Breaking
사이버 보안(Cybersecurity)
"좀비로드 보안 결함, 인텔 CPU 노려"…다른 MDS 공격도 세 가지 발견
2019-06-28 11:33:47
조현
▲좀비로드는 CPU의 마이크로 아키텍처 데이터 구조를 대상으로 하는 마이크로 아키텍처 데이터 샘플링(MDS) 공격으로 분류된다(사진=ⓒ123RF)

[라이헨바흐=조현 기자] 국제 학자와 연구진들이 최근 인텔 프로세서에서 발견된 치명적인 보안 결함을 발견했다. 이 보안 결함은 사이버 위협 행위자가 멜트다운, 스펙터, 포어섀도우와 유사한 측면 채널 공격을 통해 CPU가 여전히 활성화돼 있는 사이 데이터를 도용하도록 만든다. 이 보안 결함은 '좀비로드'라고 한다.

멜트다운과 스펙터 연구에 기여한 수많은 연구자로 구성된 연구팀은 좀비로드를 포함해 마이크로 아키텍처 데이터 구조를 대상으로 하는 공격 방식을 마이크로 아키텍처 데이터 샘플링(MDS)라고 정의한다. 이런 작은 데이터 캐시는 주로 CPU의 기본 캐시와 함께 사용된다.

 

MDS 공격 결과

연구진은 4개의 MDS 공격을 발견했다. 각각의 기능과 목표는 다음과 같다. 마이크로아키텍쳐 스토어버퍼데이터샘플링(MSBDS), 마이크로아키텍처로드포트데이터샘플링(MLPDS), 마이크로 아키텍처필버퍼데이터샘플링(MFBDS), 마이크로아키텍쳐데이터샘플링언캐셔블메모리(MDSUM) 등이다. 학계에서는 이 네 가지 MDS 공격 중 좀비로드 공격이 다른 세 가지 공격보다 강력하며 더 많은 데이터를 훔칠 수 있다고 보고 있다.

멜트다운, 스펙터, 포어섀도우 등과 마찬가지로 좀비로드 또한 인텔 CPU의 데이터 처리 속도와 성능을 최대화, 최적화하는 기법인 추측 실행 프로세스를 통해 악용될 수 있다.

이처럼 마이크로 아키텍쳐 구조 내에서 작동하는 정상적인 추측 실행 작업을 활용함으로써 MDS 공격은 공격자가 일반적으로 액세스하면 안 되는 다른 응용 프로그램에 의해 CPU에서 처리되는 데이터를 추론할 수 있다.

 

동전의 양면

연구진이 이것을 발견한 데에는 동전의 양면처럼 좋은 점과 나쁜 점이 있다. 연구진에 따르면 2011년 이후 출시된 모든 CPU는 이런 공격에 취약할 가능성이 크다. 즉 대부분의 인텔 사용자들이 좀비로드 같은 MDS 공격을 당할 가능성이 있다. 좀비로드 공격으로 인해 데스크톱, 랩톱 및 서버의 프로세서가 영향을 받으면 공격자는 더 효과적으로 멀웨어를 퍼뜨릴 수 있다.

좋은 소식은 인텔이 발 빠르게 마이크로 코드 업데이트를 했다는 점이다. 마이크로소프트(Microsoft), 애플(Apple), 구글(Google) 또한 각자 업데이트를 했다.

또한 올해 초 스펙터나 멜트다운이 처음 드러났을 때와 달리 연구진 또한 좀비로드에 대해 아무 것도 모른 채 속수무책 당하지만은 않는다. 인텔이 실시한 최신 보호 기능으로 인해 새로운 프로세서들은 공격의 영향을 받지 않게 됐다.

MDS 공격은 인텔의 8세대 및 9세대 인텔 코어 프로세서 및 2세대 인텔 제온 스케일러블 프로세서 제품군 수준에서 다뤄진 것이다. 따라서 마이크로 코드 업데이트 및 현재 사용 가능한 운영 체제와 하이퍼 바이저 소프트웨어에 대한 업데이트로 보안이 강화될 수 있다.

▲인텔은 최근 장치 및 마더 보드 공급 업체에 마이크로 코드 업데이트를 전달했다(사진=ⓒ123RF)

완화 패치

인텔은 또한 장치 및 마더 보드 공급 업체에 인텔 마이크로 코드에 대한 업데이트를 제공했다. 그러나 얼마나 많은 컴퓨터에 마이크로 코드 업데이트가 전달됐는지는 확실치 않다.

한편 마이크로소프트는 지난해 멜트다운과 스펙터를 겪으면서 이를 완화할 업데이트를 새로운 윈도우 업데이트 세트에 적용했다. 인텔은 영향을 받은 프로세서와 각 CPU 모델의 목록을 추리고 마이크로 코드 업데이트 상태를 확인했다.

마이크로소프트는 윈도우, 윈도우 서버 및 SQL 서버 데이터베이스에 대한 OS 수준의 업데이트를 제공해 4가지 MDS 보안 결함으로 인한 문제를 완화했다.

애플은 맥OS의 모하비 10.14.5 등을 통해 MDS 공격에 대한 완화 솔루션을 배포하고 있다.

애플은 "이번 업데이트는 취약점이 자바스크립트 또는 사파리의 악의적인 웹사이트 등을 통해 악용되는 것을 방지한다"고 말했다.

구글과 아마존은 클라우드 서버에 최신 패치를 적용했고 크롬 OS에서는 크롬 74를 포함하는 그 이후 버전에 완화 패치를 적용했다.

[라이헨바흐=조현 기자]