성코드로 인해 공황에 빠질 이유는 없다"...인텔

Lucian Constantin | IDG News Service 2015.09.02
GPU(Graphics Processing Units) 내부에서 실행되는 악성코드는 탐지되기 더 어려워질 수 있다. 그러나 보안 제품들이 완전히 발견하지 못할 정도는 아니다.

인텔 맥아피 연구소의 연구원들은 지난 3월에 발표된 젤리피시(JellyFish)라 명명된 GPU 악성코드 PoC(proof-of-concept)를 분석하기 위해 인텔의 영상 및 병렬 컴퓨팅 그룹(Visual and Parallel Computing Group)의 회원들과 한팀을 이뤘다.

맥아피의 최신 분기 위협 보고서에 발표한 이들의 결론은 GPU 내부에서 실행되는 악의적인 코드는 여전히 중대한 문제점을 안고 있지만 자체 개발자이 주장한만큼 은밀하지는 않다는 것이다.

젤리피시의 제작자들은 DMA(direct memory access)라 불리는 기능을 통해 호스트 컴퓨터의 메모리에서 염탐할 수 있다는 것이 GPU 악성코드 이점 가운데 하나라고 주장했다.

이것은 사실이지만 GPU에서 시스템 메모리의 매우 중요한 부분을 노출하는 것은 커널 권한을 요구하며 호스트 컴퓨터에서 실행하는 프로세스를 통해서만 할 수 있다.

인텔 연구원들은 "보안 제품들은 이런 운영에 대해 모니터링할 수 있으며, 제한할 수도 있다. 뿐만 아니라 이런 종속성은 기존 커널 보호를 위한 문제다"고 말했다.

GPU 악성코드가 탐지되지 않은 채 설치 단계에 이르렀다면 이론상으로 프로세스 내 사용된 사용자 코드와 커널 드라이브는 호스트 운영체제에서 삭제될 수 있다. 그러나 이는 문제의 소지가 있다.

예를 들어, 윈도우 상에서 고아가 된 GPU 코드는 그래픽 카드를 리셋하는 TDR(Timeout Detection and Recovery) 프로세스의 방아쇠가 될 수 있다. 

맥아피 연구원들은 "이 매커니즘이 행해지기 전에 디폴트 타임아웃(default timeout)을 2초 내로 정하고 무언가 변경하기 위한 어떤 시도도 보안 제품에 의해 의심되는 행동으로 처리할 수 있다"고 설명했다.

그래서 이 연구원들은 "공격자들에게 있어 가장 최선의 방법은 호스트 컴퓨터에서 실행하는 프로세스를 유지하는 것"이라고 말했다. 이 코드는 완전한 악성코드 프로그램보다 탐지되지 않도록 몸집을 최소화할 수 있지만 그렇다고 그것이 보안 제품들에 의해 발견될 수 없는 것은 아니다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.