오스트리아 그라츠 공과대학(GUT)과 구글의 보안 분석 유닛인 프로젝트 제로(Project Zero) 팀 등 학계와 정보기술업계 보안 전문가들은 지난해 이 문제를 발견했다고 3일(현지시간) 공개했다.
이 결함은 x86 아키텍처 기반 CPU에 존재하는 것으로 이를 사용하는 윈도우와 리눅스, 맥 등 거의 모든 운영체가 해당된다. 게다가 이 취약점을 보완하는 패치를 적용할 경우 사용자의 PC 성능이 최대 30% 저하되는 것으로 나타났다.
◇ 인텔, AMD, ARM홀딩스 CPU 치명적 결함 발견
구글 프로젝트 제로 팀은 악의적인 해킹 공격으로 피해가 발생했다는 보고는 아직 없지만 인텔, AMD, ARM홀딩스의 반도체 칩에서 해킹에 취약한 보안 결함인 '멜트다운'과 '스펙터'에 대한 심각한 버그 픽스가 발견돼 지난해 6월 인텔에 통보했다고 밝혔다.
이번에 확인된 결함 중 하나인 멜트다운은 1990년대 중반 이후 생산된 거의 모든 프로세서에서 발견되는 것으로 해커들이 취약점을 파고들 경우 커널 메모리에 저장된 암호는 물론 사진과 이메일, 문서, 채팅 메시지 등 컴퓨터에 저장된 거의 모든 데이터를 손쉽게 빼갈 수 있어 사상 최대 해킹 참사가 우려되는 실정이다.
CPU는 보안을 위해 응용프로그램의 CPU의 캐시 메모리 접근을 막는 구조지만 CPU에 적용된 비순차적 명령어 처리 기술(OoOE)의 버그를 악용해 만들어진 멜트다운을 이용하면 응용프로그램이 CPU의 캐시 메모리에 접근할 수 있어 보안에 큰 구멍이 생긴다. 보안 업계는 1995년 이후 생산된 대부분의 X64 아키텍처 기반 CPU가 이 멜트다운에 노출될 수 있다고 지적했다.
조사에 참여한 그라츠 공과대 대니얼 그러스 박사는 "멜트다운은 지금까지 나온 CPU 결함 중 최악에 꼽힐 것"이라고 말했다.
스펙터는 CPU 내 명령어의 버그를 악용해 애플리케이션에 보호된 메모리 내부를 들여다 볼 수 있다. 인텔은 물론 PC와 모바일, 자동차 등 전장 시스템에 주로 공급하는 AMD와 ARM홀딩스 제품군에서도 스펙터가 확인됐다.
마이크로소프트와 구글 등은 이 문제를 확인한 뒤 멜트다운 긴급 패치를 적용했지만 스펙터는 아직 해결책을 찾지 못했다. 구글 프로젝트 제로 팀은 "스펙터 버그는 당장 결함을 해결할 수 없어 상당한 시일이 소요될 것"이라고 밝혔다. 다만 보안 결함을 해결하기 어려운만큼 이를 악용하기도 어려워 제품 사용자들에게 즉각적인 위협은 되지 않는다고 설명했다.
AMD 칩은 PC에서 흔히 사용되지만 ARM 칩은 자동차와 가전제품을 포함한 대부분의 스마트폰과 인터넷 연결 제품에 사용된다. 특히 지난해에만 2억3천만대가 팔린 아이폰 등 애플 주요 제품에도 ARM 칩이 탑재된다. 애플은 결함을 즉각 확인하고 맥북과 아이폰의 보안 문제를 해결하기 위한 조치에 들어갔다고 밝혔다.
스펙터에 의한 해킹 가능성이 낮은 반면 인텔은 멜트다운 결함까지 확인돼 타격이 불가피한 상황이다.
◇ 클라우드 보안 위협
인텔과 AMD, ARM홀딩스는 피해 가능성이 제한적이라며 펌웨어 업데이트를 통한 버그 픽스를 단행했다. MS는 4일 윈도우10 제품을 대상으로 우선 자동업데이트가 이루어져 당장의 피해는 차단했지만 보안 전문가들은 임시방편에 불과하다며 근본적인 해결책이 필요하다고 지적했다.
이 버그는 인터넷 기반의 클라우드 컴퓨팅 서비스에도 영향을 미친다. 아마존, MS, 구글, IBM 등이 제공하는 클라우드 서비스는 기업들이 데이터 센터, 웹 호스팅, 비지니스 운영 등에 필요한 여러가지 서비스에 접근할 수 있도록 지원한다. 이러한 서비스를 이용하는 컴퓨터의 상당수가 인텔, AMD, ARM홀딩스의 CPU를 사용한다.
보안회사 프루프포인트(Proofpoint)의 사이버 보안 담당 라이언 칼렘버(Ryan Kalember) 수석 부사장은 "이 버그는 무단으로 접속하는 것을 탐지하기 어려워 클라우드 컴퓨팅 제공 업체들도 이러한취약성으로부터 보호장치를 마련해야 한다"고 지적했다. 그나마 이들 업체들이 수개월 전부터 이 문제를 파악했기 때문에 대응책을 마련 할 것이라고 말했다.
◇애플·삼성·화웨이 등 등 수십억 대의 스마트폰에도 영향
ARM 아키텍처를 사용하는 거의 모든 모바일 장치도 해킹 공격의 위험에 놓이게 됐다.코어텍스 A8, A9, A15, A17, A57, A72, A73 및 A75 칩이 해당 된다. 가장 일반적인 64비트 CPU인 A53 코어는 빠졌다.
삼성, 퀄컴, 미디어텍, 화웨이 등 주요 ARM 라이선스 업체들은 직접 해당 모바일 칩을 생산해 모바일 기기 제조사들에 공급하거나 직접 이 칩셋을 자사 스마트폰 모바일 제품에 적용하고 있다.
ARM 코어텍스 프로세서는 거의 모든 안드로이드 및 iOS 스마트폰, 일부 엔비디아 Tegra, 퀄컴 스냅드래곤, 삼성 엑시노스, 소니 플레이스테이션 Vita에 사용됐다.
구체적으로 어떤 모델이 취약점의 영향을 받는 프로세서를 탑재했는지 워낙 광범위해 일일이 파악하기는 힘들지만, 현재까지 알려진 바로는 코어텍스 A8, A9, A15는 아이패드, 1세대 아이패드 미니, 아이폰4 / 4S / 5 / 5C, 아이팟 터치 4G / 5G 및 애플TV 2G / 3G에 사용된 것으로 알려졌다. 엔비디아 Tegra 2 / 3 / 4 / K1, 삼성 엑시노스 3110 / 4 / 5 칩도 ARM 프로세서를 사용했다.
화웨이 A73 코어 기반의 Kirin970 칩셋은 하이엔드 스마트폰인 메이트10과 메이트10 프로에 사용된다. A57 기반의 삼성 엑시노스7420 옥타는 갤럭시S6에 적용됐다. 퀄컴 스냅드래곤 650 MSM8956 프로세서는 소니 엑스페이라 X 등에 폭넓게 사용된다.
애플은 코어텍스 A9 기반의 A5 칩셋을 아이폰4S를 비롯해 초기 아이폰3GS와 아이폰4에도 취약한 ARM 칩셋을 사용했다.
미디어텍의 코어텍스 A72 CPU 기반 헬리오 X20은 샤오미 레드미 프로 등 광범위한 중국산 스마트폰에 적용됐다.
구글은 안드로이드 긴급 패치를 공개했지만 안드로이드 스마트폰 제조사들이 자체 커스터마이징 설계에 맞는 패치를 지원하도록 독려하고 있다. 애플은 어떤 장치가 영향을 받았는지에 대해 공개하지 않았고 아직 관련 보안 업데이트도 제공하지 않고 있다.
◇ 결함 CPU가 내장된 컴퓨터 사용자가 해야 할 일
일반 개인 사용자가 컴퓨터 보안을 위해 할 수 있는 일은 극히 제한적이다.
미국 연방 컴퓨터 비상 침해 대응팀(US-CERT)은 "이 취약점을 완전히 제거하기 위해서는 수백만대의 컴퓨팅 장치에 내장된 하드웨어를 교체해야 한다"고 경고했다.
해당 CPU가 내장된 컴퓨터를 사용하는 개인이나 기업에게는 하늘이 무너지는 얘기가 아닐 수 없다. PC나 스마트폰 등을 통째로 갈아야 한다는 얘기로 피해 액수로 환산한다면 컴퓨터 장치가 개발된 이래 가늠할 수 없는 역사상 최고액이 될 것으로 보인다.
근본적인 대책은 아니지만 그나마 칩 메이커와 보안기술 업체들이 이 문제를 해결하기 위해 머리를 맞대면서 긴급 보안 패치 적용으로 취약점을 완화시키고 있어 당장 발생할 수 있는 해킹 참사를 차단하고 있다.
구글 프로젝트 제로 팀은 9일 이번 'CPU 게이트' 문제를 공개할 예정이다. 최초 발견 시점으로부터 6개월이 지났지만 보안 문제가 해결되지 않은 상태에서 공개할 경우 해커들이 이같은 결함을 악용할 가능성이 높아 공개 시점을 미뤄왔다고 설명했다. 프로젝트 제로 팀은 현재 인텔과 AMD, ARM홀딩스와 이 문제를 협의 중에 있다고 덧붙였다.
컴퓨터 보안 전문가인 롭 그래함(Rob Graham)은 자신의 블로그를 통해 "MS. 애플, 리눅스 등에서 최신 업데이트를 다운로드하면 문제는 해결되며 걱정할 필요가 없다"며 "만약 최신 업데이트를 하지 않을 경우 심각한 문제가 생길 수 있음을 우려해야 한다"고 강조했다.
◇ 인텔 CEO, 치명적 결함 알려지기 전 주식 255억원 어치 매각 논란
한편, 3일 치명적인 보안 결함이 알려지면서 창사 이래 최대 위기를 맞은 인텔의 주가는 3.4% 급락했다. 게다가 브라이언 크르자니크 인텔 최고경영자(CEO)가 본인이 보유한 인텔 주식 2천400만달러(255억원)어치를 작년 가을에 팔아치운 사실이 드러나면서 더욱 심각한 문제가 되고 있다.
구글이 통보한 6월 이후 제품에 치명적인 보안 결함이 알려져 주가에 영향을 미치기 전 경영진이 발을 뺀 것이라는 의혹을 사고 있어 도덕적 해이(Moral Hazard)라는 비판에도 직면했다.
일부 소비자들은 "PC와 스마트폰의 하드웨어를 다 뜯어내 바꿔야 하는 상황인데, 인텔 경영진은 자신들의 이익을 위해 이를 덮고 주식을 몰래 매각해 막대한 이익을 취했다"며 비판하고 나섰다.
특히 크르자니크 CEO는 언론과의 인터뷰에서 "보안 취약점이 악용되지 않았고 이를 보완하는 수정이 이뤄질 것"이라고 약속하는 등 책임 문제에 대해서는 함구해 공분을 사고 있다.
인텔은 24년 전인 1994년에도 초기 펜티엄 프로세서의 설계가 잘못돼 연산 오류를 일으킨다는 사실이 드러났는데도 "대부분의 사용자에게는 문제가 없다"며 덮으려다 여론의 질타를 받고 전량 교체해준 사례가 있다.
하지만 1995년 이후 생산된 거의 모든 CPU 제품군에서도 치명적 결함을 가진 사실이 드러나면서 창사 50년 만에 최대 위기를 맞게 됐다.