프라이빗 키 탈취 가능한 하드웨어 버그 발견

cpu chip

컴퓨터 내에 저장된 핵심 개인 정보를 탈취할 수 있는 두 개의 CPU 설계 버그가 발견되었다. 현재 시중에 있는 컴퓨터의 90% 이상이 이번에 발견된 두 개의 버그에서 자유롭지 못한 것으로 알려졌다.

이번에 발견된 버그는 각각 ‘멜트다운(Meltdown)’과 ‘스펙터(Spectre)’라 불린다. 인텔(Intel), AMD와 ARM 프로세서를 장착한 모든 기기(데스크톱, 노트북, 태블릿, 스마트폰)가 해당 버그에 취약하다.

멜트다운과 스펙터는 잘못된 칩 설계로 만들어진 운영체제와 칩의 메모리의 사이의 연결고리를 틈타 사용자의 컴퓨터에 침입한다. 근본적으로 운영체제와 칩의 메모리 사이에는 어떠한 연결 고리도 있어서는 안된다.

BBC 보도에 의하면 2011년 이후 생산된 비순차적 명령어 처리 기술이 적용된 인텔 칩은 멜트다운 버그에 취약하다. 시중에 유통되는 데스크톱과 노트북의 90%는 인텔 칩을 이용하는 것으로 알려져 있다.

AMD와 ARM이 만든 칩은 비순차적 명령어 처리 기술이 적용되지 않기 때문에 멜트다운 버그에 취약하지 않다.

멜트다운 버그의 경우 그 이름처럼 사용자의 보안 환경이 완전히 녹아내려 해커가 사용자 컴퓨터의 메모리상에 존재하는 모든 데이터에 자유롭게 접근할 수 있기 때문에 치명적이다.

스펙터 버그는 멜트다운보다는 덜 치명적이지만 더 많은 기기에 침투할 수 있다. 스펙터 버그의 경우 인텔, AMD, ARM이 장착된 모든 기기에 침투할 수 있는 것으로 밝혀졌다. 스텍터 버그는 사용자 컴퓨터에 침투해 사용자 컴퓨터 메모리상에 존재하는 내용의 일부를 훔쳐갈 수 있다.

CPU에 내장된 명령어를 통해 침투하는 스펙터는 스펙터(유령)이라는 이름처럼 스펙터 버그가 사용자의 컴퓨터에 침투해 있는지 탐지하고, 대응하는 것 자체가 매우 어렵다. 이러한 이유로 이번 버그를 발표한 구글보안기술팀(Google Project Zero)은 스펙터 버그에 대해 구체적인 내용을 밝히지 않았다. 

멜트다운과 스펙터는 동일한 제조사가 생산한 CPU 칩이 사용된 클라우드 서버에도 침투할 수 있기 때문에 여파는 더 커질 것으로 보인다.

BBC에 의하면 IT 업계는 해당 버그에 대해 오래전부터 알고 있었지만, 내부적으로 상호 기밀유지 협약(Non-disclosure agreement)을 체결하며 무려 6개월 동안 해당 사실을 은폐했다.

멜트다운과 스펙터 버그는 프라이빗 키(Private Key)가 존재하는 암호화폐 생태계에도 큰 영향을 끼칠 것으로 보인다. 이론상 해당 버그를 사용하면 유저의  프라이빗 키를 탈취하는 것이 가능해진다.

비트코인 코어 개발팀의 조나스 스크넬리(Jonas Schnelli) 개발자는 “당신의 컴퓨터가 안전하다고 생각하지 말라, 당신이 사용하는 암호화폐 지갑이 안전하지 않다는 보장은 전혀 없다. 무조건 하드웨어 월렛(Hardware wallet)을 사용하라.”라고 트위터를 통해 경고했다.

암호화폐 하드웨어 지갑을 제작하는 트레저(Trezor)와 레저(Ledger)는 공식 트위터를 통해 해당 버그는 트레저와 레저 나노(Ledger Nano) 하드웨어 지갑에 영향을 주지 않는다고 공식 입장을 내놓았다.