세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
스펙터의 새 변종 등장! 원격 코드 실행과 샌드박스 우회
  |  입력 : 2018-07-12 10:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
스펙터 1.1은 원격 코드 실행 가능케 해주고 1.2는 샌드박스 우회시켜
스펙터의 근본적인 해결은 프로세서 구조를 바꿔야만 가능...변종 계속 나올 것


[보안뉴스 문가용 기자] 스펙터(Spectre) 취약점이 계속해서 진화하고 있다. 이번 주에만도 두 가지 스펙터 관련 문제들이 새롭게 발견됐는데, 각각 스펙터 1.1과 스펙터 1.2라는 이름이 붙었다. 원래의 스펙터와 비슷한 공격 가능성을 가지고 있지만 더 심각한 피해를 입힐 수 있다고 한다.

[이미지 = iclickart]


새로운 스펙터 취약점을 발견한 건 MIT의 전문가 블라디미르 키리안스키(Vladimir Kiriansky)와 칼 월즈퍼저 컨설팅(Carl Waldspurger Consulting)의 칼 월즈퍼저(Carl Waldspurger)다. 둘은 인텔의 마이크로프로세서를 분석하다가 문제점들을 발견했고, 이를 인텔에 제보해 10만 달러의 상금을 받았다.

스펙터에서 파생한 취약점이 이렇게 계속 등장하는 건 예견된 바다. 워낙에 컴퓨터 과학 체계의 근본적인 부분에서부터 발견된 취약점이었기 때문이다. 오라클(Oracle)의 보안 보증 책임자인 에릭 모리스(Eric Maurice)는 “그래도 다행인 건 공격자가 먼저 권한을 취득해야만 공격이 성립한다는 조건 자체는 비슷하다는 것”이라고 말한다.

스펙터 1.1
키리안스키와 월즈퍼저가 발표한 보고서에 의하면 “스펙터 1.1은 추측성 저장소를 활용해 추측성 버퍼 오버플로우 현상을 만들어내게 해준다”고 한다. 기존 스펙터 혹은 그 변종들은 공격자들이 메모리 내용을 읽을 수 있도록 해주는 것과 달리, 이번 스펙터 취약점은 임의의 코드를 실행할 수 있게 해주는 것으로 판명났다.

물론 코드 실행에도 한계가 존재한다. 그러나 공격자들이 보호되어 있는 메모리에 침투해 정보를 빼낼 수 있는 명령을 실행하기에는 여건이 충분하다. 즉 공격자들이 메모리로부터 비밀번호, 암호화 키, 인증 크리덴셜 등을 가져갈 수 있게 된다는 것이다.

재미있는 건, 스펙터 1.0(오리지널 스펙터 취약점)에 대한 방어 대책 중 비교적 비효율적이라고 알려진 lfence의 경우, 스펙터 1.1에서는 효과적인 방어책으로 변한다고 한다. 반대로 스펙터 1.0을 막는 효율적인 방법들은 스펙터 1.1을 막는 데 별 다른 소용이 없다.

스펙터 1.2
연구원들은 두 번째 스펙터 변종도 발견했다. 공격자가 Read/Write PTE 플래그를 우회할 수 있도록 해주는 것으로, 이를 성공적으로 익스플로잇 할 경우, 멀웨어가 보안용 샌드박스를 빠져나갈 수 있도록 해준다고 한다.

스펙터 1.2는 스펙터 3과 매우 유사하다. 스펙터 3은 ‘멜트다운(Meltdown)’이라고 불리기도 한다. 하지만 하드웨어를 통한 멜트다운 방어법은 스펙터 1.2에 통하지 않는다고 한다.

현재 마이크로소프트와 레드햇은 새로운 발표 내용을 접수했고, 기술적인 검토 중에 있다. 자신들의 제품이나 서비스에도 적용이 될 수 있는 취약점인지를 파악하고 있다는 것이다. 현재까지는 스펙터 1.1과 1.2 모두 인텔과 ARM 프로세서에서 공통적으로 발견되는 취약점이다.

키리안스키와 월즈퍼저는 해당 위협에 대한 방어법 혹은 위험 완화 방법을 제안하기도 했다. 하지만 대부분 최종 사용자는 물론 소프트웨어 개발자들도 실행하기 어려운 것들이다. 그도 그럴 것이 근본적인 해결책은 프로세서의 원리와 구조 자체를 바꿔야만 나오는 것이기 때문이다. 인텔은 이미 차세대 프로세서를 개발 중에 있다고 발표한 바 있다.

하지만 구글은 스펙터 류의 취약점을 어느 정도 봉합해주는 새로운 크롬 브라우저를 발표했다. 이른바 사이트 고립(site isolation)이라고 불리는 기술을 활용한 것으로, 한 개의 웹사이트에서 로딩된 자바스크립트 코드가 종단 장치에서 실행되거나 다른 사이트를 통해 데이터에 접근할 수 없도록 해놓은 것이다.

새 크롬 브라우저는 윈도우용, 맥용, 리눅스용, 크롬 OS용으로 배포되고 있으며, 여태까지는 선택 사항이었던 사이트 고립 옵션이 디폴트로 바뀔 예정이다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)