Á»ºñ·Îµå, RIDL, Æú¾Æ¿ô °ø°Ý °¡´ÉÄÉ ÇØ...ARM°ú AMD ÇÁ·Î¼¼¼´Â ±¦ÂúÀº µí
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ÀÎÅÚ ÇÁ·Î¼¼¼¸¦ žÀçÇÑ ¼öõ ¸¸´ëÀÇ ÄÄÇ»Å͵éÀÌ »õ·Î¿î Ãë¾àÁ¡µé¿¡ ³ëÃâµÇ¾î ÀÖ´Ù´Â ¿¬±¸ °á°ú°¡ ³ª¿Ô´Ù. °ø°ÝÀÚµéÀÌ À̸¦ ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì, ¹Î°¨ÇÑ Á¤º¸¸¦ Å»ÃëÇÒ ¼ö ÀÖ°Ô µÈ´Ù°í ÇÑ´Ù. ÀÎÅÚÀº ¹°·Ð, ÀÌ¿¡ ¿µÇâÀ» ¹ÞÀº ¿©·¯ ±â¼ú ¾÷üµéÀº ºü¸£°Ô ÆÐÄ¡¸¦ ¹ßÇ¥Çß´Ù.
[À̹ÌÁö = iclickart]
ÀÌ Ãë¾àÁ¡µéÀ» ÅëÇØ Á»ºñ·Îµå(ZombieLoad), ¾Ç¼º Àü¼Û µ¥ÀÌÅÍ ·Îµå(Rogue In-Flight Data Load, RIFD), Æú¾Æ¿ô(Fallout) µîÀÇ ºÎä³Î °ø°Ý ±â¹ýµéÀ» ¹ßÈÖÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ¶ÇÇÑ Ãë¾àÁ¡µéÀº ¾Ç¸í ³ôÀº ¸áÆ®´Ù¿î(Meltdown) ¹× ½ºÆåÅÍ(Spectre)¿Í ºñ½ÁÇÑ ¸é¸ð¸¦ °¡Áö°í Àֱ⵵ ÇÏ´Ù.
ÀÌ °ø°ÝµéÀº PCµé¸¸ÀÌ ¾Æ´Ï¶ó Ŭ¶ó¿ìµå ȯ°æ¿¡¼µµ ¼º¸³ °¡´ÉÇÏ´Ù. ¶ÇÇÑ Áö³ 10³â µ¿¾È »ý»êµÈ ÀÎÅÚ CPU°¡ žÀçµÈ °ÅÀÇ ¸ðµç ½Ã½ºÅÛ¿¡µµ Àû¿ëÇÒ ¼ö ÀÖ´Ù. ¾ÖÇø®ÄÉÀ̼Ç, OS, °¡»ó ±â°è, TEE(½Å·Ú ½ÇÇà ȯ°æ) ¸ðµÎ¸¦ ÅëÇØ ºñ¹Ð¹øÈ£, À¥»çÀÌÆ® ÄÜÅÙÃ÷, µð½ºÅ© ¾ÏÈ£È Å°, ºê¶ó¿ì¡ È÷½ºÅ丮 µî ´Ù¾çÇÑ Á¤º¸¸¦ À¯Ãâ½Ãų ¼ö ÀÖ´Ù.
À̸¦ Áõ¸íÇϱâ À§ÇØ ¿¬±¸¿øµéÀº Á»ºñ·Îµå °ø°ÝÀ» ÅëÇØ »ç¿ëÀÚÀÇ ºê¶ó¿ì¡ È÷½ºÅ丮¸¦ ÈÉÃij»´Â °ÍÀ» ½ÇÁ¦·Î ¼º°ø½ÃÅ°±âµµ Çß´Ù. ÀÌ ¶§ »ç¿ëÀÚ´Â °¡»ó ±â°è¿Í Å丣(Tor) ÀÍ¸í ³×Æ®¿öÅ©¸¦ °¡Áö°í ÀÎÅͳÝÀ» ¼ÇÎÇÏ°í ÀÖ¾ú´Ù. Æú¾Æ¿ô °ø°ÝÀÇ °æ¿ì OSÀÇ ¸Þ¸ð¸® À§Ä¡¸¦ ÆľÇÇÏ´Â µ¥ À¯¿ëÇÑ °ÍÀ¸·Î ¹àÇôÁ³´Ù. Áï ´Ù¸¥ °ø°ÝÀ» Ãß°¡·Î °¡ÇÏ´Â µ¥ ÀÖ¾î ÈǸ¢ÇÑ º¸Ãæ ȤÀº »çÀüÀÛ¾÷ÀÇ ¿ªÇÒÀ» ÇÏ´Â °ø°ÝÀ̶ó´Â °ÍÀÌ´Ù.
Ãë¾àÁ¡µé¿¡ ´ëÇÑ ÀͽºÇ÷ÎÀÕÀº °ø°Ý Ç¥ÀûÀÌ µÈ Àåºñµé¿¡ ¸Ö¿þ¾î¸¦ ½ÉÀ½À¸·Î½á ÇÒ ¼öµµ ÀÖÁö¸¸, ÀÚ¹Ù½ºÅ©¸³Æ® ÄÚµå¿Í ¾Ç¼º À¥»çÀÌÆ®¸¦ ÅëÇØ ¿ø°Ý¿¡¼µµ ÇÒ ¼ö ÀÖ´Ù°í ÇÑ´Ù. Àü¹®°¡µéÀº »çÀ̹ö º¸¾È ¼ÒÇÁÆ®¿þ¾î¸¦ ÅëÇØ À§¿¡ ¾ð±ÞµÈ ¿©·¯ °¡Áö ºÎä³Î °ø°ÝµéÀ» ŽÁöÇÏ´Â °Ç ¾î·Á¿ï ¼ö ÀÖÀ¸¸ç, ·Î±× ÆÄÀÏ¿¡ °ø°ÝÀÇ ÈçÀûÀÌ ³²À» È®·üÀÌ ³·´Ù°í ¼³¸íÇϱ⵵ Çß´Ù. ´Ù¸¸ ¾ÆÁ÷±îÁö ½ÇÁ¦ °ø°Ý¿¡ È°¿ëµÈ »ç·Ê´Â ¹ß°ßµÈ ¹Ù ¾øÀ¸¸ç, °íµµ·Î Ç¥ÀûÈ µÈ ³ôÀº ¼öÁØÀÇ °ø°Ý¿¡¼¸¸ °¡Ä¡°¡ ÀÖÀ» °ÍÀ¸·Î º¸ÀδÙ.
ÀÎÅÚÀº Ãë¾àÁ¡µé Àüü¿¡ ¸¶ÀÌÅ©·Î¾ÆÅ°ÅØó µ¥ÀÌÅÍ »ùÇøµ(Microarchitectural Data Sampling, MDS)À̶ó´Â À̸§À» ºÙ¿´´Ù. ÀÌ Ãë¾àÁ¡µéÀº ´ÙÀ½°ú °°´Ù.
1) CVE-2018-12126 : ¸¶ÀÌÅ©·Î¾ÆÅ°ÅØó ½ºÅä¾î ¹öÆÛ µ¥ÀÌÅÍ »ùÇøµ, MSBDS
2) CVE-2018-12127 : ¸¶ÀÌÅ©·Î¾ÆÅ°ÅØó ·Îµå Æ÷Æ® µ¥ÀÌÅÍ, MLPDS
3) CVE-2018-12130 : ¸¶ÀÌÅ©·Î¾ÆÅ°ÅØó ÇÊ ¹öÆÛ µ¥ÀÌÅÍ »ùÇøµ, MFBDS
4) CVE-2018-11091 : ¸¶ÀÌÅ©·Î¾ÆÅ°ÅØó µ¥ÀÌÅÍ »ùÇøµ ¾ðij¼Åºí ¸Þ¸ð¸®, MDSUM
ÀÎÅÚÀº ¡°MDS Ãë¾àÁ¡µéÀº ƯÁ¤ÇÑ »óȲÀÌ ¿Ã¹Ù·Î ¸Â¹°·ÈÀ» ¶§ ¿ø·¡´Â Á¢±ÙÇÒ ¼ö ¾ø¾î¾ß ÇÏ´Â µ¥ÀÌÅÍ¿¡ Á¢±ÙÇØ ÀÐÀ» ¼ö ÀÖ°Ô ÇØÁش١±°í ¼³¸íÇϸç, ¡°À̸¦ È°¿ëÇÑ °ø°Ý ±â¼úÀº CPU ³»ÀÇ ÀÛÀº ±¸Á¶µé¿¡¼ Èê·¯³ª¿À´Â µ¥ÀÌÅ͸¦ »ùÇøµÇÏ´Â °ÍÀ» ±â¹ÝÀ¸·Î ÇÏ°í ÀÖ´Ù¡±°í ¼³¸íÇß´Ù. ¡°ÇÏÁö¸¸ ½ÇÁúÀûÀ¸·Î À̸¦ ±¸ÇöÇÏ´Â °ÍÀº ´ë´ÜÈ÷ ¾î·Æ°í º¹ÀâÇÑ ÀÏÀ̸ç, MDS Ãë¾àÁ¡¸¸À¸·Î´Â °ø°ÝÀÚ°¡ µ¥ÀÌÅ͸¦ ¼±ÅÃÇؼ Å»ÃëÇÒ ¼ö ¾ø°Ô µË´Ï´Ù.¡± ÀÎÅÚÀÇ Ãë¾àÁ¡ ½É°¢¼º Æò°¡¿¡ µû¸£¸é MDS Ãë¾àÁ¡ ³× °³ Áß ¼¼ °³´Â ¡®Áß°£±Þ¡¯ÀÌ°í ³ª¸ÓÁö ÇÑ °³´Â ¡®³·À½¡¯À̶ó°í ÇÑ´Ù.
ÀÎÅÚÀº 8¼¼´ë¿Í 9¼¼´ë ÄÚ¾î ÇÁ·Î¼¼¼µé°ú, 2¼¼´ë Á¦¿Â ½ºÄÉÀÏ·¯ºí(Xeon Scalable) ÇÁ·Î¼¼¼µéÀÇ °æ¿ì ÀÌ ³× °¡Áö Ãë¾àÁ¡µéÀÌ Çϵå¿þ¾î ¼öÁØ¿¡¼´Â Á¸ÀçÇÏÁö ¾Ê´Â´Ù°í ¹àÇû´Ù. ±× ¿Ü Á¦Ç°µéÀÇ °æ¿ì ¸¶ÀÌÅ©·ÎÄÚµå ¾÷µ¥ÀÌÆ®°¡ ÁøÇàµÇ°í Àְųª ÁøÇàµÉ ¿¹Á¤À¸·Î, À̰͸¸ Àû¿ëÇϸé Å©°Ô À§ÇèÇÑ ÀÏÀº ¾øÀ» °ÍÀ̶ó°í ¼³¸íÇϱ⵵ Çß´Ù. ÄÄÇ»ÅÍÀÇ ÆÛÆ÷¸Õ½º¿¡ Â÷ÁúÀÌ »ý±â´Â ÀÏÀº °ÅÀÇ ¾øÀ» °ÍÀ¸·Î º¸ÀδÙ.
ÀÌ Ãë¾àÁ¡µéÀ» ¹ß°ßÇÑ Àü¹®°¡µé¿¡ ÀÇÇÏ¸é ±âÁ¸ ¸áÆ®´Ù¿î ¹× ½ºÆåÅÍ¿Í °ü·ÃµÈ ÆÐÄ¡¸¸À¸·Î Á»ºñ·Îµå, RIDL, Æú¾Æ¿ô °ø°ÝÀ» ¸·À» ¼ö ¾ø´Ù°í ÇÑ´Ù. °¢°¢ÀÇ °ø°Ý¹ý¿¡ ´ëÇÑ »ó¼¼ ³»¿ëÀº ¿©±â À¥»çÀÌÆ®(https://cpu.fail/)¸¦ ÅëÇØ °ø°³µÇ°í ÀÖ´Ù. °³³äÁõ¸í ÄÚµå´Â ±êÇãºê(https://github.com/IAIK/ZombieLoad)¿¡, ÀͽºÇ÷ÎÀÕ ½Ã¿¬ ¿µ»óÀº À¯Æ©ºê(https://www.youtube.com/watch?v=wQvgyChrk_g)¿¡ ¸¶·ÃµÇ¾î ÀÖ´Ù.
ÇöÀç±îÁö ¹àÇôÁø ¹Ù·Î¼´Â ARM°ú AMDÀÇ ÇÁ·Î¼¼½ºµé°ú´Â »ó°üÀÌ ¾ø´Â ¹®Á¦·Î º¸ÀδÙ. ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®, ±¸±Û, ¾ÖÇÃ, °¢Á¾ ¸®´ª½º °³¹ß»çµéÀº ºí·Î±× Æ÷½ºÆ®³ª º¸¾È ±Ç°í¹®À» ÅëÇØ ÀÌ ¿À·ùµé¿¡ ´ëÇØ °ø°³ÇßÀ¸¸ç, ÀϺΠ±â¾÷µéÀº °í°´µéÀ» À§ÇÑ º¸È£ Á¶Ä¡¸¦ ¹ßÇ¥Çϱ⵵ Çß´Ù.
3ÁÙ ¿ä¾à
1. ÀÎÅÚ ÇÁ·Î¼¼¼¿¡¼ ºÎä³Î °ø°Ý °¡´ÉÄÉ ÇÏ´Â ¶Ç ´Ù¸¥ Ãë¾àÁ¡µé ³× °³ ¹ß°ßµÊ.
2. ÀÌ Ãë¾àÁ¡ ³× °³´Â ¸¶ÀÌÅ©·Î¾ÆÅ°ÅØó µ¥ÀÌÅÍ »ùÇøµ, ÁÙ¿©¼ MDS¶ó°í ºÒ¸².
3. ÀÌ Ãë¾àÁ¡µéÀ» ÅëÇØ Á»ºñ·Îµå, ¾Ç¼º Àü¼Û µ¥ÀÌÅÍ ·Îµå(RIDL), Æú¾Æ¿ô °ø°ÝÀÌ °¡´ÉÇÏ°Ô µÊ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>