세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
멜트다운과 스펙터, 소프트웨어 패치만으로는 해결 안 돼
  |  입력 : 2018-01-09 14:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
각종 소프트웨어 패치 발표됐으나, 결국에는 임시방편
근본적인 해결책은 하드웨어 교체...업데이트는 시간 벌기로서 가치 있어


[보안뉴스 문가용 기자] 인텔, ARM, AMD가 보급하고 있는 전 세계 거의 모든 컴퓨터의 마이크로프로세서에서 취약점이 지난 주 발견된 이후 대대적인 패치들이 여기저기서 진행되고 있다. 그런데 패치만 제조사들이 발표해주면 끝날 것 같았던 문제가 또 다른 문제들을 일으키고 있다.

[이미지 = iclickart]


현재 여러 조직들에서 보유 하드웨어와 소프트웨어를 파악하고, 그에 맞는 패치를 구하고 적용하는 데 많은 시간을 들이고 있다. 하지만 보안 패치를 적용하면 프로세서의 속도가 떨어질 수밖에 없다고 한다. 전문가에 따라 의견이 갈리기는 하지만 최대 30%나 느려질 것이라는 전망도 나오고 있다. 그러니 ‘속도’ 또한 중요한 문제인 곳에서는 패치에 선뜻 손을 댈 수가 없다.

멜트다운(Meltdown)과 스펙터(Spectre)라고 불리는 이 취약점들은 부채널 공격(side-channel attack)을 가능하게 해준다. 멜트다운의 경우, 커널 메모리에 저장되어 있는 민감한 정보가 노출된다는 뜻이 된다. 스펙터의 경우 사용자 애플리케이션을 통해 커널 메모리를 읽을 수 있게 된다는 뜻이 된다. 비밀번호, 암호화 키, 이메일 등 여러 가지 정보가 누군가의 손에 넘어갈 수 있다는 것이다.

멜트다운과 스펙터가 발생하는 이유는 하드웨어의 기본 설계 때문이다. CPU에는 ‘비순차적 명령어 처리’라는 기능이 있다. 이는 CPU의 성능과 속도를 높여주는 기능으로, 입력된 순서대로 명령을 처리하는 게 아니라, 가장 효율성을 높이는 순서로 명령을 처리하는 것이다. 이 때문에 명령을 수행하는 데 있어서 시간 차가 발생한다. 이 시간 차이를 악용하면 공격이 가능해지고 결국엔 민감한 정보가 유출되는 것이다.

애초에 효율을 높이기 위해 어느 정도의 안전성을 희생시킨 개념이고, 그러니 안전 패치를 진행하면 반대로 속도가 희생되는 원리라고 말할 수 있다. 게다가 현대 CPU 거의 대부분이 가지고 있는 성능 향상 원리이기 때문에 앞으로 더한 문제들이 나올 수 있다고 전문가들은 보고 있다. 지난 주의 그 난리는 빙산의 일각에 불과하다는 것.

그 중 하나가 보안 업체 캡슐8(Capsule8)의 CTO인 디노 다이 조비(Dino Dai Zovi)다. “지금 사태가 단순히 속도 저하 문제로만 귀결된다면, 전 전문가 타이틀을 내려놓겠습니다. 앞으로 더 많은 일들이 벌어질 건, 이 문제를 조금만 더 깊게 파보면 자명한 일입니다.”

현재까지 멜트다운과 스펙터를 해결하기 위해 나온 방법은 ‘업데이트’가 유일하다. 그런데 그나마도 완벽하지 않다는 것이 지적되고 있는 상황. 하드웨어의 설계 개념에서부터 오류가 있는 건데, 그걸 소프트웨어로만 해결 보려니, 문제를 근본적으로 해결하는 게 아니라 임시방편에 그칠 뿐이다. 해커들은 임시방편에 대해서는 기가막힌 우회법을 항상 개발해내곤 했다.

미국의 US-CERT도 이미 지난 주 이러한 점을 지적했다. “문제의 핵심은 CPU의 기본 설계에 있습니다. 소프트웨어에 있지 않습니다. 그렇기에 소프트웨어 업데이트만으로는 문제가 해결되지 않을 가능성이 큽니다.”

그렇기에 전문가들은 “하드웨어를 처음부터 다시 만드는 것이 근본적인 해결법”이라고 입을 모은다. “차세대 프로세서가 나오기 전까지는 아무도 안전하다고 말할 수 없습니다.” 보안 업체 포지티브 테크놀로지스(Positive Technologies)의 보안 전문가인 맥스 고랴치(Max Goryachy)의 말이다.

보안 업체 바이너리 선 사이버 리스크 어드바이저스(Binary Sun Cyber Risk Advisors)의 CEO 크리스 피어슨(Chris Pierson)은 “이건 시장 구조와 정서에서부터 오는 문제이기도 하다”며 “모든 사람과 회사, 사회 구조 안에 너무 깊이 박혀있어 해결하는 게 가능한 건지가 의문스럽다”는 의견이다.

이렇든 저렇든 미래의 칩을 가져다 쓸 방법은 없다. 현재 시스템을 어떻게든 손보고 사용할 수 있게 만들어야 한다. 그러니 결론은 다시 소프트웨어 패치로 돌아온다. 일단 패치를 적용하기로 마음먹었다면, 몇 가지 대가를 치러야 한다는 것부터 알아둬야 한다. 이미 대기업과 주요 기관들은 패치했을 때와 하지 않았을 때의 상황을 재고 있다. 안전과 속도의 요소를 두고 심각하게 고민 중인 것이다.

예를 들어 금융 산업 조직의 보안 협력체인 FS-ISAC의 경우 “속도 저하 문제를 파악하고 있으며, 이로 인해 발생하는 생산성 및 비용 문제를 검토하는 중”이라고 발표했다. 패치된 프로세서와 그렇지 않은 프로세서 간 성능 테스트를 진행하고 있는 것으로 알려졌다. “결국 ‘속도냐 안전이냐’의 문제에서 가장 적절한 절충점을 찾는 게 현재 과제”라는 것이다.

그러한 가운데 클라우드 및 가상 플랫폼을 기반으로 하고 있는 조직의 경우 ‘안전’에 더 초점을 맞춰야 한다는 지적이 나왔다. FS-ISAC의 회장인 윌리엄 넬슨(William Nelson)은 “멜트다운과 스펙터는 만만히 봐선 안 될 문제”라며 “다행히도 실제로 악용된 사례나 익스플로잇 피해가 나타나지 않고 있어, 그 시간 안에 얼른 고민을 마치고 결정해야 한다”고 촉구했다.

FS-ISAC의 리스크 관리 책임자인 그레그 템(Greg Temm)은 “사실 모든 패치 작업에는 ‘리스크’가 존재한다”고 말한다. “선행됐던 모든 패치에 운영 관련 이슈가 존재했었고, 속도 저하 문제가 우려된 것이 처음 있는 일도 아닙니다. ‘속도’와 ‘안전’의 상호충돌적인 관계는 없어질 수 없는 문제죠. 지금껏 쌓아왔던 ‘고민의 힘’ 자체가 이번에 위력을 발휘할 것이라고 봅니다.”

또한 그레그 템은 “어차피 서버를 쉬지 않고 100% 용량으로 돌리던 곳은 없다”며 “이미 수용량보다 더한 요청을 처리하기 위한 버퍼 존(buffer zone)이란 것이 탑재되어 있는 게 현대의 서버”라고 안심시킨다. 또한 네트워크를 분리하면 패치의 위험부담을 더 줄일 수 있다고 권장한다.

보안 전문가 댄 카민스키(Dan Kaminsky)의 경우 보안 패치를 위해 희생하는 속도 문제는 일시적인 것일 뿐이라는 입장이다. “솔직히 말해 컴퓨터가 갑자기 386 수준으로 떨어지지는 않을 겁니다. 30% 저하라고 해봐야 대부분의 경우 그 느려짐의 정도가 견딜만한 것이거나 체감되지도 않을 수준이고요. 그 동안 하드웨어 제조사들이 새로운 대책을 들고 나올 겁니다. 패치로 시간을 좀 벌면 충분한 겁니다.”

그런 의미에서 이번 사태가 반갑기도 하다는 게 댄 카민스키의 입장이다. “현대 IT 업계와 사회 전체가 ‘정보보안’에 대해 어떤 식으로 생각하는가를 뿌리부터 뒤흔드는 문제이고, 그 해결책 또한 그 근간에서부터 출발할 것이 분명합니다. 설계 원리 자체부터 문제가 드러났다는 것이라면 마땅히 근본의 해결책을 모색하기 위해 애써야 할 겁니다.”

한편 카네기멜론대학의 CERT 팀은 지난 주 “취약한 하드웨어를 없애라”는 권고 사항을 발표했으나, 현재 해당 내용은 삭제되고 “패치를 적용하라”는 말이 적혀 있다. 근본적인 해결책을 실질적인 임시방편으로 대체한 느낌이 강하다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)