커지는 CPU 칩셋 보안결함.."PC 외 스마트폰도 패치해야"

서버나 클라우드와 비교하면 개인기기는 위험성 낮아

(서울=연합뉴스) 임화섭 기자 = 최근 공개된 '멜트다운'(Meltdown)과 '스펙터'(Spectre)라는 보안취약점은 서버·PC·스마트폰 등 컴퓨팅 기기의 중앙처리장치(CPU)에 존재하는 것으로 알려졌다.

이 중 멜트다운은 인텔 제품에만 있는 결함이지만 스펙터는 인텔뿐만 아니라 AMD·ARM 등 다른 CPU에도 존재한다.

이 두 보안결함이 실제로 악용된 것으로 알려진 해킹 사례는 아직 나오지 않았다.

문제가 생긴다면 복수의 이용자가 로그인하는 서버나 클라우드 서버에서 일어날 공산이 크지만, 원론적으로 보면 PC나 스마트폰 등 개인 사용자 한 명이 쓰는 기기도 안심할 수만은 없다.

지금 개인 PC 사용자가 할 수 있는 최선의 조치는 CPU 칩셋 업체와 운영체제(OS) 개발사가 배포하는 보안 업데이트와 패치를 적용하는 것이다.

만일에 대비해 브라우저를 업데이트하고 안티바이러스 프로그램을 켜 두는 것도 필요하다.

스마트폰 사용자는 구글과 애플이 배포했거나 곧 배포할 최신 보안 패치를 적용하면 된다.

인텔 칩 해킹 취약 결함(PG) [제작 이태호] 사진합성, 일러스트

◇ PC 사용자의 경우

▲ OS 업데이트

마이크로소프트(MS)는 윈도우 10, 8.1, 7 SP1용 긴급 업데이트 패치를 이미 내놨다. 사용자들은 '시작' 메뉴에서 '설정'→업데이트 및 보안→'Windows 업데이트'를 차례로 찾은 뒤 '업데이트 상태'에서 '업데이트 확인'을 눌러 보면 된다.

확인 결과 문제가 된 보안취약점을 막는 2018년 1월 4일자 업데이트 패치가 PC에 설치돼 있지 않다면, 직접 다운로드도 가능하다.

윈도우 10은 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892, 윈도우 8.1은 https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898, 윈도우 7 SP1은 https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897에서 각각 점검해서 내려받으면 된다.

애플은 지난달에 내놓은 맥OS(macOS) 하이 시에라 13.10.2에 멜트다운 취약점을 방어하는 업데이트를 이미 적용했다. 자동 업데이트를 하지 않도록 설정돼 있다면, 앱 스토어의 '업데이트' 탭에서 업데이트할 수 있다.

구글 크롬북의 경우 지난달에 나온 크롬OS 63 버전에 보안 패치가 반영돼 있다.

▲ 펌웨어 업데이트 점검

인텔·AMD·ARM 등 칩셋 업체들은 HP, 델, 레노버 등 각 PC 제조사를 통해 패치를 배포했거나 이른 시일 내에 배포할 예정이다. 다음 주 말까지는 최근 5년 사이에 나온 인텔 프로세서 탑재 제품 중 90% 이상에 대한 패치가 나올 것이라는 게 인텔의 예상이다.

최근에 나온 PC 중 상당수는 인터넷에 연결해 놓으면 칩셋 펌웨어 업데이트가 나온 사실을 자동으로 감지한 후 사용자 승인을 거쳐 업데이트를 적용하도록 설정돼 있다.

인텔이 자사 칩셋이 탑재된 PC에 펌웨어 업데이트가 돼 있는지를 점검해 주는 도구(https://downloadcenter.intel.com/download/27150)를 내놓았으므로, 이를 이용해 점검해 볼 수도 있다.

▲ 브라우저 업데이트

구글 크롬, MS 인터넷 익스플로러, 에지, 애플 사파리, 모질라 파이어폭스 등 주요 PC용 브라우저들은 문제가 되는 보안취약점을 방어하는 업데이트를 내놓은 상태다. 각 브라우저의 업데이트 메뉴에서 최신 업데이트를 반영하는 것이 바람직하다.

▲ 안티바이러스 업데이트

전통적인 안티바이러스 프로그램들은 지금 단계에서는 멜트다운이나 스펙터 보안취약점을 이용한 공격을 감지하지는 못한다. 하지만 이런 취약점을 이용해 악성코드가 PC에 심어지는 경우는 안티바이러스 프로그램으로 잡아낼 수 있다. 100% 막을 수는 없지만, 틀림없이 도움이 된다는 것이다.

이 때문에 안티바이러스 프로그램을 늘 최신으로 유지해서 사용하는 것이 바람직하다는 게 이번 취약점을 발견한 구글 보안 전문가들의 조언이다.

◇ 스마트폰 사용자의 경우

당분간 안드로이드폰이나 아이폰 등 스마트폰 사용자들은 매일 OS·보안·앱 업데이트를 하는 것이 바람직하다.

문제가 된 취약점들을 처음으로 발견해 인텔 등에 알린 구글은 이미 안드로이드용 보안 패치를 만들었으며, 이를 스마트폰 제조사나 통신사 등을 통해 금명간에 배포할 예정이다.

올해 1월 이후 나온 안드로이드 보안 업데이트에는 패치가 이미 적용돼 있으며, 구글은 앞으로 취약점 방어 능력을 더욱 높이는 추가 패치도 계획 중이다.

애플은 멜트다운 취약점을 막는 패치를 아이폰, 아이패드, 맥, 애플TV 등 자사 제품에 지난달 이미 적용했고, 며칠 내로 스펙터 취약점을 방어하기 위한 사파리 브라우저 업데이트를 배포할 예정이다.

[표] CPU 칩셋 업체·OS 개발사별 업데이트·패치

[자료제공: 한국인터넷진흥원(KISA)]

[참고 링크]

[1] https://googleprojectzero.blogspot.kr/2018/01/reading-privileged-memory-with-side.html

[2] https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

[3] http://www.amd.com/en/corporate/speculative-execution

[4] https://developer.arm.com/support/security-update

[5] https://lkml.org/lkml/2017/12/4/709

[6] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

[7] https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

[8] https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html

solatido@yna.co.kr

☞ 압구정 아파트 경비원 94명 전원 해고…최저임금 인상탓?

☞ 美 덮친 한파에 '냉동' 이구아나 속출…거북도 꽁꽁

☞ 피겨선수의 '위험한 다이어트'…거식증에 평창 포기

☞ 시민단체 경력 공무원 호봉 인정…한국당 "재검토해야"

☞ 동료 엽사가 쏜 총탄에 맞아 사망…"멧돼지로 착각"

▶연합뉴스 앱 지금 바로 다운받기~

<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>