꿈을꾸는 파랑새

오늘은 구글 크롬에서 멜트다운 버그와 스펙터 버그 임시 대처 방법에 대해 알아보는 시간을 가져 보겠습니다. 먼저 멜트다운 버그와 스펙터 버그는 2018년 1월 3일 구글에서 가장 먼저 발견을 하고 발표를 했으며 특정 CPU 아키텍처에서 발견된 중대한 보안 취약점에 대한 보안 취약점입니다. 원래는 해당 버그는 구글 측에서 2017년경 발견을 하게 되고 마이크로소프트와 리눅스 개발진 등에게 알려 보안 패치 등 필요한 조치를 하고 나서 2018년 1월 9일 공개할 예정이었지만 리눅스 패치를 지켜보던 사람들이 무엇가 이상함을 느끼게 되고 2018년 1월 초쯤에 무슨 버그인지는 정확히 모르겠지만, 인텔 CPU에 심각한 버그가 있다는 사실이 개발자들 사이에서 수상하게 생각을 하게 되고 결국은 2018년1월3일에 발표를 하게 된 버그입니다.

해당 버그들인 멜트다운은 사용자 프로그램이 운영체제 권한 영역을 훔쳐보는 버그이고 스펙터 는 한 사용자 프로그램이 다른 사용자 프로그램 메모리를 훔쳐보는 버그입니다.
멜트다운과 스펙터 취약점은 현대 CPU에서 사용하는 최적화 기법인 비순차적 실행(Out of Order Execution)과 투기적 실행(Speculative Execution)의 결과로 나타나는 프로세서의 상태 변화에 대한 부 채널 공격이며 CPU 명령어는 사용자에게는 차례로 실행되는 것처럼 보이지만, 내부적으로는 최적화를 위해 뒤쪽 명령어를 미리 실행한다든지 조건에 따라 분기되는 부분에서 가정을 세워 실행하는 등의 최적화를 수행하게 됩니다.

이렇게 미리 계산한 값이 맞으면 해당 값을 실제로 적용해 사용자에게 보여주지만 다르다면 해당 계산을 파기하는데 두 가지 취약점은 실제로는 실행되지 않는 파기된 계산에서 정보를 누출하는 공격을 수행할 수가 있는 버그입니다.

그리고 스펙터는 이보단 덜 심각하지만 그리고 구현하기도 어렵지만, 반대로 막기도 어렵다는 유령 같은 특징과 투기적 실행(speculative execution)의 어감을 살려 스펙트라는 이름이 붙여졌습니다. 그리고 인텔만 취약하다고 하지만 현재는 IBM POWER CPU, ARM 기반 프로세서를 쓰는 애플 기기들과 닌텐도 스위치도 취약한 부분도 있습니다.

멜트다운 버그에 취약한 인텔 CPU는 아래와 같습니다. 보시면 대부분의 인텔 CPU가 영향을 받는다는 것을 확인할 수가 있습니다.
펜티엄 제품군
Pentium XXX XXXXX
셀러론 제품군
Celeron XXXXX
코어 제품군
Core XXX XXXXX
코어 2 제품군
Core 2 Xxxxxxx XXXXXX
코어 i7 제품군
Core i7-XXXXX
코어 i5 제품군
Core i5-XXXXX
코어 i3 제품군    
Core i3-XXXXX
코어 X 제품군    
Core i9-XXXXX
Core i7-XXXXX
Core i5-XXXXX
제온 제품군
Xeon XXXXX
제온 E 제품군
Xeon E7-XXXX
Xeon E5-XXXX
Xeon E3-XXXX
제온 Platinum 제품군
Xeon Platinum XXXX
제온 Gold 제품군
Xeon Gold XXXX
제온 Silver 제품군
Xeon Silver XXXX
제온 Bronze 제품군
Xeon Bronze XXXX
아톰 일부 제품군
2013년 이후 출시된 전 제품
물론 이를 보호하는 보안 수칙은 있습니다.
컴퓨터 사용 환경을 제한할 것(Maintain control of your computing environment)
펌웨어/드라이버 업데이트를 주기적으로 확인할 것(Regularly check for and apply available firmware/driver updates)
하드웨어, 소프트웨어 방화벽을 사용할 것(Use hardware and software firewalls)
사용하지 않는 서비스를 끌 것(Turn off unused services)
적절한 사용자 권한을 유지할 것(Maintain appropriate user privileges)
보안 소프트웨어를 최신 상태로 유지할 것(Keep security software up to date)
알지 못하는 링크 클릭하지 말 것(Avoid clicking on unknown links)
여러 사이트에 패스워드 재사용하지 말 것(Avoid re-using passwords across sites)

입니다. 그리고 일단 사태가 심각해서 우선 윈도우 10 사용자를 먼저 해당 보안 취약점을 대한 보안 업데이트을 진행했습니다. 즉 지금 윈도우 보안 업데이트를 하지 않았을 때는 반드시 보안 업데이트를 진행을 하시면 됩니다. 그리고 브라우저에서는 파이어폭스는 파이어폭스 57.0.4로 업데이트를 진행을 했습니다. 그러나 구글 크롬 브라우저는 아직은 보안 업데이트가 이루어지지 않고 있습니다.
구글에서는 2018년1월23일에 보안 업데이트가 진행이 될 예정입니다. 만약 구글 크롬 63버전을 이용하고 있다고 하면 임시로 해당 취약점에 대응할 수가 있습니다. 먼저 구글 크롬을 실행을 시켜주고 나서 주소 부분에 chrome://flags/#enable-site-per-process를 입력을 해주고 엔터키를 눌러줍니다.

그리고 나서 Strict site isolation를 사용으로 변경을 해주면 됩니다. 일단 이렇게 조치를 하면 구글 크롬 사용자들은 안전하게 사용을 할 수가 있습니다. 그리고 스마트폰에서 제공하는 구글 크롬 같은 경우에도 마찬가지로 설정을 변경을 해주면 해당 보안 취약점을 해결할 수가 있을 것입니다.


728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band