ClickCease 스펙터는 역사의 뒤안길로 사라진 줄 알았나요? 여전히 살아 숨 쉬고 있습니다 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

스펙터는 역사 속으로 사라진 줄 알았나요? 스펙터는 여전히 살아 있습니다.

2021년 3월 12일 - 2021 TuxCare 홍보팀

스펙터는 역사 속으로 사라진 줄 알았나요? 스펙터는 여전히 살아 있습니다.

사이버 위협은 수시로 등장하고 사라지지만, 일부 위협은 그 영향력으로 인해 지속적인 흔적을 남깁니다. 예를 들어, 최근 가장 널리 알려진 취약점 중 하나인 스펙터와 이와 밀접한 관련이 있는 멜트다운을 생각해 보세요.

사이버 위협이 좀처럼 사라지지 않을 때, 그것도 매우 눈에 띄는 취약점일 때는 더더욱 답답합니다. 최근 가장 위험한 익스플로잇 중 하나인 스펙터가 바로 그런 경우입니다. 패치가 적용된 시스템은 스펙터로부터 보호되지만, 스펙터 패치의 특성과 그로 인한 성능 저하로 인해 많은 수의 시스템이 패치를 적용하지 않은 상태입니다.

이로 인해 많은 주요 시스템이 스펙터에 취약한 상태입니다. 더 큰 문제는 공개적으로 액세스할 수 있는 새로운 Spectre 익스플로잇이 방금 발표되었다는 것입니다. 알고 보니 스펙터는 아직 죽지 않았습니다. 자세히 살펴보겠습니다.

콘텐츠

 

 

스펙터 소개

스펙터 소개

 

스펙터는 사실 서로 연관된 세 가지 취약점 중 하나입니다. 스펙터에는 두 가지 버전이 있으며, 세 번째 취약점은 멜트다운이라고 불립니다. 당시 보안 연구자들은 이 취약점들을 치명적이라고 불렀습니다. 다행히도 적절한 패치가 신속하게 배포되었지만 문제가 있었습니다.

 

 

스펙터 취약점은 어떻게 작동하나요?

스펙터 취약점은 어떻게 작동하나요?

 

먼저 스펙터가 어떻게 작동하는지 살펴봅시다. 취약점은 애플리케이션이나 운영 체제 코드의 오류나 감독 소홀 등 소프트웨어에 있는 경우가 많습니다. 하지만 스펙터 취약점은 하드웨어 취약점으로, 전 세계 모든 컴퓨터에서 사용되는 하드웨어, 즉 중앙 처리 장치 또는 CPU에 있습니다.

이 두 가지 스펙터 취약점과 멜트다운이 발견될 당시에는 인텔 칩부터 AMD 및 Arm 프로세서까지 사용 중인 거의 모든 CPU에 영향을 미쳤지만, CPU의 취약성 정도는 CPU 공급업체와 아키텍처에 따라 달랐습니다.

이 취약점은 프로세서 설계 방식의 하드웨어 결함에서 비롯된 것으로, 본질적으로 실리콘 수준의 문제입니다.

기술적으로 자세히 설명하지 않더라도 최신 프로세서는 복잡한 방식으로 CPU 명령을 처리합니다. 예를 들어, 명령어를 순서대로 실행하지 않고 추측적으로 실행합니다. 프로세서는 명령어 실행의 효율성을 높이기 위해, 즉 명령어를 더 빠르게 실행하기 위해 이 작업을 수행합니다.

스펙터와 그 사촌인 멜트다운은 최신 프로세서에서 명령어 실행이 처리되는 방식의 결함에 의존합니다. 이러한 결함을 조작하여 취약점을 악용하는 해커는 임의의 메모리 공간을 읽고 민감한 데이터를 얻을 수 있습니다.

 

 

스펙터 패치로 인해 합병증이 발생한 이유

스펙터 패치로 인해 합병증이 발생한 이유

 

스펙터는 하드웨어 취약점으로, 인텔과 AMD를 비롯한 CPU 공급업체는 스펙터의 위험을 완화하기 위한 패치를 발표했습니다. 패치는 기본적으로 CPU 마이크로코드를 업데이트하는 작은 소프트웨어였습니다.

CPU 마이크로코드에는 프로세서가 사용할 수 있는 명령어 목록과 명령어에 여러 단계가 있을 때 따르는 절차가 포함되어 있으며, 이는 투기성 및 순서 외 실행과 같은 실행 효율성을 처리하는 방식에도 영향을 미칩니다.

특정 CPU 기능에서 버그나 취약점이 발견되면 제조업체에서 마이크로코드가 포함된 패치를 발행하여 해당 명령어를 비활성화하거나 전혀 작동하지 않도록 하거나 명령어가 내부적으로 처리되는 방식을 변경할 수 있습니다. 하드웨어는 동일하지만 CPU의 성능은 약간 달라집니다.

공급업체들이 이 세 가지 취약점으로부터 교훈을 얻었기 때문에 일반적으로 사용되는 최신 버전의 CPU는 스펙터와 멜트다운에 덜 취약하도록 설계가 변경되었습니다.

일부 사용자는 패치를 실행하지 않았기 때문에 CPU 마이크로코드가 업데이트되지 않았습니다. 그러나 스펙터와 멜트다운으로부터 사용자를 보호하기 위해 배포된 패치와 함께 곧 더 큰 문제가 나타났습니다.

 

 

스펙터 CPU 패치의 성능 문제

스펙터 CPU의 성능 문제 패치

 

공급업체 패치에 포함된 CPU 마이크로코드의 변경 사항은 종종 CPU의 성능에 영향을 미쳐 이러한 CPU를 사용하는 서버에 영향을 미쳤으며, 일부 경우에는 허용할 수 없는 수준으로 영향을 미쳤습니다.

스펙터와 멜트다운은 CPU의 효율성을 높이는 정교한 기술의 결함을 악용했기 때문에 이러한 효율성에 영향을 미치지 않는 패치를 개발하는 것이 어려웠습니다. 인텔, AMD 및 기타 프로세서 공급업체의 취약점을 방지하는 패치가 출시되었을 때 이러한 명령어 실행 효율성을 일부 변경하거나 제한했습니다.

성능 문제가 빠르게 발생하여 모든 운영 체제와 대부분의 CPU에 영향을 미쳤습니다. 이러한 영향은 해당 CPU에 따라 달랐으며, 일부 인텔 칩은 AMD 프로세서보다 더 많은 영향을 받았습니다. 한 분석에서 하드웨어 사이트 ExtremeTech는 테스트 중에 다음과 같은 사실을 발견했습니다. 인텔 칩이 AMD 칩보다 5배 더 심각하게 영향을 받았습니다..

Microsoft는 또한 성능 영향을 다루는 기사를 게시하여 이후 세대에 비해 구형 CPU에 더 큰 영향을 미친다고 지적하면서 다음과 같이 제안했습니다. 일부 사용자는 성능이 눈에 띄게 저하될 수 있습니다..

 

 

OS 패치도 성능에 영향을 미쳤습니다.

OS 패치도 성능에 영향을 미쳤습니다.

 

스펙터와 그 사촌인 스펙터를 방어하기 위한 첫 번째 경로는 CPU 마이크로코드를 업데이트하는 패치를 이용하는 것이었습니다. 그러나 운영 체제 공급업체도 멜트다운과 스펙터를 방어하기 위해 패치를 출시했습니다.

CPU 패치와 마찬가지로 운영 체제에서 구현된 완화 조치도 성능 문제를 일으켰습니다. 운영 체제에서 완화는 운영 체제, 더 나아가 해당 운영 체제에서 실행되는 사용자 소프트웨어가 코드를 기계어 명령어로 변환하는 방식을 변경하여 이루어졌습니다. 즉, 기능을 수행하기 위해 어떤 CPU 명령어를 사용할지 결정합니다.

예를 들어, 2018년 말에 Linux Kernel 버전에 적용된 완화 조치로 인해 일부 워크로드의 성능이 최대 50%까지 저하된 것으로 나타났습니다. 이 경우 단일 스레드 간접 분기 예측기(STIBP)라는 완화 기능이 적용되었습니다. 성능에 미치는 영향이 너무 커서 리누스 토발즈가 직접 개입하여.

 

 

결과: 패치 적용 지연

결과: 패치 적용 지연

 

스펙터 패치가 성능에 미치는 영향이 널리 알려지면서 광범위하고 일관된 패치에 대한 장벽이 되었고, 이는 성능에 영향을 미치지 않는 경우에도 지속적으로 패치를 적용하는 데 있어 기업이 겪는 문제를 넘어서는 장벽이 되었습니다.

워크로드에 특정 성능 수준이 요구되는 경우, 심지어 효율성이 유일한 관심사인 경우에도 시스템 관리자는 패치로 인해 심각한 성능 및 안정성 문제가 발생할 수 있으므로 패치를 적용하지 않기로 결정하기도 합니다.

그 결과 스펙터와 멜트다운은 모두 알려진 취약점이지만, 사용자가 성능 문제를 우려하여 패치를 적용하지 않은 시스템도 많습니다. 대부분의 경우 시스템 관리자가 보안 위험을 방지하기 위해 가능한 한 효과적으로 패치를 적용하기 때문에 이는 비교적 특수한 상황입니다.

패치와 관련된 문제에도 불구하고 스펙터 취약점에 대해 비교적 긍정적인 측면이 하나 있었는데, 발견 이후 지금까지 스펙터에 대해 공개적으로 사용 가능한 익스플로잇이 발표되지 않았다는 점입니다. 지금까지는요.

 

 

VirusTotal DB란 무엇인가요?

VirusTotal DB란 무엇인가요?

 

공개적으로 공개된 취약점 익스플로잇에 대한 접근성은 취약점을 이전보다 훨씬 더 위험하게 만들 수 있습니다. 안타깝게도 스펙터의 경우 이제 처음으로 공개적으로 사용 가능한 익스플로잇이 등장했습니다. 이 익스플로잇은 최근 VirusTotal DB라는 웹사이트에 게시되었습니다. 먼저 VirusTotal DB가 무엇이고 어떤 용도로 사용되는지 살펴보겠습니다.

VirusTotal은 원래 스페인에서 개발되었지만 현재는 Google의 모기업인 알파벳의 후원을 받고 있습니다. 기본적으로 다양한 온라인 스캔 엔진과 바이러스 백신 제품을 한데 모은 애그리게이터입니다. 사용자는 파일을 업로드하여 검사할 수 있으며, 오탐지 여부를 확인할 수도 있습니다.

이 웹사이트는 안티바이러스 엔진과 웹사이트 스캐너부터 사용자 기여에 이르기까지 다양한 기여자의 도움을 받고 있습니다. 그리고 이러한 기여 중 하나에서 스펙터의 작동 익스플로잇이 발견되었습니다.

 

 

코드의 발견

코드의 발견

 

2021년 2월, 한 분석가가 VirusTotal에 기여를 추가하는 과정에서 사용자가 Linux를 실행하는 패치되지 않은 시스템에서 사용할 수 있는 Spectre용 작업 익스플로잇을 동시에 업로드한 것을 발견했습니다.

이 코드는 면역 캔버스라는 도구의 일부였습니다. 이 애플리케이션은 자동 침투 테스트를 수행합니다. 즉, 여러 익스플로잇에 대한 취약성에 대해 시스템을 테스트합니다. 이 회사는 이 특정 스펙터 익스플로잇을 테스트하기 위한 작업 도구를 개발했습니다.

하지만 이뮤니티 캔버스는 바이러스토탈에 코드를 제공하면서 익스플로잇 코드를 포함시켰습니다. 결국, 테스트 코드는 원래의 침투 테스트 도구 외부에서 사용할 수 있으며 적절한 수정을 통해 독립적으로 사용할 수 있습니다.

이 코드를 즉시 사용할 수 있는 것은 아닙니다. 코드를 사용하려는 당사자가 코드를 작동하는 익스플로잇으로 조작할 충분한 동기가 있어야 하지만, 바이러스 토탈에는 결단력 있는 공격자가 작동하는 스펙터 익스플로잇을 구축할 수 있는 충분한 코드가 있습니다.

 

스펙터 익스플로잇이 IT 업계에 미치는 영향

스펙터 익스플로잇이 IT 업계에 미치는 영향

 

이론상으로는 패치가 지속적으로 적용되는 환경에서는 현재 공개된 스펙터 익스플로잇이 아무런 위험을 초래하지 않습니다. 물론 이 글의 앞부분에서 설명했듯이 일부 Spectre 패치로 인해 발생하는 성능 저하로 인해 일부 사용자가 Spectre에 대한 패치를 적용하지 않기로 선택했다는 사실이 문제입니다.

이러한 성능 타격은 클 수 있습니다. 당연히 일부 기업에서는 성능 저하를 보완하기 위해 하드웨어를 크게 확장해야 하므로 보안 침해로 인한 위험이나 영향보다 성능 저하가 훨씬 더 심각하다는 분석을 내릴 수 있습니다.

이번 공개 익스플로잇을 통해 이러한 계산이 바뀌었습니다. 이제 익스플로잇 코드가 널리 퍼져 공격의 위험이 훨씬 더 높아졌습니다. 특히 스펙터에 취약한 시스템은 일반적으로 아직 일반적인 사용 Lifecycle 내에 있는 경우가 많습니다.

스펙터에 대한 패치가 적용되지 않은 시스템 사용자도 우려해야 할 또 다른 가능성이 있습니다. 스펙터와 멜트다운 취약점은 모두 밀접한 관련이 있습니다. 이제 한 취약점에 익스플로잇이 공개되었으므로 다른 취약점을 익스플로잇할 수 있는 작업 경로가 존재하며, 결단력 있는 공격자는 이 기회를 잘 활용할 수 있습니다.

이는 패치되지 않은 상당수의 시스템과 함께 공개적으로 눈에 띄는 익스플로잇의 퍼펙트 스톰으로 이어집니다. 성능에 대한 우려 때문에 완화 조치를 적용하지 않으려 했던 시스템 관리자와 기업은 이제 이를 재고하고 적용해야 합니다.

이를 계속 거부할 경우 매우 높은 비용으로 빠르게 확대될 수 있는 공격 및 침해 위험을 감수하고 있다는 점을 인식해야 합니다.

 

 

공개 스펙터 익스플로잇에 대한 보호

공개 스펙터 익스플로잇에 대한 보호

 

스펙터는 3년 전부터 널리 알려지고 공개된 취약점으로, 수년 동안 완화 방법이 제공되어 왔습니다. 보호되지 않은 채로 방치되어서는 안 되는 시스템은 거의 없습니다. 그러나 이러한 완화 조치는 배포된 시스템에 성능에 무시할 수 없는 영향을 미치기 때문에 시스템 관리자들은 이를 적용하기를 꺼려했습니다.

공개적으로 사용 가능한 스펙터 익스플로잇은 좋은 소식은 아니지만, 이를 방어하는 것은 어렵지 않습니다. 하드웨어용 패치가 출시되었고 운영 체제 공급업체도 효과적인 패치를 발표했습니다. 이 공개 익스플로잇은 패치가 적용된 시스템에서는 작동하지 않습니다.

시스템에 패치가 적용되지 않은 경우, 사용자는 성능에 영향을 미칠 수 있는 경우에도 스펙터 및 멜트다운에 대한 패치 조치를 취해야 합니다. 정말 간단합니다.

스펙터 익스플로잇이 공개되었으므로 시스템 관리자는 취약한 시스템에 스펙터에 대한 패치를 적용해야 하며, 성능에 영향이 있더라도 지금 바로 패치를 적용해야 합니다. 패치가 어려운 경우 시스템 관리자는 다음과 같은 도구를 사용할 수 있습니다. 중요한 시스템을 재부팅할 필요 없이 즉시 패치를 적용할 수 있는 KernelCare.

 

 

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기