½Ã½ºÅÛ ÄÝ ³²¿ëÇÏ´Â ¹æ¹ý...OS¿Í ¾Û Á¦Á¶»çµéÀÇ °³º°Àû ÆÐÄ¡·Î ÇØ°á
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ƯÁ¤ ĨÀ» °ø°ÝÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â »õ·Î¿î ºÎä³Î °ø°Ý ±â¹ýÀÌ ¹ß°ßµÆ´Ù. Çö´ë ¿î¿µ ½Ã½ºÅÛÀÇ ±Ùº»ÀûÀÎ ±â´ÉÀ» ¾Ç¿ëÇÏ´Â ¹æ¹ýÀ¸·Î, ¿Ïº®ÇÏ°Ô °¨ÃçÁ® ÀÖ´Ù°í ¿©°ÜÁö´Â µ¥ÀÌÅÍ¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°Ô ÇØÁØ´Ù.
[À̹ÌÁö = iclickart]
ÀÌ °ø°Ý¿¡´Â ÆäÀÌÁö ij½Ã °ø°Ý(Page Cache Attack)À̶ó´Â À̸§ÀÌ ºÙ¾ú´Ù. °°Àº À̸§ÀÇ º¸°í¼°¡ ÃÖ±Ù ¹ßÇ¥µÇ±âµµ Çß´Ù. ÆäÀÌÁö ij½Ã °ø°ÝÀº À©µµ¿ì¿Í ¸®´ª½º ȯ°æ¿¡¼ Àß ÅëÇÏ´Â °ÍÀ̱⠶§¹®¿¡ ´Ù¸¥ Á¾·ùÀÇ OS¿¡µµ Àû¿ëÀÌ °¡´ÉÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ Çϵå¿þ¾î·Î Àü´ÞµÇ´Â ¸í·ÉÀ» ºñÆ®´Â °ø°ÝÀÌ ¾Æ´Ï¶ó´Â Á¡µµ Ä¿´Ù¶õ Ư¡ÀÌ´Ù. ¡°±ÇÇÑÀÌ ³·Àº »ç¿ëÀÚ °èÁ¤À¸·Îµµ »ç¿ëÇÒ ¼ö ÀÖ´Â ½Ã½ºÅÛ ÄÝ(system call)À» È°¿ëÇÑ °ø°ÝÀÔ´Ï´Ù.¡±
ÀÌ °ø°Ý ¹æ¹ýÀ» ã¾Æ³½ ¿¬±¸¿øµé Áß ÇÑ ¸íÀÎ ¾Ë·º½º ÀÌ¿À³×½ºÅ¥(Alex Ionescu)´Â º¸¾È ¾÷ü Å©¶ó¿ìµå½ºÆ®¶óÀÌÅ©(CrowdStrike)ÀÇ ºÎȸÀåÀ¸·Î, °ø°Ý ¼º¸³À» À§ÇØ ÇÊ¿äÇÑ °ÍÀ» ´ÙÀ½°ú °°ÀÌ ¼³¸íÇÑ´Ù. ¡°Ä³½Ã¿¡ ¹º°¡¸¦ °Á¦·Î »ðÀÔÇÒ ¼ö ÀÖ¾î¾ß ÇÏ°í, °Á¦·Î »ðÀÔÇÑ °ÍÀÌ Ä³½Ã ¾È¿¡ µé¾î ÀÖ´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ¾î¾ß ÇÕ´Ï´Ù. À̹ø ¿¬±¸¸¦ ÅëÇØ ±ú´ÞÀº °Ô Àִµ¥¿ä, ¹Ù·Î ij½Ã´Â Çϵå¿þ¾î¿¡¸¸ ÀÖ´Â °Ô ¾Æ´Ï¶ó´Â °Ì´Ï´Ù. ij½Ã´Â ¸ðµç °Í¿¡ ÀÖ´õ±º¿ä.¡±
ÀÌ ÀͽºÇ÷ÎÀÕÀÇ °¡Àå Å« Ư¡Àº ¡°°ø°ÝÀÚµéÀÌ Ä³½Ã ÆäÀÌÁö Àüü¸¦ »ìÇÇ°Ô ÇØÁÖ°í, ±×·± ´ÙÀ½ ÇÊ¿äÇÑ µ¥ÀÌÅ͸¦ »©³¾ ¼ö ÀÖ°Ô ÇØÁشٴ °Í¡±ÀÌ´Ù. ij½Ã ³» µ¥ÀÌÅÍ°¡ ¼ö ¹Ð¸®¼¼ÄÁµå¸¸ ÀúÀåµÈ´Ù´Â °É »ý°¢ÇÏ¸é ²Ï³ª ³î¶ó¿î ÀÏÀÌ´Ù. ±×·¯¹Ç·Î Å°½ºÆ®·ÎÅ©ÀÇ ¼ö¸¦ Àо°í, ¾ÏÈ£È Å°¿Í °ü·ÃÀÌ ÀÖ´Â ¾î¶² ÀÀ´äÀÇ Æò¹® ÀÚ·á±îÁöµµ º¼ ¼ö ÀÖ°Ô µÈ´Ù.
º¸¾È ¾÷ü Æ®¸³¿ÍÀ̾î(Tripwire)ÀÇ º¸¾È Àü¹®°¡ÀÎ Å©·¹ÀÌ±× ¿µ(Craig Young)Àº ÀÌ º¸°í¼(https://arxiv.org/pdf/1901.01161.pdf)¸¦ ÀÐ°í ³ª¼ ¡°Çö´ë OS ¾ÆÅ°ÅØóÀÇ °¡Àå ±âº»ÀûÀÎ °³³äÀ» ³²¿ëÇÔÀ¸·Î½á °í¸³µÈ ÇÁ·Î¼¼½ºµé »çÀÌ¿¡ µ¥ÀÌÅÍ Ã¤³ÎÀ» ¸¸µé°í, Å°½ºÆ®·ÎÅ© ŸÀ̹ÖÀ» ·Î±ëÇÏ°í, ¹«ÀÛÀ§ ¼ö »ý¼º±â¸¦ ¿°Å½ÇÒ ¼ö ÀÖ´Ù´Â °ÍÀÌ Áõ¸íµÆ´Ù¡±°í ¸»Çß´Ù. ¡°Áï ±ÇÇÑÀÌ ³·Àº »óÅ¿¡¼ ´Ù¸¥ ÇÁ·Î¼¼½º·ÎºÎÅÍ Á¤º¸¸¦ ÈÉÃÄ°¥ ¼ö ÀÖ´Ù´Â °ÍÀÔ´Ï´Ù.¡±
¶ÇÇÑ ¿µÀº ¡°°ø°ÝÀ» ´çÇÑ OS¿¡ ÀÖ´Â Á¤»ó ½Ã½ºÅÛ ÄÝ¿¡ ±Ù°ÅÇÑ Ãë¾àÁ¡¡±À̶ó°í ¼³¸íÇϸç, ¡°OSµéÀÌ ¼³°è ´Ü°è¿¡¼ºÎÅÍ Áö³ªÄ¡°Ô ¹¹µçÁö Çã¿ëÇØÁÖ°í ÀÖ´Ù´Â ¸ÍÁ¡À» Â °ø°ÝÀÌ °¡´ÉÇÏ´Ù¡±°í µ¡ºÙÀ̱⵵ Çß´Ù. ¡°±ÇÇÑÀÌ ³·Àº ÇÁ·Î¼¼½º¿¡µµ Áö³ªÄ¡°Ô ³ôÀº ±ÇÇÑÀÌ ÁÖ¾îÁý´Ï´Ù. ƯÈ÷ ƯÁ¤ ij½Ã °ü·Ã ½Ã½ºÅÛ ÄÝ¿¡¼ ÀÌ·± ºÎºÐµéÀÌ ¹ß°ßµÇ´Âµ¥, À̹ø ¿¬±¸°¡ ¹Ù·Î ÀÌÁ¡À» Â °ÍÀÔ´Ï´Ù.¡±
Áï Ãë¾àÁ¡ÀÌ Á¤»óÀûÀÎ ½Ã½ºÅÛ ÄÝÀÇ ¼³°è °³³ä ÀÚü¿¡ ÀÖ´Ù´Â °ÍÀε¥, ÀÌ´Â °ø°ÝÀڵ鿡°Ô Èñ¼Ò½ÄÀÌ´Ù. ¡°ºÎä³Î °ø°Ý Ãë¾àÁ¡ÀÎ ¸áÆ®´Ù¿î(Meltdown)°ú ½ºÆåÅÍ(Spectre)´Â ¼öÁØÀÌ ±²ÀåÈ÷ ³ôÀº ÇØÄ¿µé¸¸ ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇß½À´Ï´Ù. »ç½Ç ºÒ°¡´É¿¡ °¡±î¿ü°í, ¸áÆ®´Ù¿î°ú ½ºÆåÅ͸¦ ¾Ç¿ëÇÑ °ø°ÝÀÌ ½ÇÁ¦ ¹ß»ýÇÑ »ç·Êµµ ¾ÆÁ÷ ¾øÁÒ. ÇÏÁö¸¸ ½Ã½ºÅÛ ÄÝÀ» È°¿ëÇØ ºÎä³Î °ø°ÝÀ» ÇÒ ¼ö ÀÖ°Ô µÈ´Ù¸é À̾߱Ⱑ ´Þ¶óÁý´Ï´Ù. °ø°Ý ³À̵µ°¡ ¶³¾îÁø °ÍÀÔ´Ï´Ù.¡±
º¸¾È ¾÷ü ÁÖ´ÏÆÛ ³×Æ®¿÷½º(Juniper Networks)ÀÇ À§Çù ¿¬±¸¿øÀÎ ¹«´Ï¸£ ÇÏÇϵå(Mounir Hahad)´Â ¡°¸áÆ®´Ù¿î°ú ½ºÆåÅÍ´Â ¾Æ¹«³ª °Çµå¸± ¼ö ÀÖ´Â °Ô ¾Æ´Ï¾ú´Ù¡±°í µ¿ÀÇÇÑ´Ù. ¡°À̹ø °ø°ÝÀº ÈξÀ ´õ °£´ÜÇÏ°í Çϵå¿þ¾î¿¡ ÀÇÁ¸ÇÏ´Â °ø°Ýµµ ¾Æ´Õ´Ï´Ù. ÀϹÝÀûÀÎ ÇØÄ¿µéµµ È°¿ëÀÌ °¡´ÉÇÒ Á¤µµÀÔ´Ï´Ù.¡±
°Ô´Ù°¡ ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ßÀÚµéÀÌ Á¾Á¾ »ç¿ëÇÏ´Â ¡®Áö¸§±æ¡¯ ¶§¹®¿¡ ÀÌ °ø°ÝÀº ÇÑÃþ ´õ ½¬¿öÁö±âµµ ÇÑ´Ù. º¸°í¼´Â PHP ÇÔ¼öÀÎ microtimeÀ» ¾ÏÈ£È¿Í °ü·ÃµÈ ±â´ÉÀ» À§ÇÑ ÀÇ»ç ³¼ö ½Ãµå(pseudo-random seed)·Î¼ È°¿ëÇÏ°Ô ÇØÁÖ´Â PHP ÇÁ·¹ÀÓ¿öÅ©µéÀ» ¿¹·Î µç´Ù. ¡°À̸¦ ÅëÇØ °ø°ÝÀÚµéÀº microtime ¸®ÅÏ °ª°ú ¾ÏÈ£È »ý¼º±â·ÎÀÇ È£ÃâÀ» ĸóÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. Áï ¾ÏÈ£È ±â´ÉÀÇ ±âº» ¹ÙÅÁÀÌ µÇ´Â Á¤º¸°¡ ¹«¾ùÀÎÁö ÆľÇÇÒ ¼ö ÀÖ´Â °ÍÀÌÁÒ. º¹È£È°¡ ÈξÀ ½¬¿öÁö°Ô µË´Ï´Ù.¡±
ÀÌ¿À³×½ºÅ¥´Â ¡°ÀÏ´Ü À§ÇèÀ» ¿ÏȽÃÅ°´Â °Ç °¡´ÉÇÏ´Ù¡±°í ¸»ÇÑ´Ù. ÇÏÁö¸¸ OS Á¦Á¶»ç¿Í ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ßÀÚ ¸ðµÎ°¡ °¢ÀÚÀÇ ¼Ò½ºÄڵ带 °Ë»çÇÏ°í Ãë¾àÁ¡À» ¹ß°ßÇÏ°í °¢°¢ÀÇ ÆÐÄ¡¸¦ ¹ßÇ¥Çؾ߸¸ °¡´ÉÇÏ°Ô µÈ´Ù. ÀÌ´Â ÁÁÀº Á¡°ú ³ª»Û Á¡ ¸ðµÎ¸¦ °¡Áö°í ÀÖ´Ù. ÇÏÇϵå´Â ¡°ÁÁÀº Á¡Àº °ü¸®ÀÚ°¡ Ưº°È÷ ÇÒ ¼ö ÀÖ´Â °Ô ¾ø´Ù´Â °Í¡±À̶ó°í ¸»ÇÑ´Ù. ¡°´Éµ¿ÀûÀ¸·Î ¸·À» ¼ö Àִٰųª ÇÏ´Â Ãë¾àÁ¡ÀÌ ¾Æ´Õ´Ï´Ù. ÆÐÄ¡¸¦ ±â´Ù·Á¾ß ÇÏÁÒ.¡±
±×·¸´Ù¸é ³ª»Û Á¡Àº ¹«¾ùÀϱî? ¡°ÀϹÝÀûÀÎ ÆÐÄ¡ °üÇàÀ» º¸¼¼¿ä. ÆÐÄ¡°¡ °³¹ßµÇ´Â °Íµµ ±×·¸°í ±×°ÍÀÌ »ýÅÂ°è ³»¿¡¼ ÃÖÁ¾ »ç¿ëÀÚ±îÁö ³»·Á¿À´Â µ¥ ½Ã°£ÀÌ ±²ÀåÈ÷ ¸¹ÀÌ °É¸®ÁÒ. °Ô´Ù°¡ ÃÖÁ¾ »ç¿ëÀÚ°¡ ÆÐÄ¡¸¦ ÇÏÁöµµ ¾Ê¾Æ¿ä. ±×·± »óȲ¿¡¼ ÆÐÄ¡·Î ÇØ°áÇÒ ¼ö ÀÖ´Ù´Â °Ç ÁÁÀº ÀÏÀ̱⵵ ÇÏÁö¸¸, ³ª»Û ÀÏÀ̱⵵ ÇÕ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ij½Ã °ø°£¿¡¼ ¸Þ¸ð¸® ÃëµæÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â ºÎä³Î °ø°Ý ¹ß°ßµÊ.
2. ¸áÆ®´Ù¿î°ú ½ºÆåÅÍ¿Í ´Þ¸® ½Ã½ºÅÛ ÄÝÀ» ³²¿ëÇÏ´Â °ÍÀ̶ó °ø°Ý ³À̵µ ÀüÇô ¾È ³ôÀ½.
3. OS Á¦Á¶»çµé°ú ¼ÒÇÁÆ®¿þ¾î °³¹ß»çµéÀÌ °¢ÀÚ ÀÌ Ãë¾àÁ¡ °øºÎÇÏ°í ÆÐÄ¡ ¹ßÇ¥Çؾ߸¸ ÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>