마드리갈, 2022-09-02 17:56:49

조회 수: 114

지난 2018년의 시작을 뒤흔든 대사건 중에 인텔, AMD 및 ARM의 프로세서 모두가 보안문제에 취약한 멜트다운(Meltdown) 및 스펙터(Specter) 문제가 있었죠(인텔, AMD, ARM 프로세서 모두 해킹에 취약?! 참조). 이것은 CPU게이트라고 통칭된, 현대의 IT환경의 근간을 뒤흔드는 대사건으로 기록되었지만 운영체제의 개발사 및 각 컴퓨터 제조사의 소프트웨어적인 대응도 있었고 하드웨어적으로는 프로세서 개발사들이 새로운 아키텍처를 내놓으면서 근본적인 해법도 속속 실용화되고 있었어요. 일례로 당장 2018년이 끝나갈 즈음 인텔에서 새로이 서니 코브(Sunny Cove)라는 완전재설계의 아키텍처가 발표되기도 했으니까요(인텔의 새로운 아키텍처 서니 코브(Sunny Cove) 참조).

그리고 2022년 현재.

비록 코로나19 판데믹 상황하를 아직 벗어나지는 못했지만 IT기자재에는 세대교체가 상당히 빠르게 이어져 왔어요. 요즘은, 인텔 기준으로는 11세대 프로세서가 주류이고 12세대 프로세서도 시장을 넓혀가는 중이죠. 게다가 11세대 프로세서부터는 멜트다운 및 스펙터 문제가 완전히 해소되었다고 알려져서 올해에 노트북 신규구매를 단행하게 되었어요.

그런데, 지난달에 새로운 아키텍처를 채택한 프로세서에 이제까지 발견되지 않은 새로운 보안취약점이 있다는 게 알려졌어요.

인텔 프로세서에 대해서는 10세대, 11세대 및 12세대 프로세서의 사이드채널 비의존 취약점(Non-Side Channel Vulnerability)이 발견되어 이것이 에픽(AEPIC 또는 ÆPIC)으로 명명되어 있어요.

한편 AMD 프로세서의 경우 젠 1세대부터 젠 3세대에 걸친 모든 프로세서에 스큅(SQUIP)이라고 명명된 보안취약점이 있어요. 이것은 이 프로세서들이 동시멀티스레딩(Simultaneous Multithreading, SMT)에 의존하는 해당 프로세서에서는 피할 수 없는 것.

우선, 인텔의 에픽의 경우.

이전에 멜트다운 및 스펙터 문제를 전세계에 알린 오스트리아의 그라츠 공과대학(Graz University of Technology)은 물론 이탈리아 로마 사피엔사대학( Sapienza University of Rome), 독일의 CISPA 헬름홀츠 정보보안센터(CISPA Helmholtz Center for Information Security) 및 미국의 아마존 웹서비스(Amazon Web Service)의 연구자들이 찾아낸 것으로 이 결함은 CVE-2022-21233이라고 명명되었어요. 이 오류는 프로세서에 내장되어 인터럽트 요청을 관리하여 효과적인 멀티프로세싱을 가능하게 하는 고급 프로그램가능 인터럽트 컨트롤러(Advanced Programmable Interrupt Controller, APIC)에 영향을 주게 되어요. 만일 이 결함을 이용하게 된다면 사이드채널의 이용 없이도 옛 데이터를 훔쳐낼 수 있다는 것이죠. 일단 인텔에서는 위험도를 중간 정도로 평가했지만, 중간 정도라도 절대 방심할 수 없으니 안심할 수는 없어요.그나마 다행인 것은 아직 이 약점이 악용된 적은 없다는 것이지만...

해당 인텔 프로세서의 목록은 이하에 소개된 링크에서 볼 수 있어요.

Affected Processors: Transient Execution Attacks & Related Security Issues by CPU, 영어

AMD의 젠 프로세서 제품군은 다른 유형의 취약점에 노정되어 있어요.

이것은 스큅(SQUIP)이라는 이름 이외에도 AMD-SB-1039라는 이름으로도 CVE-2021-46778이라는 이름으로 알려져 있는 것으로, 인텔의 경우와는 달리 사이드채널 공격. 그리고 이것은 AMD 프로세서의 고유한 문제로, SMT 기술을 쓰지 않는 인텔 프로세서에서는 해당사항이 없는데다 AMD와 비슷한 설계방식을 채택했지만 SMT 기술이 적용되지 않은 애플의 고유 프로세서인 M1 및 M2 SoC에서도 일어나지 않아요.

이 결함을 악용할 경우 목표가 같은 물리코어 내의 다른 SMT 스레드 안에 있을 경우 4096비트의 리베스트-샤미르-에델만(RSA) 암호를 38분 안에 해독해 낼 수 있다고도 하고 있어요.

인텔과 마찬가지로 AMD 또한 이 위험을 중간 정도로 평가하고 있어요.

가능하면 윈도우즈 업데이트나 컴퓨터 제조사에 따른 펌웨어 업데이트를 실행하여 취약점을 보완해 놓는 것이 좋겠어요. 완성품의 경우는 각 제조사 웹사이트를, 그리고 자작품의 경우는 메인보드 제조사 웹사이트를 참조해 보실 것을 권해드려요.

이 게시물에 대한 정보 및 각종 참고자료를 하단에 소개해 둘께요.

우선, 보도기사부터.

New CPU architecture vulnerabilities: Intel 10th gen to 12th gen chips affected by AEPIC, SQUIP exploits loophole in all AMD Zen CPUs with SMT, 2022년 8월 16일 NotebookCheck 기사, 영어

AEPIC에 대한 정보는 이하의 전용사이트에 있어요.

ÆPIC Leak, 영어

그리고 각 제조사별 기술정보 안내.

2022.2 IPU - Intel® Processor Advisory, 영어

Execution Unit Scheduler Contention Side-Channel Vulnerability on AMD Processors, 영어

마드리갈

Co-founder and administrator of Polyphonic World

2 댓글

대왕고래

2022-09-03 23:13:33

하드웨어적이든 소프트웨어적이든 취약점이 있다는 건 골치아픈 일이에요.

업데이트를 제깍제깍하고 있어서 다행이긴 한데... 그래도 불안하네요.

마드리갈

2022-09-04 00:47:18

이번의 것은 진짜 허를 찔렸다는 생각밖에 들지 않을 정도였어요.

게다가, 처음으로 멜트다운 및 스펙터 문제가 하드웨어적으로 완전히 해소된 인텔 11세대 프로세서를 탑재한 노트북을 구입해서 쾌적하게 그리고 안전하게 컴퓨터를 쓰고 있는 도중에 알게 된 문제인데다 아직 해법도 완벽하다고 하기에는 턱없이 부족하니 말이죠...

노트북이 델에서 제조한 것이라서 델의 펌웨어 업데이트를 실시했는데 이걸로 충분한지도 아직은 확신할 수 없어요.

번호	제목	글쓴이	날짜	조회 수
공지	단시간의 게시물 연속등록은 권장되지 않습니다 new	SiteOwner	2024-09-06	45
공지	[사정변경] 보안서버 도입은 일단 보류합니다 update	SiteOwner	2024-03-28	147
공지	타 커뮤니티 언급에 대한 규제안내	SiteOwner	2024-03-05	159
공지	2023년 국내외 주요 사건을 돌아볼까요? 작성중 10	마드리갈	2023-12-30	348
공지	코로나19 관련사항 요약안내 612 update	마드리갈	2020-02-20	3835
공지	설문조사를 추가하는 방법 해설 2 file	마드리갈	2018-07-02	970
공지	각종 공지 및 가입안내사항 (2016년 10월 갱신) 2	SiteOwner	2013-08-14	5942
공지	문체, 어휘 등에 관한 권장사항	하네카와츠바사	2013-07-08	6554
공지	오류보고 접수창구 107	마드리갈	2013-02-25	11060
5828	무선호출기가 화제가 된 레바논의 동시다발 폭발사건 2 new	SiteOwner	2024-09-18	16
5827	평온히 추석이 끝나가는 중에 2033년 문제 1 new	SiteOwner	2024-09-17	19
5826	의외로 친숙한 페르시아어 어휘와 러시아 1 new	SiteOwner	2024-09-16	21
5825	"시골" 이나 "경향(京郷)" 에서 느껴지는 거부감 2 new	마드리갈	2024-09-15	27
5824	멕시코의 판사직선제가 초래할 것들 2 new	마드리갈	2024-09-14	29
5823	당장 추석연휴가 시작되는 마당에 여름 날씨라니... 4 new	마드리갈	2024-09-13	43
5822	생각보니 어제가 9.11 23주기였습니다. 8 new	Lester	2024-09-12	121
5821	다른 언어로 접하는 사안에서 느껴지는 기묘한 감각 new	SiteOwner	2024-09-11	34
5820	9월에 섭씨 35도(=화씨 95도)의 더위 new	SiteOwner	2024-09-10	36
5819	제대로 시작도 못하고 망한 게임들 소식 3 file new	대왕고래	2024-09-09	92
5818	관심사의 도약, 이번에는 양 사육에 대해서 간단히 2 new	마드리갈	2024-09-08	43
5817	이런저런 이야기 4 new	국내산라이츄	2024-09-07	68
5816	최근에 봤던 기묘한 고양이 이야기 4 new	마드리갈	2024-09-07	65
5815	츠미프라, 츠미프라 4 file new	마키	2024-09-05	80
5814	늦더워 속에서 생각난 지난 겨울의 축복의 말 2 new	마드리갈	2024-09-05	45
5813	여행해 오면서 후회한 것 2가지 4 new	SiteOwner	2024-09-04	72
5812	양궁 말고 10연패를 달성한 종목이 있다? 2 new	시어하트어택	2024-09-03	64
5811	대기업은 은행이나 언론사를 가지면 안되는 것일까? 2 new	마드리갈	2024-09-02	49
5810	창작 관련해서 몇 가지 이야기. 5 file new	시어하트어택	2024-09-01	81

로그인

첨부 (0)

태그 (0)

2 댓글

대왕고래

마드리갈

Board Menu

검색

정렬

목록

Board Links

Page Navigation

Recent Articles

Recent Comment

나눔글꼴 설치 안내

이 PC에는 나눔글꼴이 설치되어 있지 않습니다.