MS, 윈도우 10 긴급 보안 패치 공개

Intel CPU 설계상 오류로 인해서 보안취약점이 발생했다고 합니다.

누적 업데이트 내용에 보니까 "Windows 커널"에 대한 보안 업데이트가 있네요.

 

보안패치를 설치하면 성능 저하의 가능성이 있다고 합니다만, 걱정안하셔도 됩니다.

어디까지나 가능성이 있다는 것이지 꼭 그렇다는 것은 아니니까요.

설령 성능저하가 있다고 하더라도 거의 미미하여 체감할 정도는 아닙니다.

 

저는 보안패치 적용하였더니 더 빠릿해진 것 같습니다.ㅋ

그냥 보안패치 설치하시고 사용하시면 됩니다.ㅎ

 

바로 아래 게시물에서 누적 업데이트 설치하시면 됩니다. (보안패치가 누적 업데이트에 포함되어 있습니다.)

http://jsb000.tistory.com/780

-------------------------------------------------------------------------------------------------

 

 

 

광범위 CPU 보안 취약점 대응 윈도우 10 긴급 보안 패치 공개

2018년 초부터 터진 대형 CPU 보안 이슈에 대응하기 위한 윈도우 긴급 패치가 공개된다.

 

 

이번 긴급 패치는 인텔과 AMD, AMR 칩셋서 새롭게 발견된 보안 취약점의 윈도우 10 대응을 위한 것으로, 태평양 시간 1월 3일 오후 2시인 한국 시간 1월 4일 오전 6시 윈도우 업데이트를 통해 배포되어 자동 적용되며, 윈도우 7과 8 운영체제의 대응 패치는 다음주 화요일인 1월 9일 배포될 예정이다.

 

이번 업데이트는 운영체제의 커널 단계에서의 수정이 포함되므로 일부 백신 프로그램 역시 이에 대응하도록 패치 작업이 필요하다.

한편, 이번 업데이트가 제대로 효과를 보기 위해서는 시스템의 펌웨어 업데이트도 필요하며, 이번 보안 이슈로 인한 피해는 아직 보고된 바 없다고 전했다.

 

제목 : 광범위 CPU 보안 취약점 대응 윈도우 10 긴급 보안 패치 공개

보드나라 : www.bodnara.co.kr

 

 

 

 

 

멜트다운과 스펙터, CPU의 보안이 통째로 무너지다

 

현대 CPU 산업의 근간을 뒤흔드는 치명적인 보안 문제가 발견되었다.

CPU의 버그를 이용해 해커가 사용자의 암호와 중요한 데이터를 훔칠 수 있다는 사실이다.

발견된 버그는 두 가지다. 이름은 '멜트다운(Meltdown, 붕괴)'과 '스펙터(Spectre, 유령)'다. CPU의 치명적인 보안 결함을 이용해 CPU가 처리하고 있는 응용 프로그램 속 데이터를 낱낱이 훔쳐볼 수 있는 버그다. 암호화되어 있지 않은 일반 데이터뿐만 아니라 웹 브라우저에 저장된 암호, 이메일이나 메신저로 주고받은 내용, 개인의 비밀이 담긴 사진, 중요한 업무용 문서까지 PC와 스마트폰에 담겨있는 모든 중요한 데이터를 탈취할 수 있다.

<멜트다운과 스펙터>(출처=IT동아)

멜트다운과 스펙터는 구글 보안기술팀(Google Project Zero) 제인 혼(Jann Horn) 수석연구원과 업계의 보안 전문가들에 의해 발견되었다. 구글은 6개월 전(2017년 6월 1일) 인텔, AMD, ARM 등 주요 CPU 제조사에게 이 버그를 알려주었다. 패치를 통해 문제를 해결할 수 있도록 하기 위함이다. 이어 1월 3일 자사 블로그를 통해 해당 버그 탓에 치명적인 보안 문제가 일어날 수 있음을 사람들에게 공지했다. 이 버그가 구체적으로 어떤 상황에서 일어나는지는 패치가 마무리되는 1월 말 공개할 예정이다.

멜트다운은 인텔 CPU에 적용된 '비순차적 명령어 처리(OoOE)' 기술의 버그를 악용한 보안 취약점이다. 멜트다운을 이용하면 보안을 위해 응용 프로그램이 CPU의 캐시 메모리에 접근하지 못했던 기존 하드웨어 보안 구조가 통째로 무너진다. 버그의 이름을 '붕괴'라고 이름붙인 이유다. 멜트다운 버그를 이용하면 해커가 악의를 가지고 만든 응용 프로그램(해킹 프로그램)이 사용자의 시스템 메모리에 바로 접근할 수 있게 된다. 사용자의 데이터를 훔쳐가라고 대문이 활짝 열리는 것이나 다름 없다. 멜트다운은 이론 상 문제가 되는 비순차적 명령어 처리 기술이 적용된 모든 인텔 CPU에서 발생할 수 있다. 1995년 이후 시중에 판매된 모든 인텔 CPU가 여기에 해당한다(해당 명령어를 쓰지 않는 저사양 아톰 프로세서는 제외). 구글 연구팀은 2011년에 발매된 하스웰 아키텍처 기반의 제온 프로세서에서 멜트다운이 발생함을 확인했다. 멜트다운은 인텔이 이용 중인 비순차적 명령어 처리 기술의 문제 탓에 일어나는 버그라 AMD와 ARM의 CPU에서는 발생하지 않는다.

멜트다운은 일반 사용자용 PC뿐만 아니라 클라우드 컴퓨팅용 인프라스트럭처에서도 일어난다. 인텔 CPU와 시트릭스 젠 하이퍼바이저(가상화 솔루션)를 이용 중인 클라우드 업체가 특히 취약하다. 인텔 CPU의 데이터센터 시장 점유율은 99.8%에 이르고, 젠 하이퍼바이저 역시 VM웨어, 하이퍼-V 등과 함께 가상화 시장을 삼등분하고 있다. 사실상 모든 클라우드 서비스 업체에서 보안 문제가 발생할 수 있는 셈이다. 여기에 리눅스 도커 컨테이너를 쓰는 경우에도 멜트다운의 영향을 받을 수 있다고 알려진 상태다.

스펙터는 CPU 속에 담겨있는 수 많은 명령어에서 일어나는 버그를 악용한 보안 취약점이다. 이 버그를 이용하면 해킹 프로그램이 다른 응용 프로그램이 담긴 메모리 내부를 들여다볼 수 있게 된다. 멜트다운처럼 보안 구조가 통째로 무너지는 것은 아니지만, 응용 프로그램이 처리하고 있는 데이터 가운데 일부가 해커들에게 노출 될 수 있다. 스펙터는 어떤 상황에서 어떤 명령어를 이용해 버그가 일어나고, 이를 해결하기 위해 어떤 대응을 해야하는지 추적하기 매우 어렵다. 버그의 이름을 '유령'이라고 이름붙인 이유다.

대응이 어렵기 때문에 구글은 스펙터의 원인과 일으키는 방법을 자세히 공개하지 않았다. 다만 하나의 가상머신에서 이뤄진 공격이 해당 가상머신을 유지하는 호스트 머신의 메모리에 바로 접근할 수 있고, 해당 호스트 머신이 구동 중인 다른 가상머신의 메모리에도 접근할 수 있다는 사실이 확인되었다. 이는 현재 클라우드 컴퓨팅을 유지하는 멀티테넌트 구조의 근간을 뒤흔드는 치명적인 버그다. 스펙터는 이론 상 많은 명령어를 보유한 모든 최신 프로세서에서 일어날 수 있다. 인텔, AMD, ARM 등 모든 CPU 제조사의 최신 프로세서가 여기 해당한다. 구글은 인텔, AMD, ARM의 최신 프로세서에서 스펙터 버그가 발견되었다고 공지했다.


아마존, MS, 구글은 이미 해결... 구형 운영체제 사용자는?

워낙 기술적으로 어려운 문제라 길게 설명했지만, 사실 쉽게 요약할 수 있다. 'CPU의 메모리에서 데이터가 줄줄 새고 있었다는 것'이다. CPU(하드웨어)의 문제인 만큼 소프트웨어 기술로 땜질하는 것도 어렵다. 하드웨어 문제 자체를 해결해야만 한다.

구글이 지난 해 6월 1일 CPU 제조사들에게 이 버그를 알린 이후 CPU 제조사들도 이 문제를 해결하기 위해 손을 쓰기 시작했다. 인텔은 아마존웹서비스(AWS), 마이크로소프트(MS), 구글, 레드햇 등과 협력해 멜트다운을 해결할 수 있는 패치를 개발했다. 해결방법은 간단했다. 문제가된 비순차적 명령어 처리 기술을 비활성화한 것이다.

현재 AWS, 마이크로소프트, 구글 등이 제공하는 클라우드 서비스는 패치가 완료되었다. 클라우드 서비스를 이용 중인 기업은 운영체제를 최신 버전으로 업데이트하고 서비스를 재부팅함으로써 이 문제를 해결할 수 있다. 레드햇 리눅스 역시 최신 패치를 내려받으면 멜트다운을 해결할 수 있다.

일반 사용자용 보안 패치도 공개되었다. 윈도우10, 맥OS 하이시에라, 최신 안드로이드 운영체제(12월 보안 패치가 완성되어 제조사에게 전달) 등은 최신 버전으로 업데이트하면 멜트다운 버그를 방지할 수 있다. 스펙터용 보안 패치는 현재 개발 중이다. 하지만 일반 사용자용 보안 패치가 공개된 것은 최신 운영체제에 한정된다. 구형 운영체제 사용자는 여전히 멜트다운과 스펙터에 무방비로 노출될 수밖에 없다.

<인텔의 CPU>(출처=IT동아)

위기 회피에 급급한 해명... 피해는 사용자의 몫

멜트다운과 스펙터가 공개된 이후 인텔과 AMD는 공식 성명을 통해 자사의 입장과 보안 업데이트 등의 내용이 담긴 향후 대책을 발표했다. 하지만 사용자의 피해를 해결할 수 있는 방안보다 해명에 급급한 내용을 담고 있어 논란이 일고 있다. 인텔의 경우 자사뿐만 아니라 경쟁 CPU 제조사에서도 함께 발견된 문제라고 밝혔으나, 사안의 중요성은 인텔 CPU에서만 발견된 멜트다운이 스펙터보다 훨씬 크다. AMD의 경우 문제가 되는 비순차적 명령어 처리 기술을 쓰지 않기 때문에 AMD CPU에서는 문제가 발생하지 않는다고 밝혔다. 멜트다운만 보면 '팩트'이지만, 스펙터에 대한 언급은 어디에도 없다.

특히 인텔의 경우 멜트다운 문제 해결을 위해 해당 비순차적 명령어 처리 기술을 비활성화함에 따라 CPU의 성능이 저하되는 문제가 발생했다. 비순차적 명령어 처리는 현대 CPU 기술의 핵심이다. 영국의 IT전문지 레지스터에 따르면 이 명령어를 비활성화함으로써 인텔 CPU는 최대 30%까지 성능이 저하될 수 있다.

이러한 성능 저하는 일반 사용자보다 클라우드 컴퓨팅과 서비스 호스팅 업체에 더욱 치명적이다. 클라우드 컴퓨팅은 앱을 분할한 후 여러 인프라에서 처리하는 가상화 기술을 이용해 CPU의 성능을 상시 100% 가까이 활용하고 있다. 조금만 CPU의 성능이 떨어져도 전체 퍼포먼스가 크게 하락할 수밖에 없다. 서버 및 데이터센터 시장에서 99%가 넘는 점유율을 확보한 인텔의 CPU에서 이러한 문제가 발생한 만큼 클라우드 컴퓨팅 업체가 제공하는 하드웨어의 퍼포먼스(성능)는 급격히 하락할 수밖에 없다. 클라우드 업체는 서비스 수준 협약을 통해 고객에게 일정한 퍼포먼스를 제공하겠다고 약정한다. 보안 패치 이후 협약을 지키는 방법은 추가로 인프라를 투입하는 방법밖에 없다. 추가 인프라 비용은 모두 클라우드 업체의 부담으로 돌아올 전망이다.

 

 

멜트다운용 보안 패치로 인해 일반 사용자용 PC의 성능이 어느 정도 저하될지 공식적으로 발표된 것은 없다. 일단 시스마크 등 벤치마크 프로그램을 통해 확인된 바에 따르면 아주 미세한 성능 저하만이 있을 뿐이다. 하지만 실제 프로그램 실행시 어느 정도의 손실이 있을지는 미지수다. 패치가 완료된 이후 올라오는 사용자들의 경험담을 관심있게 지켜봐야 한다.

인텔 CEO의 부적절한 처신도 도마에 오르고 있다. 브라이언 크르자니크 인텔 CEO는 지난 해 11월 29일 인텔 CEO가 반드시 보유해야 하는 최소 주식인 25만 주를 제외한 나머지 보유 주식 88만 9878주를 매도했다. 멜트다운과 스펙터가 공개된 이후 인텔의 주식은 46.5 달러에서 43.9 달러로 급락했다. 향후 사건 전개에 따라 주식 가치가 더 떨어질 가능성도 있다. 크르자니크 CEO는 인텔 최고경영자로서 멜트다운과 스펙터에 대해 누구보다 잘 아는 인물이다. 그런 인물이 회사의 악재를 앞에 두고 주식을 매도한 것은 '내부자거래(Insider Trading)'라는 의심을 피하기 힘든 처사다. 내부자거래란 기업의 임직원이나 주요주주가 일반인에게 공개되지 않은 기업의 중요한 정보를 이용해 해당 기업의 주식을 거래하는 것을 뜻한다.

동아닷컴 IT전문 강일용 기자 zero@donga.com

 

 

원문보기:
http://news.donga.com/3/all/20180104/88026760/1#csidx704efa03c5e9fa69a45da25f459f779

 

 

 

 

 

 

 

 

 

 

 

인텔 CPU 커널 버그 총정리 : 대규모 보안 결함으로 성능 악영향 가능

인텔은 다음 주로 예정된 CPU 취약점 패치가 일반적인 사용자에게는 무시해도 좋을 만큼의 성능 영향을 미칠 것이라고 주장했다.

인텔 CPU의 알 수 없는 대규모 보안 결함으로 주요 운영체제의 핵심인 커널 소프트웨어를 재설계해야만 한다고 더레지스터가 보도했다. 이 문제는 인텔의 x86-64 하드웨어에 바로 있는 것이기 때문에 윈도우와 리눅스, 맥 등 모든 운영체제가 이를 방어해야 한다. 다른 업체의 프로세서 역시 영향을 받을 수 있다. 게다가 이 취약점을 위한 패치가 사용자의 PC 성능에 부정적인 영향을 미치는 것으로 드러났다.

 

문제를 기술적으로 파고들기는 어렵다. 주요 하드웨어와 소프트웨어 업체는 취약점이 공개되기 전에 커널 문제를 해결하기 위해 조용히 공조해 왔다. 하지만 더레지스터의 보도와 리눅스 커널용 긴급 패치 코드에 대한 언급을 보면, 어떤 문제인지는 파악할 수 있다. 리눅스 커뮤니티의 정보도 취약점의 정확한 특성을 알 수 없도록 세부 정보를 편집했다.

Intel

여기서는 인텔 CPU 커널 버그와 리눅스, 윈도우, 나아가 맥에까지 미치는 영향에 대해 개괄적인 수준에서 파악된 내용을 정리한다.

Q. 단도직입적으로 말해 문제가 무엇인가?
현재 문제가 된 버그는 극히 기술적인 것이지만, 간단히 말해 칩의 커널에서 메모리가 샌다. 이는 극히 민감한 데이터가 애플리케이션에 노출될 수 있고, 이는 해커에게도 노출될 수 있다는 말이다. 아니면 공격자가 사용자의 PC에 악성코드를 더 쉽게 심을 수 있도록 해준다.

인텔은 “이번 취약점 공격은 데이터 자체가 손상되거나 수정 또는 삭제될 가능성은 없다”라고 밝혔다. 단지 보호된 커널 메모리의 내용을 읽을 수 있기 때문에 공격자가 사용자의 패스워드나 로그인 키 등에 액세스할 수도 있다.

 

Q. 커널이란?
칩 내부의 커널은 기본적으로 애플리케이션과 기능이 컴퓨터 상에서 동작하도록 해 주는 보이지 않는 프로세스로, 운영체제에 대한 완전한 통제권을 갖는다. PC는 하루에도 수천 번 사용자 모드와 커널 모드를 전환해 명령과 데이터가 이음매없이, 그리고 동시에 흐를 수 있도록 한다.

 

Q. 내 PC에 문제가 있다는 것을 어떻게 알 수 있는가?
문제는 있다. 확실한 데이터는 없지만, 이번 버그는 지난 10년 동안 생산된 모든 인텔 x86 CPU에 영향을 미치며, 어떤 운영체제를 사용하든, 어떤 종류의 컴퓨터를 사용하든 관계없다. 최신 CPU일수록 영향이 적게 받는다는 일부 보도가 있지만, 확실하지 않다.

리눅스 커널 패치는 64비트 ARM 프로세서용으로도 준비된다. 세부 정보는 공개되지 않았지만, 인텔은 발표문을 통해 “많은 종류의 컴퓨팅 디바이스와 많은 다른 업체의 프로세서와 운영체제가 취약점 공격에 이용당하기 쉽다”고 밝혔다.

 

Q. CPU 문제라면, 인텔이 수정해야 하는가?
그렇기도 하지만, 아니기도 하다. 인텔(과 다른 CPU 제조업체)은 분명 다음 칩에서는 이 문제를 해결하겠지만, 현장의 PC를 고치기 위한 패치는 운영체제 업체가 만들어야 한다. 마이크로코드 업데이트로는 제대로 고칠 수 없기 때문이다.

리눅스 개발자들은 새 커널 업데이트에서 결함을 해결하기 위해 전력을 쏟고 있으며, 마이크로소프트는 1월 9일 나오는 화요일 패치를 통해 문제를 해결할 것으로 보인다. 최근 발표된 윈도우 인사이더 프리뷰 빌더에서 테스트가 진행되고 있다. 이들 일정은 인텔의 발표가 사실이라는 것을 뒷받침하는 것이기도 한데, 인텔은 “인텔과 관련 업체는 더 많은 소프트웨어와 펌웨어 업데이트가 나오는 대로 다음 주에 이 문제를 해결할 계획이다”라고 밝혔다.

 

Q. 맥 사용자는 괜찮은가?
이번에는 아니다. 취약점은 모든 인텔 x86 칩에 영향을 미치기 때문에 맥 역시 위험하다. 하지만 애플은 지난 해 12월 6일 배포된 맥OS 10.13.2에서 이 취약점을 조용히 막은 것으로 알려졌다. 개발자 알렉스 이오네스쿠에 따르면, 추가 보호 조치는 맥OS 10.13.3에 적용될 예정이다.

Q. 사용자가 할 수 있는 것은 무엇인가?
패치가 나오는 대로 PC를 업데이트하는 것 외에는 별로 없다. 이번 문제는 극히 기술적인 것이기 때문에 일반 사용자가 문제를 완화하기 위해 할 수 있는 것이 없다. 인텔이 강조한 것처럼 보안 소프트웨어가 제대로 동작하고 있는지 확실히 하기 바란다.

 

Q. 패치는 정확히 언제 나오는가?
기본적으로 인텔은 관련 업체들과 함께 다음 주까지 문제를 해결할 계획이라고 밝혔다.

다시 한 번 정리하자면, 리눅스 개발자들은 새 커널 업데이트를 통해 결함을 해결하기 위해 분주하다. 조만간 업데이트가 이뤄질 것이라 기대한다. 마이크로소프트는 최근 배포된 윈도우 인사이더 프리뷰 빌더에서 테스트를 진행하고 있으며, 1월 9일 화요일 패치에서 문제를 해결할 것으로 보인다. 맥OS 하이 시에라는 이미 관련 업데이트가 이뤄졌다.

 

Q. 일단 패치를 적용하면 괜찮은 것인가?
일단 패치를 적용하면 위험을 막을 수 있다. 하지만 부작용이 있다. 패치가 칩의 커널에서 메모리가 새는 것을 방지하지만, 일부는 운영체제가 프로세서와 인터랙션하는 방법을 바꾸기 때문에 성능이 떨어질 수 있다.

 

Q. 얼마나 느려지는가?
복잡하다. 4세대 하스웰 이후의 인텔 프로세서는 PCID(Process-Context Identifiers)란 기술을 사용하는데, 성능 영향을 적게 받는다. 일부 애플리케이션, 특히 가상화와 데이터센터나 클라우드 워크로드는 영향을 더 많이 받는다. 더레지스터는 “워크로드와 프로세서 모델에 따라 대략 5~30% 느려지는 것으로 보인다”고 밝혔다. 인텔은 워크로드에 따라 성능 저하가 다르다고 확인했으며, 일반 가정용 컴퓨터 사용자에게는 성능 저하가 “눈에 띌 정도가 아닐 것”이라고 밝혔다.

리누스 토발즈는 리눅스 커널 메일링 리스트를 통해 “사용자가 무엇을 하느냐에 따라 분명히 달라질 것”이라며, “사용자 영역에서 대부분이 구동되는 워크로드는 전혀 영향을 받지 않을 것이다. 하지만 작은 시스템 호출을 자주 사용한다면, 두자릿수의 성능 저하가 일어날 수 있다”고 설명했다. 또 “하드웨어에 따라서도 크게 달라진다. PCID가 없는 구형 CPU는 더 큰 영향을 받을 것이다. 신형 하드웨어에서도 일부 백포트는 PCID의 이점을 살리지 못할 것이라고 생각한다”고 덧붙였다.

 

Q. 게임도 느려지는가?
그렇지 않을 것이다. 리눅스 중심의 포로닉스(Phoronix) 웹 사이트는 패치가 적용된 리눅스 4.15 커널의 초기 릴리즈 후보 빌드인 리눅스 4.15-rc6으로 벤치마크 테스트를 실시했다. 코어 i7-8700K는 복합 I/O 벤치마크인 FS-Mark 3.3과 컴파일 벤치(Compile Bench)에서 상당한 성능 저하를 보였다. 포스트그레SQL과 레디스(Redis)도 성능 저하를 보였지만, 상당히 낮은 수준이었다. H.264 비디오 인코딩은 아무런 영향을 받지 않았다.

포로닉스는 게임도 테스트했는데, 도타 2, 카운터 스트라이크 : 글로벌 오펜시브, 데우스 엑스 : 맨카인드 디바이드, F1 2017 등을 코어 i7-8700K과 라데온 베가 64 그래픽 카드로 리눅스 4.15-rc6에서 구동한 결과, 눈에 띄는 프레임 저하는 전혀 일어나지 않았다. 다이렉트X 기술을 이용한 테스트는 하지 못했는데, 이 부분은 확인이 필요하다.

 

Q. AMD 프로세서도 마찬가지인가?
그렇지 않은 것 같다. 리눅스 커널 메일링 리스트에 보낸 메시지에서 AMD의 소프트웨어 엔지니어 톰 렌대키는 리눅스의 KTPI(Kernel Page Table Isolation) 패치를 팀 레드의 프로세서에는 적용하지 말 것을 요청했다. 렌대키는 “AMD 마이크로아키텍처는 메모리 참조를 허용하지 않는다”고 밝혔다. 권한이 낮은 모드에서 더 높은 권한의 데이터에 액세스할 수 없다는 설명이다.

하지만 AMD 프로세서도 성능 저하에서 완전히 자유롭지는 않다. 인텔 CPU의 커널 버그 취약점을 위한 패치가 어떻게 구현되는지에 따라 달라지기 때문이다. 운영체제 업체들은 렌대키가 리눅스 커널팀에 요청한 것처럼 AMD 프로세서는 예외로 하는 코드를 작성할 수도 있지만, 만약을 위해 모든 x86 프로세서에 패치를 강제할 수도 있기 때문이다.

 

Q. 정말로 사용자가 할 수 있는 것은 없는가?
안타깝지만 사실이다. 보안은 성능보다 중요하기 때문에 해커에게 노출되는 PC보다는 조금 느린 PC가 낫다. 

 

 editor@itworld.co.kr

원문보기:
http://www.itworld.co.kr/news/107738?page=0,1#csidx2a440388aea2b76812d426e9d5b4b56

 

 

 

 

 

최악의 버그, CPU 기본 구조 건드렸다

인텔, AMD의 x86 프로세서와 ARM 기반의 프로세서에 중대한 보안결함이 발견돼 비상이 걸렸다. 관련체들이 서둘러 소프트웨어 패치를 내놨지만 이번엔 시스템 성능이 저하되는 부작용이 발생했다.

​

20여년 간 프로세서와 소프트웨어의 상호작용 방식에 영향을 미치기 때문이란 게 보안 전문가들의 분석이다. 이에 따라 이번 사태가 단기간에 해결되긴 힘들 것으로 보인다.

​

미국 지디넷 등 외신은 3일(현지시간) 인텔과 AMD, ARM 프로세서에서 각각 ‘멜트다운’과 ‘스펙터’ 보안 결함이 발견됐다고 보도했다. 이 결함은 1995년 이후 나온 거의 모든 컴퓨터에 영향을 미치는 것으로 확인됐다. 윈도, 맥OS, 리눅스 등 주요 OS가 보안위협에 노출됐다.

​

​

■ "리눅스 패치 후 시스템 성능 30%까지 저하"

​

인텔 프로세서에서 발견된 멜트다운 보안결함은 커널 메모리에 들어있는 정보를 유출시킬 수 있다. 해커는 암호 관리, 브라우저, 이메일, 사진, 문서 등에 있는 정보까지 빼낼 수 있다. 스펙터 보안결함은 인텔뿐 아니라 AMD x86 칩과 ARM 기반 프로세서 전체에도 영향을 미친다.

​

3일 리눅스 커뮤니티는 보안결함을 위한 커널 패치를 배포했다. MS는 동부표준시 기준 3일 오후 5시(한국시간 4일 오전 7시)부터 윈도10 기기에 대해 자동 업데이트 방식을 통해 보안패치를 배포했다. 윈도10 기기를 대상으로 이날 즉시 자동 업데이트가 진행되고, 윈도7, 윈도8 기기의 자동 업데이트는 다음주 화요일 윈도 업데이트를 통해 이뤄질 예정이다.

​

문제는 패치 후 성능 저하 현상이 발견된다는 점이다. 리눅스 패치 후 워크로드 벤치마크에서 최대 30%까지 시스템 성능이 저하된다는 보고가 이어졌다. 가상머신 환경에서도 성능저하 현상이 나타난다.

​

성능 저하의 원인은 프로세서의 메모리 처리 관련 설계가 달라지기 때문이다.

​

배포된 리눅스 패치는 커널페이지테이블격리란 조치를 통해 커널 메모리를 사용자에게서 분리시킨다. 그러나 일반적으로 사용되는 OS 파일시스템이나 네트워크 연결 등의 작업이 프로세서 메모리의 커널에서 사용자 모드로 전환되는데 패치로 인해 이 작업이 어려워지는 것이다.

​

이같은 방식은 1995년 이후 나온 프로세서 아키텍처에 적용됐기 때문에 현존하는 대부분의 소프트웨어가 이를 따른다. OS와 각종 소프트웨어의 커널 메모리 처리 설계를 바꿔야 할 것으로 전망된다.

​

■ 리눅스 커뮤니티 "커널 메모리 처리방식 바꾸겠다"

​

리눅스 커뮤니티는 향후 커널 메모리 처리 방식을 변경하겠다고 밝혔다. MS는 이에 대한 입장을 명확히 하지 않았다. 다만 PCID 기능을 적용한 인텔 시스템의 경우 커널 패치에 따른 성능저하 현상이 나타나지 않는 것으로 알려졌다.

​

당초 커널 메모리 유출 보안결함이 전파됐던 레딧에서는 인텔의 6세대 스카이레이크 코어와 7세대 카비레이크 제품에만 해당되는 것으로 알려졌다. 그러나 구글이 3일 발표한 블로그에서 AMD와 ARM 아키텍처도 보안결함을 가진 것으로 나타났다.[구글 블로그 바로가기]

​

OS업체들과 함께 클라우드 서비스업체들도 고객에게 관련 내용을 공지하고 있다. MS는 애저 클라우드에 대한 패치를 진행했고, 현재까지 성능저하 현상이 나타나지 않았다고 밝혔다. [마이크로소프트 애저 공지 바로가기]

​

아마존웹서비스는 고객에게 인스턴스의 OS에 새 패치를 설치하라고 공지했다.[아마존웹서비스 공지 바로가기]

​

인텔은 3일 보도자료를 내고, 보안 결함에 조치를 취하겠다고 발표했다. AMD, ARM홀딩스, OS 회사 등과 함께 후속조치에 나서고, 소프트웨어 및 펌웨어 업데이트를 제공하기 시작했다고 밝혔다.

​

인텔은 패치 후 나타나는 성능저하 문제에 대해 워크로드에 따라 나타나는 현상일 뿐 칩 차원의 근원적 문제로 인한 게 아니라고 선을 그었다.

 

 

 

 

 

인텔 CPU 결함 패치하면 성능 저하? 사실일까?

 

"전 세계 PC의 10대 중 7대" "99.8%에 달하는 클라우드 시장점유율" 지구상의 거의 모든 컴퓨팅 장치에 들어가는 인텔 CPU에서 보안 취약점을 일으킬 수 있는 중대한 결함이 발견됐다는 소식에 전 세계가 발칵 뒤집혔다.

 

영국 기술 매체 '더레지스터'는 "인텔 CPU에서 결정적인 설계 결함이 발견됐다."며 "로그인 암호ㆍ캐시 파일 등 주요 사용자 정보가 저장된 커널 메모리가 해커에 노출될 수 있다."고 보도했다. 아직 주목할 피해 사례가 나오진 않았지만, 패치를 하지 않으면 최근 10년간 출시된 대부분의 컴퓨팅 기기가 해커의 공격 대상이 될 수 있다는 우려가 나온다.

 

 

인텔 CPU 설계 결함에 따른 보안 취약점은 크게 두 가지. 우선 녹아내린다는 뜻의 '멜트다운'은 해커가 컴퓨터에 침투해 커널 메모리에 담긴 정보를 빼갈 수 있다. 스펙터(유령)은 CPU 내부의 여러 명령어에서 발생하는 버그를 악용한 보안 취약점이다.

 

해커는 해킹 프로그램으로 정상 작동하는 프로그램에 담긴 정보를 빼갈 수 있다. 멜트타운과 달리 AMDㆍARM홀딩스 CPU에서도 발견된 스펙터는 많은 명령어를 보유한 모든 최신 CPU에서 발생할 수 있다.

 

 

인텔 CPU 설계 결함 소식이 알려지자 마이크로소프트는 즉각 보안 패치를 배포했다. 이 회사는 3일 윈도우10 대상의 긴급 보안 업데이트를 배포했으며 다른 윈도우에 대해서는 다음 주 배포 예정이다. 애플은 작년 12월 배포된 맥OS 10.13.2 버전에서 취약점을 막았고 추가 보호 조치는 맥OS 10.13.3에서 진행될 예정이다.  

 

그러나 일부에서는 보안 패치로 근본적인 결함이 해결될 수 없을뿐더러 컴퓨터 성능이 최대 30%까지 저하될 수 있다는 지적이 나온다. 더기어는 마이크로소프트의 보안 패치를 한 노트북 환경에서 몇몇 벤치마크와 인코딩 실험을 통해 보안 패치 전후 성능을 비교해봤다.

 

우선 사용자가 업무 관련 앱과 웹 브라우징 용도로 PC를 사용할 것으로 상정해 PC마크의 업무 및 가정용 벤치마크를 측정했는데 보안 패치 전후 결과에서 우려했던 상황은 일어나지 않았다. PC마크 워크의 경우 패치 전후 각각 4815점, 4773점을 획득해 오차 범위 수준이다. PC마크 홈 벤치마크는 오히려 패치 후 점수가 약간 높게 나왔다.

 

3D 그래픽 성능도 확인했다. 풀HD 보통 품질의 게임을 시뮬레이션하는 3D마크 스카이 다이버 테스트에서 패치 전후 동일하게 내장 그래픽으로 할 수 있는 최선의 성능을 보인다. 패치 전후  각각 4068점, 4046점을 기록했다.

 

연산 집약적 작업인 동영상 인코딩은 상황이 달랐다. MKV 50분짜리 영상 한 편을 MP4로 변환하는 핸드브레이크 테스트에서 패치 전 인코딩에 12분 55초가 소요된 반면 패치 후에는 2분가량 지체된 14분 38초가 필요했다. 인텔은 보안 패치가 일반 컴퓨터 사용자들에게 큰 문제가 되지 않을 것이며 다만 일부 작업에서는 초기에 영향이 있을 수 있겠지만 추가적인 패치 개선 등을 통해 영향이 완화될 것이라는 입장이다.

 

http://thegear.co.kr/15602