세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
인텔, AMD, ARM 프로세서 취약점, 어떤 공격 예상해야 할까?
  |  입력 : 2018-01-05 13:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 전문가들, 하루 만에 개념증명 개발 완료...해커들도 마찬가지
자바스크립트 통하면 원격에서도 공략 가능...국가 후원 단체 공격 예상


[보안뉴스 문가용 기자] 보안 전문가들은 이제 곧 인텔, AMD, ARM 프로세서에서 발견된 멜트다운(Meltdown)과 스펙터(Spectre) 오류에 대한 해커들의 원격 공격이 시작될 것이라고 보고 있다. 멜트다운과 스펙터 공격은 1) 메모리 격리 원리를 무용지물로 만들고 2) 민감한 데이터로의 접근을 허용하는 세 가지 취약점들을 익스플로잇 할 때 성립된다.

[이미지 = iclickart]


이 세 가지 취약점들이 존재하는 CPU는 현재 세계 수십 억대의 PC 및 모바일 기기들에 들어있는 것으로 알려져 있다. 심지어 클라우드 환경에도 어느 정도 이러한 취약점 공략이 가능하기도 하다. 그래서 누구나 알 법한 유명 IT 기업들을 비롯한 수많은 IT 업체들이 패치를 서둘러 공개하고 있다.

그러나 아무리 패치가 많이 나와도, 사용자가 설치하지 않으면 이 취약점들은 공격자의 좋은 먹잇감이 된다. 그리고 사용자들은 보통 패치를 빨리 하지 않는다. 전문가들이 많은 공격이 일어날 것이라고 예상하는 이유가 바로 이 때문이다.

물론 멜트다운과 스펙터 공격을 실시하려면 시스템에 직접 접근해 멀웨어를 심는 게 가장 간편하다. 하지만 자바스크립트를 통한 원격 공격 역시 가능하기 때문에 주의가 요구된다고 전문가들은 입을 모은다. 그러면서 구글 크롬에 스펙터 공격을 원격에서 실시하는 개념증명을 개발해내기도 했다. 이를 통해 전문가들은 프로세스로부터 메모리 내 민감한 영역에 접근하는 데 성공했다.

한편 모질라는 내부 실험을 진행해 멜트다운과 스펙터 공격을 통해 웹 콘텐츠로부터 출처가 다른 비밀 정보를 읽어 들이는 데 성공했다고 발표하기도 했다. 그리고 자사 제품인 파이어폭스 57에 대한 보호책을 급선무로 마련하기로 결정했다고 한다. 구글 역시 별도의 통보를 통해 “자바스크립트와 웹어셈블리(WebAssembly)를 통해 공격하는 게 가능하다”고 짚었고, 마이크로소프트도 “브라우저 내 자바스크립트 코드를 통한 공격이 가능하다는 걸 확인했다”고 발표했다.

전문가들이 개념증명을 개발하는 데 걸린 시간은 딱 하루였다. 해커들 역시 이미 비슷한 일을 진행했으리라고 보는 게 자연스럽다. 또 멜트다운과 스펙터 공격 모두 원격에서 민감한 정보로 접근하는 걸 가능하게 하는 것이라 국가의 후원을 받는 공격자들이 활용하기 좋아 보이기도 한다. 일각에선 웹사이트의 광고를 통해 대량 익스플로잇을 하는 것도 가능해진다고 지적한다.

또 “아직까지 실제 사례가 없다”고 업체들은 말하고 있지만, 멜트다운과 스펙터 공격은 파일을 직접 훔쳐가는 게 아니라 메모리로부터 민감한 정보를 읽어내는 것이기 때문에 탐지가 매우 어렵다고 보안 전문가들은 반박한다. 국가 후원을 받는 전문 스파잉 단체라면 이미 멜트다운과 스펙터 공격을 하고 있었을 가능성도 높다고 보는 이들도 있다.

보안업체 사이버리즌(Cybereason)의 CSO인 샘 커리(Sam Curry)는 “국가 후원 단체들의 해킹 실력은 상상을 뛰어넘기 때문에, 이미 멜트다운과 스펙터를 가능케 하는 CPU 취약점을 알았을 것”이라며 “혹여 몰랐다고 하더라도 이렇게 대대적으로 소문이 난 이상 공격법 개발을 완료했을 가능성이 높다”고 외신을 통해 말했다. 또한 “2018년 내내 이와 관련된 보안 사고 소식이 들려올 것”이라고 예측했다.

당분간 보안을 강화하기 위해서라면, 1) 브라우저 내 자바스크립트의 사용을 비활성화시키고, 2) 광고 차단 플러그인을 활성화시키는 게 좋다는 결론에 다다른다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)