½ºÆåÅÍ ´ëºñÇÏ·Á¸é US-CERT Á¦°ø Ç¥ º¸°í ¾÷µ¥ÀÌÆ®
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾ÆÁ÷µµ ¸áÆ®´Ù¿î(Meltdown)°ú ½ºÆåÅÍ(Spectre)¶ó´Â CPU ³» ¿À·ù ¶§¹®¿¡ ½Ã²ô·´´Ù. ±×µµ ±×·² °ÍÀÌ »ç½Ç»ó Áö±¸ ³» Á¸ÀçÇÏ´Â °ÅÀÇ ¸ðµç ÄÄÇ»ÅÍ ±â±â°¡ ÇØÄ¿µéÀÇ ÃâÀÔÀ» ÀÚÀ¯·Ó°Ô Çã¿ëÇÏ°í ÀÖ´Â »óŶó´Â °Ô µå·¯³ °ÍÀ̱⠶§¹®ÀÌ´Ù.
[À̹ÌÁö = iclickart]
¸áÆ®´Ù¿îÀ̶ó°í ºÒ¸®´Â Ãë¾àÁ¡ÀÇ °ø½Ä µî·Ï¹øÈ£´Â CVE-2017-5754°í, ½ºÆåÅͶó°í ºÒ¸®´Â Ãë¾àÁ¡ÀÇ °ø½Ä µî·Ï¹øÈ£´Â CVE-2017-5753¿Í CVE-2017-5715´Ù. ÀÌ ¼ÂÀ» °ø·«ÇÏ¸é ³·Àº ±ÇÇÑÀÇ »ç¿ëÀÚ ÇÁ·Î¼¼½º·ÎºÎÅÍ Ä¿³ÎÀ» Æ÷ÇÔÇÑ ³ôÀº ±ÇÇÑÀÇ ¸Þ¸ð¸® ¿µ¿ª¿¡±îÁö µµ´ÞÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
´Ù¸¸ ¾ÖÇÃÀº ÀÌ ¸ðµç ÆødzÀ¸·ÎºÎÅÍ ¾ÈÀüÁö´ë¶ó°í ½º½º·Î¸¦ ĪÇÏ°í ÀÖ´Ù. iOS 11.2, ¸ÆOS 10.13.2, tvOS 11.2ÀÇ ¹ßÇ¥¸¦ ÅëÇØ ÀÌ¹Ì ¸áÆ®´Ù¿î°ú ½ºÆåÅÍÀÇ °ø°Ý °¡´É¼ºÀ» Å©°Ô ³·Ãè´Ù°í ¹ßÇ¥ÇÑ °ÍÀÌ´Ù. °Ô´Ù°¡ ¸ÆOS ¹× iOS¿ë »çÆĸ®µµ Á¶¸¸°£ º¸°ÇÒ ¿¹Á¤À̶ó°íµµ ¹àÇû´Ù.
¾ÖÇÿ¡ ÀÇÇÏ¸é ½ºÆåÅÍ °ø°ÝÀ̶õ °£´ÜÈ÷ ¸»ÇØ ¡°CPU°¡ ¸Þ¸ð¸® Á¢±Ù¿¡ ´ëÇÑ ¿äûÀ» È®ÀÎÇÒ ¶§ Áö¿¬µÇ´Â ½Ã°£À» ¾Ç¿ëÇØ Ä¿³Î ¸Þ¸ð¸® ³»¿¡ ÀÖ´Â ¾ÆÀÌÅÛµéÀ» »ç¿ëÀÚ ÇÁ·Î¼¼½º¸¦ ÅëÇØ ¿¶÷ÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â °Í¡±ÀÌ´Ù. ¹°·Ð ±× Áö¿¬ ½Ã°£À» °ø·«ÇÏ´Â °Ô ½¬¿î ÀÏÀº ¾Æ´Ï¶ó´Â °Ç ¸ðµÎ°¡ ÀÎÁ¤ÇÏ´Â ¹Ù´Ù. ÇÏÁö¸¸ À¥ºê¶ó¿ìÀú ³» ½ÇÇàµÇ´Â ÀÚ¹Ù½ºÅ©¸³Æ®·Î ÀͽºÇ÷ÎÀÕ ÇÏ´Â °Ô °¡´ÉÇÏ´Ù´Â °Ô ÀÌ¹Ì ÀÔÁõµÇ±âµµ Çß´Ù. ¾Æ¹«Æ°, ¾ÖÇà »ç¿ëÀÚµéÀ̶ó¸é ÀÌ·± CPU ½ºÄµµéÀ» ¾÷µ¥ÀÌÆ®·Î ¾î´À Á¤µµ ÇÇÇØ°¥ ¼ö ÀÖ´Ù´Â ¶æÀÌ´Ù.
±×·¯³ª ¾ÖÇà ¿Ü ³ª¸ÓÁö PC ¹× ÄÄÇ»ÅÍ ½Ã½ºÅ۵鿡 ÀÖ¾î ÀÌ ¹®Á¦´Â ±×¸® °£´ÜÇÏÁö ¾Ê´Ù. ±×·¡¼ ÀϺΠÀü¹®°¡µéÀº ÀÌ¹Ì ÀϺΠPC¿¡¼ Àû¿ëÇÒ ¼ö ÀÖ´Â ¸áÆ®´Ù¿î ÇȽº¸¦ ¹é¼¿Í ÇÔ²² ¹ßÇ¥Çß´Ù. ÀÌ ÇȽºÀÇ À̸§Àº Ä«ÀÌÀú(KAISER)À̸ç, ¹é¼´Â ¿©±â¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù(https://meltdownattack.com/meltdown.pdf). ÀϺΠÀü¹®°¡µéÀº ¡®ÀÀ±Þóġ¡¯¿ëÀ¸·Î¼´Â ÇöÀç Ä«ÀÌÀú°¡ ÃÖ°íÀÇ ÇȽº¶ó°í ¸»Çϱ⵵ ÇÑ´Ù.
½ºÆåÅÍÀÇ °æ¿ì ¾î¶² ÀÀ±ÞÁ¶Ä¡°¡ °¡´ÉÇÒ±î? º¸¾È ¼Ö·ç¼Ç ¾÷üÀÎ Á¦³×Áö(Zenedge)ÀÇ ºÎȸÀå ´Ð µ¥½ÃÆǵå(Nick Deshpande)´Â ¿Ü½Å°úÀÇ ÀÎÅͺ並 ÅëÇØ ¡°¾ÆÁ÷±îÁö »ç¿ëÀÚµéÀÌ ÃëÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀº ¡®Á÷·ÄÈ ¸í·É(serialization instruction)¡¯À» µµÀÔ½ÃÅ°´Â °ÍÀÔ´Ï´Ù. ÇÏÁö¸¸ ÀÌ´Â ÀÏ¹Ý ÄÄÇ»ÅÍ »ç¿ëÀÚ°¡ ÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀÌ ¾Æ´ÏÁÒ. ÀÚ½ÅÀÌ »ç¿ëÇÏ´Â Çϵå¿þ¾î¿Í ¼ÒÇÁÆ®¿þ¾î º¥´õµéÀ» ÆľÇÇØ ÆÐÄ¡¸¦ ´Ù¿î·Îµå ¹Þ¾Æ Àû¿ëÇÏ´Â ¼ö¹Û¿¡ ¾ø½À´Ï´Ù.¡±
¶ÇÇÑ CPU¿Í ¿î¿µÃ¼Á¦µé¿¡ ´ëÇÑ °ü½Éµµ°¡ Å©°Ô ³ô¾ÆÁ³´Âµ¥, À¥ ºê¶ó¿ìÀú¸¦ ÅëÇÑ °ø°ÝÀÌ °¡´ÉÇÏ´Ù´Â °ÍÀÌ °£°úµÇ¸é ¾È µÈ´Ù. ÀÌ ¿ª½Ã ÀÏ¹Ý »ç¿ëÀÚµéÀÇ ÀÔÀå¿¡¼ ºê¶ó¿ìÀúº° Á¦Á¶»ç¸¦ ã¾Æ ¾÷µ¥ÀÌÆ®¸¦ Àû¿ë½ÃÅ°´Â Á¶Ä¡ Á¤µµ´Â ÇÒ ¼ö ÀÖ´Ù. Áï, ¾ÖÇà »ç¿ëÀÚ°¡ ¾Æ´Ï¶ó¸é OS¿Í ºê¶ó¿ìÀúºÎÅÍ ¾÷µ¥ÀÌÆ®¸¦ ÇÏ°í, ÀÌ¾î¼ Çϵå¿þ¾î º¥´õµé À¥»çÀÌÆ®¸¦ ¹æ¹®ÇØ ¾÷µ¥ÀÌÆ®¸¦ ÁøÇàÇÏ´Â °ÍÀÌ ÇöÀç·Î¼ °¡Àå ¾ÈÀüÇÑ ¹æ¹ýÀ̶ó°í Á¤¸®°¡ °¡´ÉÇÏ´Ù.
ÀÌ¹Ì ¸¹Àº º¥´õµéÀÌ ¾÷µ¥ÀÌÆ®¿Í ÇȽº¸¦ ÁÖ¸»±îÁö ³»³õÀº »óÅ´Ù. ¾ÆÁ÷µµ ´õ ¸¹Àº ÇȽºµéÀÌ ³ª¿Ã Àü¸ÁÀ̱⵵ ÇÏ´Ù. US-CERT´Â ÀÌ·± ÇöȲÀ» ÇÑ ´«¿¡ ¾Ë¾Æº¸±â ÁÁµµ·Ï °¡ÀÌ´ø½º¸¦ ¹ßÇ¥Çß´Ù. ¿©±â(https://www.us-cert.gov/ncas/alerts/TA18-004A)¸¦ ¹æ¹®ÇØ, Áß°£ ÁîÀ½ Àִ ǥ¸¦ ÂüÁ¶Çϸé ÆÐÄ¡¸¦ ã´Â ÀÛ¾÷ÀÌ ´õ ½¬¿öÁú ¼ö ÀÖ´Ù.
±×·± °¡¿îµ¥ ¸®´ª½º¸¦ óÀ½ ¸¸µç ¸®´©½º Åä¹ßÁî(Linus Torvalds)´Â ¡°È¯°æ¼³Á¤ ¿É¼Ç ¾øÀÌ CPU¸¦ ¸¸µé°í ¹èÆ÷ÇÑ ±î´ßÀº µµ´ëü ¹«¾ùÀΰ¡?¡±¶ó¸ç ÀÎÅÚÀ» ºñÆÇÇß´Ù. ¡°¼ÖÁ÷È÷ ÀÎÅÚÀº È«º¸ÀÚ·á ¹ßÇ¥Çؼ ¡®´Ù Àß µË´Ï´Ù¡¯¶ó°í ±Þ±ÞÇÏ°Ô ¶«»§Çϱ⺸´Ù ÀڽŵéÀÌ ¸¸µç CPU¸¦ Á» ´õ ¹Ý¼ºÀÇ ½Ã°¢À¸·Î µé¿©´Ùº¸°í ÁøÂ¥ ¹®Á¦¸¦ ÇØ°áÇØ¾ß ÇÒ °Í¡±À̶ó°í ¸»Çϱ⵵ Çß´Ù. ¡°±×·± °úÁ¤À» °ÅÄ¡Áö ¾Ê´Â´Ù¸é °á±¹ ÀÎÅÚÀº ¡®¾ÕÀ¸·Î ¿µ¿øÈ÷ ÀÌ·± ¶Ë °°Àº Á¦Ç°¸¸ ÆÈ °Å¾ß¡¯¶ó°í ¸»ÇÏ´Â °Í°ú °°½À´Ï´Ù.¡±
ÀÏ°¢¿¡¼´Â ¡®¼Óµµ °æÀ ¶§¹®¿¡ ÀÌ »ç´ÜÀÌ ³ °ÍÀ̶ó´Â ºÐ¼®µµ ÀÖ¾ú´Ù. º¸¾È ¾÷ü ÇÁ·çÇÁÆ÷ÀÎÆ®(Proofpoint)ÀÇ ºÎȸÀå ¶óÀ̾ð Ä®·½¹ö(Ryan Kalember)´Â ¡°Ä¨ »ý»êÀÚµé ¿ª½Ã ¿À·§µ¿¾È º¸¾È º¸´Ù´Â Ãâ½Ã ¼Óµµ, ¼º´É µîÀ» ÃÖ¿ì¼±À¸·Î µÎ°í ¸ðµç ÀÏÀ» ÁøÇàÇØ¿Ô´Ù¡±¸ç ¡°±×·± ¡®¸¶Àε塯·Î »ý»êÇØ¿Â Á¦Ç°À» °¡Áö°í ¹Î°¨ÇÑ µ¥ÀÌÅ͸¦ Àß º¸È£ÇÒ ¼ö ÀÖ´Ù°í ¹Ï¾ú´ø ¿ì¸®°¡ ¹Ùº¸ÀÏÁöµµ ¸ð¸£°Ú´Ù¡±°í ¸»Çß´Ù.
ÇÏÁö¸¸ ÀϹÝÀεéÀ» °Ü³ÉÇÑ ½ºÆÄÀ× °ø°ÝÀÌ ºó¹øÇÏ°Ô ¹ß»ýÇÒ È®·üÀÌ ³ôÁø ¾ÊÀ¸¹Ç·Î ¡°¸áÆ®´Ù¿î°ú ½ºÆåÅͶó´Â Ä¿´Ù¶õ ½ºÄµµéÀÌ ÅÍÁö±ä Ç߾, ¸¶³É Àý¸ÁÀûÀÎ °Í¸¸Àº ¾Æ´Ï¡±¶ó°í Ä®·½¹ö´Â ¾È½É½ÃÅ°±âµµ Çß´Ù. ¹Ý¸é Ŭ¶ó¿ìµå Á¦°ø ¾÷üµé¿¡°Ô À־ Á¶±Ý Èûµç ½Ã°£ÀÌ ¿Ã ¼öµµ ÀÖ´Ù°í ±×´Â °æ°íÇß´Ù.
º¸¾È ¾÷ü ·¹µå·Ï(RedLock)ÀÇ CEOÀÎ ¹Ù·é ¹Ùµå¿ö´Â ¸áÆ®´Ù¿îÀ» µÎ°í ¡°Å¬¶ó¿ìµå ȯ°æ¿¡ ÀÖ¾î¼ ±²ÀåÈ÷ ¹«¼¿î Ãë¾àÁ¡À» ¹ß°ßÇß´Ù¡±°í ¸»ÇÑ´Ù. ±×·¯¸é¼ ¡°ÇÑ °¡Áö ±àÁ¤ÀûÀÎ Á¡ÀÌ ÀÖ´Ù¸é Ŭ¶ó¿ìµå º¸¾ÈÀ̶õ °ÍÀÌ, ¾÷ü¿Í »ç¿ëÀÚ °øµ¿ÀÇ Ã¥ÀÓÀ̶ó´Â »ç½ÇÀ» µåµð¾î ¹è¿ï ¼ö ÀÖÀ»Áöµµ ¸ð¸¥´Ù´Â °Í¡±À̶ó°í µ¡ºÙ¿´´Ù. ¡°¾Æ¸¶Á¸, MS, ±¸±Û µîÀÇ ¸ÞÀÌÀú Ŭ¶ó¿ìµå ¾÷üµéÀº ÀÌ¹Ì ÀڽŵéÀÌ ³»³õ¾Æ¾ß ÇÒ ÇȽºµéÀ» ¹ßÇ¥Çß½À´Ï´Ù. ÀÌÁ¦ Ŭ¶ó¿ìµå »ç¿ëÀÚ ±â¾÷µéÀÌ ÀÌ°É Àû¿ëÇÒ Â÷·ÊÁÒ. ÇÏÁöµµ ¾Ê°í Ŭ¶ó¿ìµå ºÒ¾ÈÇÏ´Ù°í ¸»ÇÒ ¼ö ¾ø½À´Ï´Ù.¡±
±×·¯³ª »ç¿ëÀÚµéÀÌ À̹ø¿¡¾ß¸»·Î ÁÖµµÀûÀ¸·Î º¸¾È¿¡ Âü¿©ÇÏ´Â ¹ýÀ» ¹è¿ì¸®¶ó°í ±â´ëÇÏ´Â º¸¾È Àü¹®°¡µéÀº ±×¸® ¸¹Áö ¾Ê´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>