인텔 CPU가 또! 새롭게 발표된 포셰도우 취약점
L1TF라고도 불려...스펙터 / 멜트다운과 유사하나 똑같지 않아
추측 실행 보호하는 SGX에서 발견된 취약점...가상 환경도 위험


[보안뉴스 문가용 기자] 제온(Xeon)과 코어(Core) 프로세서들에서 새로운 추측 실행 취약점이 발견됐다. 총 세 가지 버그로 인해 발생하는 것으로, 포셰도우(Foreshadow) 혹은 L1TF(L1 Terminal Fault)라는 이름이 붙었다. 물론 패치도 함께 발표됐다.

[이미지 = iclickart]


이 취약점을 발견한 건 두 보안 전문가 팀이었다. 벨기에 루벤대학의 연구원들로 구성된 팀과, 이스라엘의 테크니온(Technion) 대학, 미국의 미시간대학, 호주의 애들레이드대학의 연구원들로 구성된 팀으로, 이 두 팀은 서로와 상관없는 별개의 연구활동을 통해 같은 취약점을 발견했다. 벨기에 팀은 1월 3일에, 다른 팀은 1월 23일에 인텔에 자신들이 찾아낸 걸 알렸다.

포셰도우 취약점을 구성하는 버그들은 CVE-2018-3615와, CVE-2018-3620, CVE-2018-3646으로 첫 번째는 인텔의 소프트웨어 가드 엑스텐션(Software Guard Extensions, SGX)과 관련이 있으며 두 번째는 OS와 시스템 관리 모드(System Management Mode, SMM)과 관련이 있고, 마지막은 가상화 소프트웨어 및 가상기기 모니터(Virtual Machine Monitors, VMM)에서 나타났다.

두 팀의 연구원들이 제일 먼저 발견한 건 SGX와 관련된 취약점으로, 이 SGX란 인텔 프로세서들에 존재하는 기능이며, 공격자가 시스템 전체를 장악해도 사용자의 데이터를 보호한다. SGX는 추측 실행을 익스플로잇한 공격에 대한 방어법으로 알려져 있었으나, 전문가들이 SGX로 보호되고 있는 메모리를 읽어냄으로써 SGX가 추측 실행 공격을 막을 수 없다는 걸 밝혀냈다.

그것만이 아니다. “SGX의 프라이버시 기능 때문에 검사 보고서(attestation report)의 서명자가 누구인지 알 수가 없습니다. 무슨 뜻이면, 한 개의 SGX 기기만 침해해도 SGX 생태계 전체의 신뢰를 망가트릴 수 있다는 겁니다.” 이러한 사실들이 인텔로 보고됐다.

포셰도우가 발생하는 원인을 수사하다가 인텔은 두 개의 오류를 추가로 발견했고, 차세대 포셰도우(Foreshadow-Next Generation, NG)라는 이름이 붙었다. 포셰도우 NG 공격을 실행할 경우 악성 행위자는 L1 캐시로부터 정보를 읽어 들일 수 있게 된다. 여기에는 SMM, OS 커널, 하이퍼바이저와 관련된 정보도 포함된다.

“포셰도우 NG 공격과 관련하여 가장 놀라운 것은 같은 서드파티 클라우드 내에서 돌아가고 있는 가상기계에 저장된 정보도 읽을 수 있게 된다는 겁니다. 즉, 클라우드 인프라 자체에 대한 커다란 위협으로 자랄 가능성이 있습니다. 또한 포셰도우 NG 공격은 이전 스펙터와 멜트다운에 대한 완화 조치를 무용지물로 만들 수 있습니다.”

인텔에 의하면 여기에다가 악성 애플리케이션을 설치하면 OS나 다른 앱으로부터 데이터 값을 추측하는 것도 가능하게 된다고 한다. 또한 이 오류들을 익스플로잇 하면 악성 게스트 VM을 통해 가상 기계 관리자(VMM)이나 다른 게스트 VM들의 메모리로부터 데이터를 취득하는 것도 가능하게 된다.

또한 인텔은 포셰도우 취약점을 통하면 악성 소프트웨어를 사용해 SMM 메모리로부터 데이터를 얻어내는 것도 가능하다고 경고했다. 마지막으로 SGX 환경 내 혹은 외부에서 실행되는 멀웨어를 통해 또 다른 SGX 환경에 속한 데이터에 접근하는 것도 가능할 수 있다고 덧붙였다.

인텔과 여러 기술 분야 대기업들은 업데이트와 공격 완화 방책을 발표했다. 스펙터와 멜트다운 사태 때 발표됐던 여러 패치들과 이번에 발표되는 패치들을 설치하면 포셰도우 공격에서부터 안전할 수 있다고 인텔은 주장한다. 또한 인텔은 “아직까지 스펙터나 멜트다운, 포셰도우 취약점을 악용한 실제 사례를 본 적이 없다”고도 덧붙였다.

이와 관련하여 마이크로포스트 역시 포셰도우에 관한 세부 내용을 블로그에 발표했다. 여러 기술적인 내용들이 포함되어 있으며, 이와 함께 몇 가지 업데이트들도 첨부했다. 구글 역시 인프라에 위협 완화 방법들을 배포하기 시작했다고 발표했다. 구글 클라우드 인프라도 배포 대상이 되었다고 한다.

아마존 웹 서비스(AWS)는 고객들에게 안심하라는 메일을 보냈다. 이런 류의 공격에 아마존 인프라는 대비가 되어있다는 내용이었다. 뿐만 아니라 포셰도우에 대비한 새로운 보안 메커니즘도 적용 완료했다고 발표했다. 오라클은 블로그 포스트를 발표해 오라클 제품 중 포셰도우의 영향을 받는 것들이 무엇인지 열거했고, 방어 방법도 공개했다.

VM웨어는 CVE-2018-3346과 CVE-2018-3620에 대한 권고 사항을 별도로 발표했다. CVE-2018-3646은 VM웨어 vSphere, Workstation, Fusion에 영향을 주며, VM웨어는 패치를 개발해 공개했다. CVE-2018-3620의 경우 vCloud Usage Meter, Identity Manager(vIDM), vCenter Server(vCSA), vSphere Data Protection(VDP), vSphere Integrated Containers(VIC), vRealize Automation(vRA)와 관련이 있다. 아직 패치가 나오지 않은 상태다.

시스코 역시 패치를 개발 중에 있는 것으로 알려져 있다. 시스코는 “현재 시스코 제품이나 서비스 중에서는 포셰도우의 영향을 직접 받는 것이 없는 것으로 보이지만 호스트 환경이 취약하다면 시스코 제품과 서비스에도 영향이 있을 수 있다”고 발표했다. 그러면서 고객들에게 “가상 환경에 대한 전체적인 보안을 단단히 하라”고 권고했다.

리눅스 전문 업체인 레드햇(Red Hat)의 경우에도 포셰도우에 관한 기술적인 보고서를 발표했다. 업데이트는 아직이다. 수세(Suse), 데비안(Debian), 젠투(Gentoo), 우분투(Ubuntu)도 각각 포셰도우와 관련된 여러 권고 사항들을 발표했다.

3줄 요약
1. 인텔 프로세서에서 스펙터와 멜트다운과 유사한 또 다른 취약점 나옴.
2. CPU의 추측 실행 보호해주는 SGX에 핵심 취약점이 있음.
3. 인텔, MS, 구글, 오라클 등 주요 IT 업체들에서 업데이트 배포 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>