스펙터 취약점의 1번 변종 통한 공격, 한 대학에서 성공시켜

공격법의 이름은 넷스펙터...넷을 통해 원격에서 정보 유출 가능
데이터 전송 속도 너무 느려 공격은 사실상 비현실적

[보안뉴스 문가용 기자] 오스트리아 그라츠공과대학(Graz University of Technology)의 연구원들이 원격에서 실시하는 스펙터(Spectre) 공격에 성공했다. 공격 대상이 된 기기에서 코드를 별도로 실행할 필요도 없었다고 한다.

[이미지 = iclickart]

연구에 참여한 전문가들 중 일부는 처음의 멜트다운(Meltdown) 및 스펙터 취약점 발견에도 일조한 경험이 있으며, 이번에 새롭게 발견된 공격을 넷스펙터(NetSpectrre)라고 명명했다. 왜냐하면 공격자가 원격에서 네트워크를 통해 메모리 데이터를 임의로 읽어 들일 수 있게 해주는 방법이기 때문이다.

전문가들의 실험 과정 중 넷스펙터 공격은 근거리통신망(LAN) 내에서도 성공했고, 구글 클라우드(Google Cloud)의 가상 기기들 사이에서도 성공했다.

이론 상 넷스펙터 공격은 큰 위협임에 틀림없지만, 데이터가 유출되는 속도는 굉장히 느리다. 실험을 통하여 그라츠 대학의 전문가들이 확인해본 결과 유출 속도가 시간 당 15비트였다(근거리통신망). 캐시 은닉 채널(cache covert channel) 대신 새로운 AVX 기반의 은닉 채널을 사용했을 때 시간 당 60비트까지 속도를 올릴 수는 있었지만 여전히 느리긴 마찬가지였다. 그래도 캐시 은닉 채널이 아닌 다른 채널을 통한 스펙터 공격이 최초로 성공한 사례로 기록됐다.

구글 클라우드를 활용해 실험했을 때는 어땠을까? 전문가들이 확인했을 때는 시간 당 3비트였다.

여태까지는 스펙터 혹은 멜트다운 취약점을 익스플로잇 하려면 공격을 가하려는 시스템에서 먼저 임의의 코드를 실행해야만 했다. 넷스펙터가 기존 공격법과 다른 점은 바로 이 부분이다. 임의 코드 실행 없이 원격에서 공격이 가능하다는 것이 증명되었기 때문이다. 참고로 넷스펙터는 스펙터 변종 1(Spectre Variant 1)과 관련이 있는 공격법이다.

연구원들은 여기서 한 발 더 나아가 넷스펙터 공격법을 사용해 데이터를 빼돌리지 못하더라도 ASLR(주소 공간 레이아웃 무작위 추출)이라는 메모리 보호 장치를 무력화시킬 수도 있다는 걸 발견하기도 했다.

여러모로 위협적인 공격법인 건데, 다행히 원래의 스펙터 공격의 위협 완화 방법을 똑같이 적용해 넷스펙터도 막는 게 가능하다고 한다. 또한 넷스펙터는 네트워크에 기반을 둔 공격법이기 때문에 네트워크 단위의 보호 방법을 동원해 방어하는 것도 가능하다고 전문가들은 설명한다.

“평범한 넷스펙터 공격이라면 디도스 보호 장치에 쉽게 탐지됩니다. 수천 개가 넘는 똑같은 패킷이 같은 곳에서부터 반복적으로 전송되기 때문입니다. 하지만 공격자가 초당 패킷 수를 변경하거나 초당 유출되는 비트 수를 조정하면 탐지가 조금 까다로워집니다. 디도스 탐지 솔루션을 우회하는 것도 가능하죠. 다만 이렇게 할 경우 데이터 전송 속도가 너무 느려서 사실상 공격은 불가능하게 변합니다.”

그라츠 대학 전문가들은 “누군가 이 연구를 발판 삼아 더 효과적인 공격법을 개발할 가능성이 없다고 볼 수 없다”며 “지금 발표된 넷스펙터가 너무 느리다고 해서 스펙터 취약점에 대한 익스플로잇 자체를 우습게 봐서는 안 된다”고 당부했다.

이번 연구 보고서의 원문은 여기(http://misc0110.net/web/files/netspectre.pdf)서 열람이 가능하다.

3줄 요약 :
1. CPU 내 존재하는 스펙터 취약점의 변종 1과 관련된 공격법이 실험실에서 탄생.
2. 원래 스펙터 공략하려면 공격 표적 정하고 임의 코드 먼저 실행시켰어야 했는데, 이번 건 임의 코드 생략해도 된다.
3. 다만 넷스펙터 공격 성공해도 데이터 전송 속도 너무 느려서 사실 쓸모가 없다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)