세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
IBM, 나머지 프로세서와 OS에 멜트다운과 스펙터 업데이트
  |  입력 : 2018-02-13 11:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
파워시스템즈 서버, IBM i, POWER 프로세서 등
멜트다운과 스펙터 악용하면? 메모리 내 민감한 정보 유출돼


[보안뉴스 문가용 기자] IBM이 파워시스템즈(Power Systems) 서버에 영향이 있을 수 있는 멜트다운(Meltdown)과 스펙터(Spectre) 취약점을 해결할 수 있는 펌웨어 및 OS 업데이트를 완성해 배포하기 시작했다.

[이미지 = iclickart]


현대 거의 모든 컴퓨터 시스템에 있는 CPU에서 멜트다운과 스펙터 취약점이 발견되면서 전 세계 IT 업계가 시끌시끌했을 때, IBM은 거의 곧바로 자사 POWER 프로세서들에 대한 패치를 발표한 바 있다. 보다 구체적으로 말하자면, POWER7과 POWER3 프로세서들에 대한 업데이트가 발 빠르게 나오긴 했지만 OS 업데이트는 한 달이 지나서야 발표된 것.

뿐만 아니라 POWER7과 POWER3 외 다른 POWER 프로세서들에 대한 패치도 함께 포함됐다. POWER7+, POWER8, POWER9 프로세서들이 바로 그것이다. 그 전에 나온 프로세서들은 패치가 나오지 않을 예정이다. IBM의 공식 지원 기한이 끝났기 때문이다. 한 달 만에 패치 대상이 된 OS는 AIX와 IBM i인 것으로 발표됐다.

멜트다운과 스펙터를 유발하는 취약점들은 총 세 가지로 CVE-2017-5753, CVE-2017-5715, CVE-2017-5754이다. IBM i에서 이 세 가지 취약점에 대한 패치는 7.1 버전과 7.2 버전, 7.3 버전에 대한 PTF 형식으로 배포됐다. AIX 5.3 버전, 6.1 버전, 7.1 버전, 7.2 버전과 VIOS 2.2.x 버전에 대한 패치 역시 이번 발표로 이뤄졌다.

IBM 펌웨어나 OS를 사용하고 있다면, 멜트다운과 스펙터를 이용한 공격을 효율적으로 방어하기 위해 이번에 배포된 패치를 적용하는 것이 권장된다. IBM은 펌웨어부터 업데이트를 하고, 그 후에 OS를 업데이트할 것을 권하고 있기도 하다.

멜트다운과 스펙터를 이용해 공격에 성공하면 메모리 고립 원리를 우회해 다양한 민감 및 주요 정보를 훔쳐갈 수 있게 된다. 인텔, AMD, ARM, 퀄콤, IBM 프로세서가 탑재된 수많은 기기들이 ‘메모리 노출’ 위협에 노출되어 있는 것이다.

지난 달 터진 이 ‘CPU 게이트’ 때문에 수많은 업체들이 앞 다투어 패치를 빠르게 준비해 발표해야만 했다. MS, 구글, 아마존 등도 이러한 기업들 중 하나다. 하지만 성급한 패치 때문에 오히려 다른 문제가 생기기도 하는 등 부작용도 있었다.

인텔의 경우 마이크로코드에 대한 패치를 발표했다가, 다시 그 패치로 업데이트 하지 말라는 권고 사항을 발표하기도 했다. 패치하면 시스템이 예측 불가능한 패턴으로 작동하기 시작한다는 게 그 이유였다. 특히 ‘무한 리부트’ 문제가 사용자들 사이에서 크게 불거지기도 했다. 하지만 인텔은 해당 문제에 대한 근원을 파악해냈고, 새로운 패치를 배포하기 시작했다.

현재 인텔과 AMD는 “미래에 출시될 제품엔 스펙터와 멜트다운 취약점이 없을 것”이라고 장담하기도 했다. 특히 인텔의 CEO는 올해 안에 전혀 새로운 칩셋을 발표하겠다고 장담하기도 했는데, 업계에서는 “컴퓨터 과학의 근간부터 새롭게 해야 그런 칩셋이 나올 텐데, 올해 안에 가능하겠느냐”라는 의문을 던지기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 8
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#멜트다운   #스펙터   #패치   #CPU   #IBM   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
공인인증서 제도가 폐지될 것으로 보입니다. 향후 공인인증서를 대체할 수 있는 최고의 인증기술은 무엇이라고 보시나요?
생체인증
전자서명
바코드·QR코드 인증
블록체인
노 플러그인 방식 인증서
기타(댓글로)