미시건 대학을 비롯한 국제 연구팀 (the University of Michigan, the Belgian research group imec-Distrinet, Technion Israel Institute of Technology, the University of Adelaide and Data61)이 2008년 이후 출시된 인텔 프로세서에 있는 새로운 보안 취약점을 공개했습니다. 이들이 공개한 것은 Intel Software Guard Extensions (SGX)를 우회할 수 있는 보안 취약점으로 일반 PC 유저보다는 가상화 기술을 많이 사용하는 서버 및 클라우드 서비스에 큰 영향을 미칠 수 있습니다.
Foreshadow및 Foreshadow-NG라고 명명한 이 보안 취약점은 올해 1월 인텔에 알려졌으며 현재 연구팀은 인텔과 함께 이 보안 취약점을 해결하기 위해 연구를 진행하고 있습니다. SGX는 보안상 주요 데이터를 가상화 기술을 통해서 분리해 저장하는 기술로 사실상 독립된 컴퓨터 내부에 있어 침투가 어려웠으나 Foreshadow 보안 취약점은 이것이 완벽하지는 않다는 사실을 보여줬습니다.
(동영상)
나는 가상화 기술로 민감한 데이터를 저장하지 않으니까 문제가 없다라고 하기에는 이런 식으로 저장하는 보안 데이터 가운데 중요한 것들이 많습니다. 예를 들어 의료 데이터나 지문 데이터 같은 생체 인증 데이터 등이 그렇습니다. 서버에서 이런 주요 데이터가 털리게 되면 해당 기능을 사용하지 않는 사람에게도 큰 영향을 미치게 될 것입니다.
Foreshadow-NG 변종은 클라우드 서비스 사용자의 가상 PC의 보안을 허물어 아마존 AWS나 마이크로소프트 애저 같은 서비스에서 정보를 빼낼 수 있어 역시 광범위한 피해가 우려되고 있습니다. 이를 소프트웨어 패치로 해결할 수 없다면 문제가 꽤 심각할수도 있습니다.
세상에 결함없는 물건은 없게 마련이고 CPU 역시 완벽한 보안을 제공할 순 없겠지만, 생각보다 많은 문제가 있었는데 이제와서 밝혀졌다는 점이 새삼 놀라운 것 같습니다. 완벽한 보안은 없는 만큼 항상 데이터 유출 및 악성 코드에 대한 대비가 필요할 것 같습니다.
참고
댓글
댓글 쓰기