세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
비전문가들은 멜트다운과 스펙터 어떻게 대처해야 하나
  |  입력 : 2018-01-08 15:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
애플 기기 사용자라면 최신 OS로...멜트다운 임시처방전도 나와
스펙터 대비하려면 US-CERT 제공 표 보고 업데이트


[보안뉴스 문가용 기자] 아직도 멜트다운(Meltdown)과 스펙터(Spectre)라는 CPU 내 오류 때문에 시끄럽다. 그도 그럴 것이 사실상 지구 내 존재하는 거의 모든 컴퓨터 기기가 해커들의 출입을 자유롭게 허용하고 있는 상태라는 게 드러난 것이기 때문이다.

[이미지 = iclickart]


멜트다운이라고 불리는 취약점의 공식 등록번호는 CVE-2017-5754고, 스펙터라고 불리는 취약점의 공식 등록번호는 CVE-2017-5753와 CVE-2017-5715다. 이 셋을 공략하면 낮은 권한의 사용자 프로세스로부터 커널을 포함한 높은 권한의 메모리 영역에까지 도달할 수 있게 된다.

다만 애플은 이 모든 폭풍으로부터 안전지대라고 스스로를 칭하고 있다. iOS 11.2, 맥OS 10.13.2, tvOS 11.2의 발표를 통해 이미 멜트다운과 스펙터의 공격 가능성을 크게 낮췄다고 발표한 것이다. 게다가 맥OS 및 iOS용 사파리도 조만간 보강할 예정이라고도 밝혔다.

애플에 의하면 스펙터 공격이란 간단히 말해 “CPU가 메모리 접근에 대한 요청을 확인할 때 지연되는 시간을 악용해 커널 메모리 내에 있는 아이템들을 사용자 프로세스를 통해 열람할 수 있게 해주는 것”이다. 물론 그 지연 시간을 공략하는 게 쉬운 일은 아니라는 건 모두가 인정하는 바다. 하지만 웹브라우저 내 실행되는 자바스크립트로 익스플로잇 하는 게 가능하다는 게 이미 입증되기도 했다. 아무튼, 애플 사용자들이라면 이런 CPU 스캔들을 업데이트로 어느 정도 피해갈 수 있다는 뜻이다.

그러나 애플 외 나머지 PC 및 컴퓨터 시스템들에 있어 이 문제는 그리 간단하지 않다. 그래서 일부 전문가들은 이미 일부 PC에서 적용할 수 있는 멜트다운 픽스를 백서와 함께 발표했다. 이 픽스의 이름은 카이저(KAISER)이며, 백서는 여기서 열람이 가능하다(https://meltdownattack.com/meltdown.pdf). 일부 전문가들은 ‘응급처치’용으로서는 현재 카이저가 최고의 픽스라고 말하기도 한다.

스펙터의 경우 어떤 응급조치가 가능할까? 보안 솔루션 업체인 제네지(Zenedge)의 부회장 닉 데시판드(Nick Deshpande)는 외신과의 인터뷰를 통해 “아직까지 사용자들이 취할 수 있는 방법은 ‘직렬화 명령(serialization instruction)’을 도입시키는 것입니다. 하지만 이는 일반 컴퓨터 사용자가 할 수 있는 방법이 아니죠. 자신이 사용하는 하드웨어와 소프트웨어 벤더들을 파악해 패치를 다운로드 받아 적용하는 수밖에 없습니다.”

또한 CPU와 운영체제들에 대한 관심도가 크게 높아졌는데, 웹 브라우저를 통한 공격이 가능하다는 것이 간과되면 안 된다. 이 역시 일반 사용자들의 입장에서 브라우저별 제조사를 찾아 업데이트를 적용시키는 조치 정도는 할 수 있다. 즉, 애플 사용자가 아니라면 OS와 브라우저부터 업데이트를 하고, 이어서 하드웨어 벤더들 웹사이트를 방문해 업데이트를 진행하는 것이 현재로서 가장 안전한 방법이라고 정리가 가능하다.

이미 많은 벤더들이 업데이트와 픽스를 주말까지 내놓은 상태다. 아직도 더 많은 픽스들이 나올 전망이기도 하다. US-CERT는 이런 현황을 한 눈에 알아보기 좋도록 가이던스를 발표했다. 여기(https://www.us-cert.gov/ncas/alerts/TA18-004A)를 방문해, 중간 즈음 있는 표를 참조하면 패치를 찾는 작업이 더 쉬워질 수 있다.

그런 가운데 리눅스를 처음 만든 리누스 토발즈(Linus Torvalds)는 “환경설정 옵션 없이 CPU를 만들고 배포한 까닭은 도대체 무엇인가?”라며 인텔을 비판했다. “솔직히 인텔은 홍보자료 발표해서 ‘다 잘 됩니다’라고 급급하게 땜빵하기보다 자신들이 만든 CPU를 좀 더 반성의 시각으로 들여다보고 진짜 문제를 해결해야 할 것”이라고 말하기도 했다. “그런 과정을 거치지 않는다면 결국 인텔은 ‘앞으로 영원히 이런 똥 같은 제품만 팔 거야’라고 말하는 것과 같습니다.”

일각에서는 ‘속도 경쟁’ 때문에 이 사단이 난 것이라는 분석도 있었다. 보안 업체 프루프포인트(Proofpoint)의 부회장 라이언 칼렘버(Ryan Kalember)는 “칩 생산자들 역시 오랫동안 보안 보다는 출시 속도, 성능 등을 최우선으로 두고 모든 일을 진행해왔다”며 “그런 ‘마인드’로 생산해온 제품을 가지고 민감한 데이터를 잘 보호할 수 있다고 믿었던 우리가 바보일지도 모르겠다”고 말했다.

하지만 일반인들을 겨냥한 스파잉 공격이 빈번하게 발생할 확률이 높진 않으므로 “멜트다운과 스펙터라는 커다란 스캔들이 터지긴 했어도, 마냥 절망적인 것만은 아니”라고 칼렘버는 안심시키기도 했다. 반면 클라우드 제공 업체들에게 있어서는 조금 힘든 시간이 올 수도 있다고 그는 경고했다.

보안 업체 레드록(RedLock)의 CEO인 바룬 바드워는 멜트다운을 두고 “클라우드 환경에 있어서 굉장히 무서운 취약점을 발견했다”고 말한다. 그러면서 “한 가지 긍정적인 점이 있다면 클라우드 보안이란 것이, 업체와 사용자 공동의 책임이라는 사실을 드디어 배울 수 있을지도 모른다는 것”이라고 덧붙였다. “아마존, MS, 구글 등의 메이저 클라우드 업체들은 이미 자신들이 내놓아야 할 픽스들을 발표했습니다. 이제 클라우드 사용자 기업들이 이걸 적용할 차례죠. 하지도 않고 클라우드 불안하다고 말할 수 없습니다.”

그러나 사용자들이 이번에야말로 주도적으로 보안에 참여하는 법을 배우리라고 기대하는 보안 전문가들은 그리 많지 않다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)