세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
인텔 등의 기술 기업들, 스펙터와 멜트다운에 대한 입장 표명
  |  입력 : 2018-02-26 12:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
산업 표준에 의하면 90일 동안 공개하지 않아도 돼
국토안보부의 가이드라인도 “취약점은 카네기멜론 대학에”


[보안뉴스 문가용 기자] 인텔이 스펙터(Spectre)와 멜트다운(Meltdown) 오류를 일찍 밝히지 않은 이유를 공개했다. 이러한 해명을 요구했던 건 미국 하원의 에너지 및 상업 위원회(Energy and Commerce Committee)로, 인텔 역시 이에 대한 공식 서한을 통해 입장을 밝힌 것이다.

[이미지 = iclickart]


위원회가 입장 표명을 요구한 건 인텔만이 아니라 애플, 아마존, AMD, ARM, 구글, 마이크로소프트도 포함된다. 스펙터와 멜트다운이 공개된 건 이러한 관련 기업들 사이에서만 공유되고서 6개월이 지난 시점이었다.

인텔은 2017년 6월 구글의 프로젝트 제로(Google Project Zero) 팀으로부터 멜트다운과 스펙터에 대해 통보받았다. 구글 프로젝트 제로 팀은 이러한 오류를 알려주고 픽스 개발까지 90일을 주는 것으로 알려져 있다. 인텔도 6월부터 90일이 주어진 것. 즉 산업 내 공유되는 관례와 표준에 의해 얼마 간은 취약점에 대해 공개하지 않아도 문제가 없다는 것이 인텔의 입장이다.

또한 해당 칩셋 공급망의 가장 상위에 있기 때문에 애플, 아마존, 마이크로소프트 등이 인텔보다 먼저 행동을 취하기는 어려웠다고 나머지 업체들은 자신들의 입장을 밝혔다. 즉, 인텔 외 나머지 관련 기업들은 하원에 “우린 뭘 하고 싶어도 할 수 없던 입장”이라고 한 것이다.

보안 업체 사이브릭(CYBRIC)의 CTO인 마이크 케일(Mike Kail)은 이 설명이 탐탁치 않다. “제가 보기에는 인텔은 할 수 있는 모든 실수를 다 저질렀어요. 스펙터와 멜트다운에 대한 실제적인 공략이 불가능하다고 생각해 정부에도 해당 취약점에 대해 알리지 않았죠. 하지만 그런 식으로 ‘가능할리 없어’라고 생각했기 때문에 정상적인 평가도 실시하지 않았고, 그래서 아예 취약점에 관한 기술적 데이터를 확보하지도 못했습니다.”

인텔은 서한을 통해 “구글 프로젝트 팀이 ARM과 AMD에게도 이러한 사실을 6월에 알렸다”고 밝혔다. ARM과 AMD는 구글로부터 해당 소식을 전달 받고는, 아마존과 마이크로소프트, 애플에 알렸다고 한다. 그러면서 인텔은 “미국 CERT에 1월 9일에 알리려고 했으나 3일에 이미 뉴스가 보도됐다”고 설명했다.

왜 그 전에 공개할 생각을 하지 못했는가, 라는 의문에 대해 인텔은 “해당 취약점들을 누군가 실제로 익스플로잇 하고 있다는 증거를 찾을 수가 없었기 때문”이라고 밝혔다. 즉, 익스플로잇 방법이 제대로 알려지지 않은 취약점을 미리 공개해 긁어 부스럼을 만드는 건 책임감 있는 취약점 공개 원칙에 어긋난다는 것이다. “관련된 업체들이 패치와 방어법을 개발하기 전부터 취약점을 공개하는 건 잘못된 것이라고 기술 업계 내에서는 받아들여지고 있습니다.”

한편 AMD는 서한을 통해 현재의 ‘보고 체계’를 설명했다. “현재 미국 국토안보부는 사이버 보안 사고나 악성 소프트웨어에 대해 미국 CERT로 ‘자발적 보고’를 하도록 안내하고 있습니다. 하지만 멜트다운과 스펙터와 같은 취약점에 관한 보고의 경우 카네기멜론대학의 CERT 팀에 보고하고도록 되어 있습니다.” 역시 보고할 의무가 애초부터 없었다는 것을 지적한다.

인텔은 현재 멜트다운과 스펙터와 관련해 30건이 넘는 소송이 걸려 있는 상태다. 아직까지 어떠한 법원의 판결도 내려지지 않은 상태이지만, 오히려 취약점을 공유하고 공동으로 대응하는 시스템 자체가 불완전했다는 사실이 드러나고 있는 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)