[BP/IT] 구글 보안팀 '프로젝트 제로'. AMD, ARM, INTEL CPU 취약점 제기

BP's : 구글 보안팀 '프로젝트 제로'가 AMD, ARM, INTEL 다수 CPU에 취약점이 있다고 제기했다.

이와 관련한 여러 가지 확인되지 않은 이야기들이 나오고 있는데, 구글 프로젝트 제로(Google Project Zero) 블로그를 참고하는 것이 좋다.

블로그에서 공개된 내용은 

AMD, ARM, INTEL 일부 CPU가 멜트다운, 스펙터 공격을 받을 수 있다는 것. 

멜트다운은 외부에서 어플리케이션과 OS 방어환경을 무너뜨려서, 메모리에 접근해 데이터를 취득하는 공격.

스펙터는 각 어플리케이션 방어 환경을 무너뜨려서 어플리케이션이 취급하는 데이터를 취득하는 공격이다. 

프로젝트 제로가 공개한 상세한 문제는  

1 : bounds check bypass (CVE-2017-5753)

2: branch target injection (CVE-2017-5715)

3: rogue data cache load (CVE-2017-5754)

1과 2번은 스펙터, 3번은 멜트다운 관련 공격. 

프로젝트 제로 팀은 이 문제를 확인하기 위해 다음 CPU를 대상으로 실험을 진행했다. 

인텔 하스웰 제온 CPU(Xeon(R) CPU E5-1650 v3 @ 3.50GHz)

AMD FX CPU(AMD FX(tm)-8320 Eight-Core Processor)

AMD PRO CPU(AMD PRO A8-9600 R7, 10 COMPUTE CORES 4C+6G) 

ARM Cortex A57(ARM Cortex A57 core of a Google Nexus 5x phone) 

각 실험을 진행한 결과 취약점을 확인했고, 이 취약점을 통해 민감한 정보가 유출될 수 있다고 설명하고 있다. 

기술적인 부분은 블로그에 자세히 기술해 놨다. 

각 제조사들은 이에 대한 지원 페이지를 공개했다.  

AMD : http://www.amd.com/en/corporate/speculative-execution 

ARM : https://developer.arm.com/support/security-update

Intel : 인텔은 취약점에 대한 구글 프로젝트 제로의 설명과 달리 실제 위협은 없다고 주장하고 있고, 아직 지원 페이지를 공개하지 않았다. 

취약점은 보안패치로 해결될 수 있으나, CPU에 성능이 떨어질 수 있다는 문제 제기가 나왔다. 

어떤 CPU, 어느 정도 수량에 잠재적인 취약점 문제가 있는지에 대해서는 추가 조사가 필요하다.  

가장 많은 CPU를 판매하는 인텔이 이번 문제에 대한 정확한 입장이 늦춰지고 있다. 

구글이 주장하는 내용에 대해서 AMD, ARM, 인텔이 반박하는 부분도 있기 때문에, 이 부분은 좀 더 지켜봐야할 것 같다. 

아무튼 2018년 새해 벽두부터... IT업계를 휘두를 엄청난 사건이 발생했다. 

프로젝트 제로 : https://googleprojectzero.blogspot.kr/