Breaking
사이버 보안(Cybersecurity)
"포어섀도우 공격, 실질적으로 피해 범위가 크지 않을 수 있어"
2019-08-03 10:12:25
조현
프로세서 업계에서 2018년은 장기간에 걸쳐 해결해야 할 문제가 끊이지 않았던 한 해였다 (사진=123RF)

[라이헨바흐=조현 기자] 작년은 스펙터와 멜트다운 등 빈번히 발생해 지금도 해결 중인 프로세서 칩의 취약점이 드러난 한 해였다. 

그와 동시에 비슷한 유형의 다른 결함도 발견됐다. 전문 매체 와이어드의 기자 릴리 헤이 뉴만은 전문가들이 최신 인텔 칩의 가장 안전한 요소까지 손상시킬 수 있는 스펙터와 같은 유형의 취약점 때문에 어려움을 겪었다고 보도했다.

포어섀도우

인텔 소프트웨어가드익스텐션(SGX) 기능은 컴퓨터 프로그램이 보안 프로그램을 설치하도록 하는 기능이다. 칩에는 컴퓨터에서 코드가 실행 중일 때, 운영체제가 접근하거나 대체할 수 없도록 보안 처리된 부분이 있다. 

이 부분은 멀웨어나 각종 기술적 문제가 감지되었을 때도 민감 데이터의 안전 저장소가 된다. 그러나 연구진은 SGX가 스펙터와 멜트다운의 공격을 막을 수 있지만 포어섀도우와 같은 다른 유형의 공격에는 취약하다고 발표했다.

마이크로아키텍쳐 보안 연구원 유발 야롬은 연구진은 예측 실행을 통해 SGX에서 얻을 수 있는 정보량을 확인한 뒤 놀라움을 금치 못한 사실을 전했다.

인텔은 SGX라는 프로세서의 운영을 보호하기 위한 보안 기능을 만들었다(사진=123RF)

예측 실행

예측 실행은 프로세서가 효율적인 운영을 위해 다음 데이터를 예측해 먼저 실행하는 컴퓨터 기술이다. 올바른 예측은 자원을 절약하는 반면, 올바르지 않은 예측을 기반으로 한 작업은 완료되지 않는다. 

그러나 시스템에는 프로세서의 특정 명령 수행 시간과 해커가 취약점을 찾기 위해 악용할 수 있는 부분 등을 예측할 수 있는 단서가 있다. 예측 실행 공격을 가하는 것은 매우 어려우며, 인텔은 실제로 어떤 공격도 발생하지 않는다는 사실을 강조한다. 

예측 실행 공격을 방어하는 세이프가드는 반드시 유지되어야 한다. 해커가 예측 실행을 이용해 데이터와 제한된 시스템 권한을 얻을 가능성이 있기 때문이다.

연구진은 스펙터와 멜트다운 발견 후, SGX가 예측 명령 과정에서 결함이 발생할 것이 분명하다고 밝혔다. 연구진이 발견한 문제는 SGX 보호 메모리에 접근 가능한 예측 실행 공격이 발생할 수 있을 뿐만 아니라 비밀 암호키에서의 공격도 발생할 수 있기 때문에 심각한 문제가 된다고 설명했다.

 

SGX는 서명을 검토하는 외부 시스템에서 권한을 확인받는 서드파티의 형태로 보유한 키를 이용한다. 연구진이 극찬한 프라이버시 보안 요소는 그룹 서명이라고도 알려진 익명성이다. 그러나 증명 키 설정이 해킹 당할다면 권한 확인에 이용되는 SGX 서명을 생성하는데 악용될 수도 있다.

시스템 보안 전문가 다니엘 겐킨 박사는 SGX의 신뢰 설정으로 증명 키가 SGX 외 다른 곳에서 발견된 적이 없다는 사실을 확인할 수 있다고 설명한다.

인텔 코어 스카이레이크 프로세서와 카비 레이크 프로세서에는 SGX가 탑재됐기 때문에 포어섀도우 공격으로 손상을 입을 가능성이 있다. 

포어섀도우 공격은 컴퓨터 로그에 단서를 거의 남기지 않아, 매우 교묘하게 발생한다. 게다가 포어섀도우 공격은 '사용자 공간'에서부터 시작될 수도 있다. 이 경우, 해커가 시스템에 깊이 접근하지 않아도 공격을 개시할 수 있다.

연구진은 포어섀도우 공격에는 한계와 문제점이 있지만, 피싱과 멀웨어는 해킹 시스템에서 공격을 개시하는데 가장 적은 비용이 소요되면서도 피해가 가장 크다는 점을 강조했다. 

이러한 점을 고려했을 때, SGX는 흔히 사용되지 않는 기능이라는 점에서 포어섀도우 공격은 실질적으로 피해 범위가 크지 않을 수도 있다.

그러나, 연구진이 발견한 문제로 SGX의 강도에 대한 의문이 제기됐다.

 

인텔의 문제 수정을 통한 결함 완화

인텔은 포어섀도우 취약점에 대해 마이크로코드 결함을 수정 중이며, 마이크로소프트와 리눅스 등 소프트웨어 개발자들에게는 수정된 마이크로코드를 이미 배포했다. 

인텔은 포어섀도우 취약점에서 발견되는 위험은 실질적으로 제한적이라고 주장했지만, SGX에서도 포어섀도우와 비슷한 유형의 공격을 발견했다. 이러한 문제는 클라우드 시스템에 심각한 문제를 초래할 수도 있다. 

또한 포어섀도우는 가상 기계를 모니터하는 하이퍼바이저도 공격할 수 있다. 게다가 운영 체제를 유지하는 궁극적으로 중요한 부분에도 손상을 입힐 것이라는 추측도 제기됐다.

인텔은 보호 기능을 강화하기 위한 마이크로코드도 개발 중이다(사진=123RF)
[라이헨바흐=조현 기자]