하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

인텔과 AMD 칩셋의 렛블리드 취약점 해결한 리눅스 버전 곧 배포된다
등록일 :
2022.07.19
지난 주 보안 연구원들이 발견한 일종의 스펙터 취약점인 렛블리드가 리눅스 생태계에서는 해결될 것으로 보인다. 이미 패치된 버전의 개발이 완료되었으며, 이제 1주일 정도 후에 별 다른 이상이 없으면 배포되기 시작할 것이라고 한다. 하지만 이게 문제의 근본 해결책은 아니다.

[보안뉴스 문가용 기자] 리눅스 커널 개발자들이 렛블리드(Retbleed)라는 취약점을 성공적으로 해결했다. 렛블리드는 최근 발견된 스펙터(Spectre) 취약점의 일종으로, AMD와 인텔 프로세서에서 발견됐었다. 하지만 패치가 쉽지 않아 취약점이 해결된 버전인 리눅스 5.19의 유포는 1주일 정도 뒤로 늦춰질 전망이다.

[이미지 = utoimage]


리눅스 5.19는 렛블리드 취약점 해결만을 위해 개발된 것은 아니다. 인텔 GPU 컨트롤러를 위한 파일 시스템과 펌웨어와 관련된 문제들 역시 이번 버전을 통해 해결됐다고 한다. 최종 배포가 있기 전 다음 주말까지 추가 rc8이 있을 예정이라고 한다.

지난 주 취리히연방공과대학의 연구원들은 렛블리드라는 취약점에 대해 상세 보고서를 발표했다. 렛블리드는 멜트다운(Meltdown)과 스펙터라는 취약점으로부터 시작된 부채널 공격 혹은 추측실행 공격을 실시할 수 있도록 해 주는 취약점이다. 렛블리드는 취약점 익스플로잇 기법에 따라 스펙터-BTI(Spectre-BTI)로 불리기도 한다.

렛블리드는 그 동안 발견되어 온 다른 변종 스펙터들과 달리 return 명령과 관련이 있는데, 이는 매우 중대한 사안이라고 전문가들은 설명한다. 왜냐하면 현존하는 스펙터-BTI 보호 장치들을 무용지물로 만드는 것이기 때문이다. 즉 그 동안 다양한 스펙터 변종들이 발굴되면서 현대 프로세스들에 여러 가지 방어 장치들이 탑재됐는데, 그간의 노력들이 렛블리드 하나로 물거품처럼 사라지다시피 했다는 뜻이다.

렛블리드가 큰 화제가 된 후 인텔과 AMD는 각각의 칩셋에서 발견된 취약점들에 번호를 부여하고(인텔은 CVE-2022-29901, AMD는 CVE-2022-2990), 그에 맞는 보안 권고문을 발표했다. 여기에는 위험 완화와 관련된 내용들도 포함되어 있었다.

추측 실행 공격, 당분간 사라지지 않을 것
렛블리드가 발견되기 전인 올해 6월에도 허츠블리드(Hertzbleed)라는 취약점이 발견된 바 있었다. 허츠블리드 역시 인텔과 AMD 프로세서들에서 발견된 부채널 오류들을 익스플로잇 하는 공격 기법이었으며, 익스플로잇에 성공한 공격자들은 원격에서 낮은 권한을 가지고도 민감한 정보를 추측해 빼돌릴 수 있었다. CPU의 전력 쓰로틀링 현상을 관찰하는 것이 공격의 핵심이었다.

그 외에도 세계 여러 기관의 연구원들은 최근 몇 년 동안 멜트다운, 스펙터, SWAPGS와 같은 익스플로잇들을 개발했다. 멜트다운과 스펙터는 처음 발견되었을 때 전 세계적으로 큰 화제가 되었고, 그 후부터 지금까지 변종이 끊임없이 나오는 중이다.

이러한 부채널 공격 취약점들이 치명적인 이유는 소프트웨어 업데이트로 완전히 해결하는 게 불가능하기 때문이다. 그렇다고 문제가 되고 있는 추측 실행이라는 기능을 칩셋에서 빼버리면 성능이 현저하게 떨어지기 때문에 소비자들로부터 외면을 받을 수밖에 없다. 조금이라도 더 빠른 칩셋을 시장에 내놓는 게 지상 과제가 되어버린 상황에서 부채널 취약점은 남아 있을 수밖에 없다고 2019년 구글의 취약점 연구원들은 발표한 바 있다.

로그인VSI(Login VSI)라는 기업은 2019년 조사를 통해 멜트다운과 스펙터 패치들이 칩셋의 속도를 1/5 정도 낮춘다는 연구 결과를 발표하기도 했었다. 

하지만 일부 전문가들은 스펙터나 멜트다운과 같은 취약점은 익스플로잇 난이도가 매우 높아 사실상 위협이 되지 않는다고 주장하기도 한다. 실제로 이 두 취약점들을 통해 해킹 사고가 발생한 사례는 아직까지 보고된 바 없다. 하지만 멜트다운이나 스펙터와 같은 부채널 칩셋 취약점들은 클라우드나 가상 환경에서 더 치명적으로 작용할 것이라는 의견들도 나오는 중이다. 현재와 같이 클라우드와 가상 환경 도입이 가속화 될 경우 멜트다운과 스펙터가 실질적인 위협이 될 것이라는 전망이다. 

3줄 요약
1. 지난 주 렛블리드라는 칩셋 부채널 취약점 익스플로잇 공격 기법이 발견됨.
2. 이 취약점을 해결한 리눅스 버전이 나왔으며 1주일 정도 뒤에 배포될 예정.
3. 부채널 공격 기법은 앞으로 꾸준히 개발되고 나올 예정.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top