스펙터 취약성에 대한 KernelCare 패치 출시 예정

6월 9일, Google의 엔지니어인 앤서니 스타인하우저는 Linux Kernel 메일링 리스트에 긴급한 글을 올렸습니다. 이 글에서 그는 인텔과 AMD 칩의 하드웨어 버그로 인해 Kernel이 패치된 후에도 서버가 스펙터 익스플로잇에 취약해진다고 지적했습니다. 다행히도 이 문제를 해결할 수 있는 패치가 KernelCare 팀에 의해 개발되고 있습니다. 첫 번째 패치는 6월 22일 주말에 제공될 예정입니다.

칩 결함으로 인한 서버 노출

스펙터 취약점으로 인해 서버는 추측 실행 공격에 노출됩니다. 즉, 서버가 기밀 데이터를 노출하는 불필요한 작업을 수행하게 한 다음 보호되지 않은 사이드 채널을 통해 데이터를 유출하는 공격입니다. 스타인하우저는 인텔과 AMD x86 프로세서의 논리 결함으로 인해 현재 스펙터 패치가 이러한 종류의 공격에 효과적이지 않다고 지적했습니다. 

그는 이러한 공격으로부터 보호하기 위해 제조업체가 투기성 저장소 우회 비활성화(SSBD) 방어를 최적화했다고 설명했습니다. 이 방어 방식이 대안인 모델별 레지스터(MSR) 쓰기 작업보다 비용이 적게 들기 때문에 이 방식을 선택했습니다. 하지만 칩의 논리 결함으로 인해 SSBD 최적화를 사용하여 SSBD 자체를 비활성화할 수 있기 때문에 이러한 결정이 문제가 되고 있습니다. 

스타인하우저가 지적한 또 다른 스펙터 방어 기능인 간접 분기 예측 장벽(IBPB)이 특정 상황에서 Linux에 의해 강제로 비활성화될 수 있다는 문제도 있습니다. 또한 그는 이러한 상황을 피하기 위해 사용되는 설정이 작동하지 않는다고 썼습니다: 

"현재 간접 분기 추측을 강제로 비활성화한 후에도 PR_SPEC_FORCE_DISABLE 옵션을 사용하여 간접 분기 추측을 활성화할 수 있습니다. 또한 PR_GET_SPECULATION_CTRL 명령은 나중에 잘못된 결과(실제로는 활성화되어 있는데 강제로 비활성화됨)를 제공합니다."

수정이 진행 중입니다.

현재 KernelCare 운영팀은 이러한 하드웨어 버그를 해결할 새로운 패치를 개발 중입니다. 이들은 스펙터 취약성에 대해 잘 알고 있으며, 스타인하우저가 발견한 내용에 대한 연구에 따라 자체 패치 코드를 작성하고 있습니다. 

팀이 효과적이라고 판단되는 패치 코드를 작성하면 SSBD 및 IBPB 익스플로잇을 재현한 다음 코드를 테스트하여 해당 익스플로잇을 방어하는지 확인합니다. 코드가 자체적으로 문제를 일으키지 않으면서 이러한 보안 문제를 해결한다는 확신이 들면 팀은 KernelCare 패치 서버에 업로드하고 클라이언트에 배포합니다. 

새 패치는 6월 22일 주말에 준비될 예정입니다. 

KernelCare가 이러한 하드웨어 기반 취약성으로부터 서버를 보호하는 방법에 대해 추가로 궁금한 점이 있으면 언제든지 KernelCare 팀에 문의하시기 바랍니다.