멜트다운 / 스펙터 / 인텔 / 가상화 IT/잡담

멜트다운(MeltDown)은 성능 향상을 위해 인텔 CPU에 도입된 비순차실행과 분기예측으로 인하여 사용자 프로세스가 OS커널에 속한 메모리 영역에 무단으로 접근할 수 있는 심각한 보안취약점이다. 이 보안취약점에 대한 인텔 홈페이지의 안내(Intel-SA-00088)에 가 보면 이러한 문제가 있는 제품군의 목록을 볼 수 있는데, 엄청나게 많다. -_-; 아래의 링크로 가면 볼 수 있다.

인텔 SA-00088 보안취약점(영문)

위의 링크에 제시된 이 문제에 영향을 받는 CPU 제품군은 아래와 같다.

코어 i3, i5, i7, M (45nm, 32nm)
코어 2세대~8세대 전부
인텔 코어 X 시리즈, X99 및 X299 플랫폼
제온 3400, 3600, 5500, 5600, 6500, 7500 시리즈
제온 E3, E3 v2~v6
제온 E5, E5 v2~v4
제온 E7, E7 v2~v4
제온 스케일러블
제온 파이 3200, 5200, 7200 시리즈
아톰 C, E, A, x3, Z 시리즈
셀러론 J, N 시리즈
펜티엄 J, N 시리즈

사실상 코어 프로세서 이후 거의 모든 인텔 CPU들이 이 문제에 노출되어 있다고 보면 되겠다. 얼마전에 공개된 인텔 관리 엔진(Intel ME) 취약점(SA-00086)에 이어 얼마 지나지 않아 또 하나의 대형 취약점이 나타났다. -_-; 인텔 CPU를 사용중이라면 OS 패치는 필수일 듯.

스펙터(Spectre)는 인텔뿐만 아니라 AMD, ARM CPU에도 존재하는 취약점으로, 사용자 프로세스가 다른 프로세스의 메모리 영역에 무단으로 접근할 수 있는 취약점이다. 커널 메모리에 접근하는 것은 아니므로 멜트다운에 비해서는 그나마 덜 심각하지만, 현재 PC와 스마트폰을 비롯한 상당수의 기기에 들어가는 현대 CPU의 구조 자체가 가진 일반적인 취약점이라는 것이 문제.

멜트다운과 스펙터 취약점에 대한 논문(영문)은 아래의 링크로 가서 pdf 파일로 다운로드할 수 있다.

MeltDown(pdf)

Spectre(pdf)

가상화(virtualization)에 대해 잠깐 생각해 보자면, 위의 취약점들은 접근하지 말아야할 메모리 영역에 무단으로 접근할 수 있는 취약점이므로 VM웨어(VMWare)나 버추얼박스(VirtualBox)처럼 하드웨어 전체를 가상화하는 경우에는 해당 가상머신만 영향을 받을 것이다.

즉, 깨끗한 호스트에서 가상머신으로 작업을 하다가 악성 코드에 감염되었을 경우 해당 악성 코드는 가상머신의 커널 메모리에는 접근할 수 있겠지만 호스트까지 가지는 못할 것이다. 성능이 좀 떨어지고 불편하긴 하지만 피해를 제한시킬 수 있다는 측면에서 개인 작업환경에서는 고려해 볼 만하다.

그러나 젠(Xen)이나 도커(Docker)처럼 커널과 드라이버를 공유하는 형태에서는 호스트까지 멜트다운과 스펙터의 영향을 받을 수 있는 여지가 있다. 클라우드 서비스에서 문제가 될 수 있다는 얘기는 이러한 맥락인 듯하다.



덧글

댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.

Google Analytics


B-Side


adsense(w160_h600)2

통계 위젯 (화이트)

37802
10875
1492470

ad_widget_2