마드리갈, 2022-09-02 17:56:49

조회 수: 114

지난 2018년의 시작을 뒤흔든 대사건 중에 인텔, AMD 및 ARM의 프로세서 모두가 보안문제에 취약한 멜트다운(Meltdown) 및 스펙터(Specter) 문제가 있었죠(인텔, AMD, ARM 프로세서 모두 해킹에 취약?! 참조). 이것은 CPU게이트라고 통칭된, 현대의 IT환경의 근간을 뒤흔드는 대사건으로 기록되었지만 운영체제의 개발사 및 각 컴퓨터 제조사의 소프트웨어적인 대응도 있었고 하드웨어적으로는 프로세서 개발사들이 새로운 아키텍처를 내놓으면서 근본적인 해법도 속속 실용화되고 있었어요. 일례로 당장 2018년이 끝나갈 즈음 인텔에서 새로이 서니 코브(Sunny Cove)라는 완전재설계의 아키텍처가 발표되기도 했으니까요(인텔의 새로운 아키텍처 서니 코브(Sunny Cove) 참조).

그리고 2022년 현재.

비록 코로나19 판데믹 상황하를 아직 벗어나지는 못했지만 IT기자재에는 세대교체가 상당히 빠르게 이어져 왔어요. 요즘은, 인텔 기준으로는 11세대 프로세서가 주류이고 12세대 프로세서도 시장을 넓혀가는 중이죠. 게다가 11세대 프로세서부터는 멜트다운 및 스펙터 문제가 완전히 해소되었다고 알려져서 올해에 노트북 신규구매를 단행하게 되었어요.

그런데, 지난달에 새로운 아키텍처를 채택한 프로세서에 이제까지 발견되지 않은 새로운 보안취약점이 있다는 게 알려졌어요.

인텔 프로세서에 대해서는 10세대, 11세대 및 12세대 프로세서의 사이드채널 비의존 취약점(Non-Side Channel Vulnerability)이 발견되어 이것이 에픽(AEPIC 또는 ÆPIC)으로 명명되어 있어요.

한편 AMD 프로세서의 경우 젠 1세대부터 젠 3세대에 걸친 모든 프로세서에 스큅(SQUIP)이라고 명명된 보안취약점이 있어요. 이것은 이 프로세서들이 동시멀티스레딩(Simultaneous Multithreading, SMT)에 의존하는 해당 프로세서에서는 피할 수 없는 것.

우선, 인텔의 에픽의 경우.

이전에 멜트다운 및 스펙터 문제를 전세계에 알린 오스트리아의 그라츠 공과대학(Graz University of Technology)은 물론 이탈리아 로마 사피엔사대학( Sapienza University of Rome), 독일의 CISPA 헬름홀츠 정보보안센터(CISPA Helmholtz Center for Information Security) 및 미국의 아마존 웹서비스(Amazon Web Service)의 연구자들이 찾아낸 것으로 이 결함은 CVE-2022-21233이라고 명명되었어요. 이 오류는 프로세서에 내장되어 인터럽트 요청을 관리하여 효과적인 멀티프로세싱을 가능하게 하는 고급 프로그램가능 인터럽트 컨트롤러(Advanced Programmable Interrupt Controller, APIC)에 영향을 주게 되어요. 만일 이 결함을 이용하게 된다면 사이드채널의 이용 없이도 옛 데이터를 훔쳐낼 수 있다는 것이죠. 일단 인텔에서는 위험도를 중간 정도로 평가했지만, 중간 정도라도 절대 방심할 수 없으니 안심할 수는 없어요.그나마 다행인 것은 아직 이 약점이 악용된 적은 없다는 것이지만...

해당 인텔 프로세서의 목록은 이하에 소개된 링크에서 볼 수 있어요.

Affected Processors: Transient Execution Attacks & Related Security Issues by CPU, 영어

AMD의 젠 프로세서 제품군은 다른 유형의 취약점에 노정되어 있어요.

이것은 스큅(SQUIP)이라는 이름 이외에도 AMD-SB-1039라는 이름으로도 CVE-2021-46778이라는 이름으로 알려져 있는 것으로, 인텔의 경우와는 달리 사이드채널 공격. 그리고 이것은 AMD 프로세서의 고유한 문제로, SMT 기술을 쓰지 않는 인텔 프로세서에서는 해당사항이 없는데다 AMD와 비슷한 설계방식을 채택했지만 SMT 기술이 적용되지 않은 애플의 고유 프로세서인 M1 및 M2 SoC에서도 일어나지 않아요.

이 결함을 악용할 경우 목표가 같은 물리코어 내의 다른 SMT 스레드 안에 있을 경우 4096비트의 리베스트-샤미르-에델만(RSA) 암호를 38분 안에 해독해 낼 수 있다고도 하고 있어요.

인텔과 마찬가지로 AMD 또한 이 위험을 중간 정도로 평가하고 있어요.

가능하면 윈도우즈 업데이트나 컴퓨터 제조사에 따른 펌웨어 업데이트를 실행하여 취약점을 보완해 놓는 것이 좋겠어요. 완성품의 경우는 각 제조사 웹사이트를, 그리고 자작품의 경우는 메인보드 제조사 웹사이트를 참조해 보실 것을 권해드려요.

이 게시물에 대한 정보 및 각종 참고자료를 하단에 소개해 둘께요.

우선, 보도기사부터.

New CPU architecture vulnerabilities: Intel 10th gen to 12th gen chips affected by AEPIC, SQUIP exploits loophole in all AMD Zen CPUs with SMT, 2022년 8월 16일 NotebookCheck 기사, 영어

AEPIC에 대한 정보는 이하의 전용사이트에 있어요.

ÆPIC Leak, 영어

그리고 각 제조사별 기술정보 안내.

2022.2 IPU - Intel® Processor Advisory, 영어

Execution Unit Scheduler Contention Side-Channel Vulnerability on AMD Processors, 영어

마드리갈

Co-founder and administrator of Polyphonic World

2 댓글

대왕고래

2022-09-03 23:13:33

하드웨어적이든 소프트웨어적이든 취약점이 있다는 건 골치아픈 일이에요.

업데이트를 제깍제깍하고 있어서 다행이긴 한데... 그래도 불안하네요.

마드리갈

2022-09-04 00:47:18

이번의 것은 진짜 허를 찔렸다는 생각밖에 들지 않을 정도였어요.

게다가, 처음으로 멜트다운 및 스펙터 문제가 하드웨어적으로 완전히 해소된 인텔 11세대 프로세서를 탑재한 노트북을 구입해서 쾌적하게 그리고 안전하게 컴퓨터를 쓰고 있는 도중에 알게 된 문제인데다 아직 해법도 완벽하다고 하기에는 턱없이 부족하니 말이죠...

노트북이 델에서 제조한 것이라서 델의 펌웨어 업데이트를 실시했는데 이걸로 충분한지도 아직은 확신할 수 없어요.

번호	제목	글쓴이	날짜	조회 수
공지	단시간의 게시물 연속등록은 권장되지 않습니다 new	SiteOwner	2024-09-06	35
공지	[사정변경] 보안서버 도입은 일단 보류합니다 update	SiteOwner	2024-03-28	147
공지	타 커뮤니티 언급에 대한 규제안내	SiteOwner	2024-03-05	158
공지	2023년 국내외 주요 사건을 돌아볼까요? 작성중 10	마드리갈	2023-12-30	348
공지	코로나19 관련사항 요약안내 612 update	마드리갈	2020-02-20	3835
공지	설문조사를 추가하는 방법 해설 2 file	마드리갈	2018-07-02	970
공지	각종 공지 및 가입안내사항 (2016년 10월 갱신) 2	SiteOwner	2013-08-14	5940
공지	문체, 어휘 등에 관한 권장사항	하네카와츠바사	2013-07-08	6554
공지	오류보고 접수창구 107	마드리갈	2013-02-25	11060
5067	차이코프스키의 역설 2	마드리갈	2022-09-19	123
5066	진실과 거짓이 교차할때 음모론이 눈을 뜬다 6 file	마키	2022-09-18	237
5065	15년 전을 회상하며 2	SiteOwner	2022-09-17	113
5064	코로나19 감염도 오래전의 기억으로... 2	마드리갈	2022-09-16	116
5063	알파벳 Z는 미움받는다 4 file	마드리갈	2022-09-15	184
5062	[스톤 오션] 18화 - 타올라라 푸 파이터즈 3 file	시어하트어택	2022-09-14	119
5061	별다른 주제없이 이것저것. 2	마드리갈	2022-09-13	115
5060	[스톤 오션] 17화 - 타올라라 드래곤즈 드림 3 file	시어하트어택	2022-09-12	117
5059	[스톤 오션] 16화 - 교도관 웨스트우드의 비밀 3 file	시어하트어택	2022-09-11	122
5058	뱅드림(BanG Dream!)의 밴드 모르포니카(Morfonica) 2 file	마드리갈	2022-09-11	135
5057	러시아의 유럽 조롱영상 5	마드리갈	2022-09-10	136
5056	영국의 엘리자베스 2세 여왕이 서거했습니다. 5	시어하트어택	2022-09-09	236
5055	[스톤 오션] 15화 - 울트라 시큐리티 징벌방 4 file	시어하트어택	2022-09-08	114
5054	안면인식 기술을 여성의 히잡 착용 단속에 사용할 이란 35	마드리갈	2022-09-07	345
5053	[스톤 오션] 14화 - 사랑과 복수의 키스(2) 4 file	시어하트어택	2022-09-06	128
5052	북한이 협력대상이 아닌 것을 이제 안 것인지... 15	마드리갈	2022-09-05	216
5051	아르테미스 1호의 발사는 다시 늦춰졌지만... 8	SiteOwner	2022-09-04	140
5050	[스톤 오션] 13화 - 사랑과 복수의 키스(1) 4 file	시어하트어택	2022-09-03	114
5049	개인근황 + 작가수업 + 뉴스 등 종합세트 6	Lester	2022-09-03	178
5048	인텔과 AMD의 새 프로세서의 또다른 보안 취약점 2	마드리갈	2022-09-02	114

로그인

첨부 (0)

태그 (0)

2 댓글

대왕고래

마드리갈

Board Menu

검색

정렬

목록

Board Links

Page Navigation

Recent Articles

Recent Comment

나눔글꼴 설치 안내

이 PC에는 나눔글꼴이 설치되어 있지 않습니다.