로그인 바로가기

중앙 내용으로 바로가기

한국디지털융합직업전문학원

본문내용

본문

정보보안&해커 뉴스
+ Home > 입학신청 > 정보보안&해커 뉴스
마이크로소프트, “멜트다운과 스펙터 패치하면 컴퓨터 느려진다”
  • 작성자
    황혜리
  • 등록일
    2018-01-15 10:24:34
    조회수
    1620

 

최근 각 프로세서에서 발견된 취약점 패치 시 성능 저하 “공식” 확인
서버 측에서 성능 저하 특히 치명적...“하지만 하는 편이 안전”



 

마이크로소프트가 마이크로프로세서에서 발견된 취약점을 패치하면 윈도우 시스템 속도가 눈에 띄게 떨어진다고 공식적으로 발표했다. 인텔, AMD, ARM 프로세서의 취약점을 패치하면 윈도우와 리눅스 시스템의 속도가 크게 떨어질 거라는 우려가 있어왔던 건 사실이지만 윈도우를 만든 당사가 이를 공식화시켰다는 건 이 사안의 무게감을 달리 한다.

 

멜트다운(Meltdown)과 스펙터(Spectre) 취약점은 ‘패치하면 끝’의 문제가 아니라는 건 일찌감치 제기된 문제였다. 안전해지는 대신 속도가 떨어진다는 리스크가 있었기 때문이다. 일부 전문가들 사이에선 30%까지 속도가 떨어질 거라는 예상도 나왔다. 비공식적인 실험 결과가 일부 커뮤니티에서 돌아다니기도 했었다.

그런 가운데 마이크로소프트는 자사 블로그를 통해 윈도우 체제의 서버들이 큰 속도 저하를 겪게 될 것이라고 경고했다. 2015년 및 그 이전에 출시된 프로세서가 탑재된 윈도우 7과 윈도우 8 클라이언트 기기들 역시 사정은 비슷하다고 설명하기도 했다. 윈도우 10이 설치된 플랫폼에서도 속도 저하가 발생하긴 하지만, 윈도우 7과 8만큼은 아니다.

그러면 어떻게 하란 말일까? 마이크로소프트의 커뮤니케이션 책임자인 프랭크 쇼(Frank Shaw)는 “안전만 생각한다면 OS, 브라우저, 마이크로코드에 대한 패치를 전부 실시해야 한다”고 말한다. “윈도우 10 클라이언트 기기들 중 최신 마이크로프로세서인 2016년형 스카이레이크(Skylake), 카비레이크(Kabylake) 혹은 그 이후에 출시된 CPU가 탑재된 것들은 패치 후 성능 저하가 발생합니다. 하지만 사용자가 체감하기 힘든 수준이죠.”

윈도우 10 기기들 중 하스웰급 혹은 그 이전 세대 마이크로프로세서가 탑재된 것이라면 어떨까? “사용자들도 체감할 수 있을 정도의 성능 저하가 나타납니다.” 윈도우 7과 8이 설치된 오래된 기기라면 이 체감의 정도가 더 심해진다고 쇼는 설명한다.

“스카이레이크급 이상 되는 CPU의 경우, 인텔이 스펙터 관련 패치를 해도 성능 저하를 최소화할 수 있도록 조종했다는 걸 먼저 밝히고 싶습니다. 윈도우 7과 8 등 오래된 윈도우가 설치된 시스템에서 발생하는 시스템 저하 문제는 사용자와 커널 사이의 이행이 보다 용이하고 단순하게 일어날 수 있도록 설계되어 있기 때문에 더 심해지는 겁니다. 이와 관련된 벤치마크 성능 데이터는 조만간 공개할 예정입니다.”

마이크로소프트는 현재 성능 저하를 최소화시킬 수 있는 방법을 연구 중에 있다고 한다. 일반 사용자들의 클라이언트 기기에서보다 서버에서 이 이슈가 심각한 문제를 발생시킬 수 있기 때문이다. “윈도우 서버에서의 패치 후 성능 저하가 더 심각한 것으로 나타났습니다. 속도와 안전 간의 균형 문제가 보다 미묘하고 치명적으로 작용할 것으로 보입니다.”

그렇다면 최근 발표된 윈도우 업데이트에는 뭐가 포함되어 있을까? “스펙터를 대비하기 위해 컴파일러를 변경하고 마이크로소프트 엣지 브라우저와 인터넷 익스플로러 11 브라우저를 강화했습니다. 자바스크립트로 실행되는 익스플로잇을 방어하는 데에 주요 목적이 있었습니다. 이 픽스의 경우, 프로세서의 마이크로코드 업데이트를 필요로 하지 않습니다.”

스펙터 브랜치 표적 주입(Spectre Branch Target Injection) 취약점(CVE-2017-5715)의 경우, 마이크로소프트는 패치를 통해 부채널(side-channel) 통신 프로세스에 위험성이 높은 시나리오가 발생할 때 새로운 CPU 명령이 호출되도록 했다. 이 패치는 마이크로프로세서 자체의 업데이트가 함께 진행되어야만 한다.

다음은 멜트다운 공격이다. 가짜 데이터 캐시(Rogue Data Cache) 공격 취약점(CVE-2017-5754)의 경우, 마이크로소프트는 “커널과 사용자 모드 페이지 테이블들을 고립시켜 멜트다운 공격 자체가 성립되지 못하도록 했다”고 밝힌다. 이 패치는 마이크로코드 업데이트를 필요로 하지 않는다.

또한 마이크로소프트는 서버 관리자들에게도 권장 사항을 발표했다. “서버의 물리층위에 취약점 약화 작업을 진행해 서버 내 가상화된 워크로드를 격리시키는 것이 좋습니다. 가상 기기 환경을 보호하기 위해 애저의 업데이트는 이미 완료된 상태입니다. 온프레미스 서버의 경우, 기기에 맞는 마이크로코드 업데이트를 물리 서버에 적용하는 게 최선입니다.”

결국에 남는 질문, “하느냐, 마느냐”
패치가 이렇게나 혼란스러우면, 하지 않아도 괜찮은 건 아닐까? 마이크로소프트의 쇼는 “신뢰받지 못하는 애플리케이션들을 전혀 설치하지 않았다는 전제 하에, 일부 전문가들은 분명히 마이크로코드 패치를 실시하지 않을 것”이라고 예측했다. “CPU 외에 모든 것이 안전하다면, 그래서 보안에 대해 걱정할 것이 없는 환경이라면, 그래도 괜찮습니다.”

그러나 그의 설명은 이어진다. “윈도우 클라이언트가 신뢰도가 낮거나 없는 코드와 상호작용하는 방법은 굉장히 많습니다. 그 중 하나가 인터넷 브라우저를 통해 띄운 웹페이지에 올라와 있는 광고들이죠. 아니면 출처가 불분명한 앱을 다운로드 받고 설치하는 것도 그러한 상황 중 하나고요. 위험이 무수히 도사리고 있는 가운데 사용자에게 권장하는 건, 항상 윈도우 업데이트를 실시하는 것과 마이크로코드 업데이트를 적용하는 겁니다.”

쇼는 “결국 칩과 OS와 연결된 하드웨어 문제”라고 이 사태를 정리한다. “마이크로소프트는 패치 시 일어날 일을 고객들에게 투명하게 알리고 싶었습니다. 회전 디스크(spinning disk)를 사용한다면 별다른 영향이 없을 것이고, 반도체 디스크(solid state disk)를 사용한다면 체감될 거라고 보면 됩니다.”

또한 아직까지 이 취약점들을 실제 공격에 활용한 사례나 익스플로잇이 발견된 바가 없다는 걸 그는 지적한다. “이는 공격이 일어나기 힘들 거라는 뜻이 아니라, 뭔가 조치를 취할 시간이 우리에게 주어졌다는 뜻입니다. 그 시간 동안 먼저 윈도우와 애플 OS 업데이트는 해두는 편이 안전합니다. 그런 다음 각 제조사별로 마이크로코드 업데이트를 배포하면 순차적으로 적용하는 편이 좋고요.”

현재까지 마이크로포스트는 45개 윈도우 버전들 중 41개에 대한 패치를 내놓았다. 나머지 네 개 역시 곧 발표될 예정이라고 블로그를 통해 밝히고 있다.

 

 

 

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

[국제부 문가용 기자(globoan@boannews.com)]

 

 

#패치   #공식   #멜트다운   #스펙터   #인텔   

 

목록보기
답글달기수정하기
삭제하기

관련 쪽지글