주요 메뉴 바로가기 (상단) 본문 컨텐츠 바로가기 주요 메뉴 바로가기 (하단)
로고

4년째 열려 있었다고? 라이젠 CPU 보안 ‘경보’

조회수  

11

출시된 지 4년 된 CPU에 보안 결함이 발견됐다. 구글 보안 연구팀은 AMD Zen 2 아키텍처를 기반으로 만든 CPU에 보안 취약점이 발견됐다고 7월 24일(현지시간) 발표했다.

보안 취약점은 ‘젠블리드(Zenbleed)’로 알려졌다. AMD 아키텍처 이름인 ‘젠(Zen)’과 피를 흘린다는 뜻의 ‘블리드(Bleed)’를 합친 단어다.

■ 젠블리드란? CPU 예측 실행 오류 파고든 보안 취약점

젠블리드는 Zen 2 기반 CPU에서 발생하는 버그를 악용한다. CPU에는 다음에 수행할 작업을 예상하고 데이터를 미리 불러오는 ‘예측 실행’ 기능이 내장돼 있다. 그런데 Zen 2 기반 CPU는 예측 실행이 틀렸을 때 가끔 오류가 발생하면서 잘못 부른 데이터가 CPU에 남는다. 외부에서 이 데이터에 접근할 수 있다는 게 알려졌다. 젠블리드는 이렇게 데이터를 탈취한다.

구글 보안팀은 젠블리드로 CPU 코어 하나당 최대 30KB/s 속도로 데이터를 유출시킬 수 있다고 밝혔다. 이는 일부 개인 정보와 암호화 키, 사용자 암호나 접근 권한을 취득하기 충분한 속도라고 덧붙였다. 다행히 CPU의 예측 실행을 통해 의도적으로 특정 데이터를 불러오게 만드는 건 불가능하다. 따라서 사용자 PC에서 해커가 원하는 파일을 유출하는 건 불가능하다.

젠블리드가 특히 무서운 점은 해커가 사용자 PC에 물리적으로 접근할 필요가 없다는 것이다. 보통 데이터를 빼갈 정도로 심각도가 높은 취약점은 해커가 사용자 PC에 USB 메모리를 연결하거나 네트워크를 통해 원격 접속해야 하는 경우가 많았다. 하지만 젠블리드는 그럴 필요가 없다. 웹사이트를 구성하는 프로그래밍 언어 ‘자바스크립트(JavaScript)’를 통해 공격하는 것도 가능하다. 젠블리드 공격 기능이 내장된 웹사이트에 접속하기만 해도 데이터를 뺏길 가능성이 있다.

■ AMD ‘Zen 2’ 기반 CPU, 젠블리드 공격 대상 될 수 있어

현재 사용 중인 모든 CPU가 젠블리드에 영향을 받는 건 아니다. 일단 인텔 CPU는 해당되지 않는다. AMD CPU 중 ‘Zen 2’ 아키텍처를 기반으로 만든 CPU는 모두 젠블리드의 공격을 받을 가능성이 있다.

데스크톱용 CPU 중에서는 3000G를 제외한 라이젠 3000 ‘마티스’ 시리즈가 해당된다. 노트북용 CPU 중에서는 라이젠 4000 ‘르누아르’ 시리즈와 라이젠 5000 시리즈 중 ‘루시안’ 계열 제품, ‘멘도시노’ 계열 라이젠 7020 시리즈가 해당된다. 이외에 라이젠 프로 3000/4000 시리즈와 스레드리퍼 3000 ‘캐슬픽’ 시리즈, 임베디드 V2000 ‘그레이호크’ 시리즈(그레이호크 계열), 서버용 에픽(Epyc) CPU 중 ‘로마’ 시리즈가 포함된다.

2019년에서 2021년에 출시된 라이젠 CPU는 대부분 영향권에 든다. 데스크톱용 라이젠 3000 시리즈와 노트북용 라이젠 4000 시리즈는 상당히 오랜 시간 동안 인기를 끌었으며, 최신 CPU에 비해 성능이 크게 뒤쳐지지 않아 아직까지 사용하는 사람이 많다.

구글 보안팀은 무작위 데이터를 입력하는 ‘퍼즈 테스트(Fuzz Test)’ 도중 이 취약점을 발견했다고 밝혔다. 해커들이 시도하는 방식과 다르기 때문에 출시한 지 오래된 CPU의 취약점이 이제 드러났을 것이라고 주장했다.

■ AMD “문제 해결 중”…보안 업데이트는 연말에나??

구글 보안팀은 올해 5월 15일 AMD에 이 취약점을 알렸다고 밝혔다. AMD는 보안 업데이트를 준비 중이다. 7월 25일에는 에픽 7002 시리즈용 보안 업데이트가 배포됐다. 다른 CPU는 비교적 늦다. AMD 공지에 따르면 CPU 모델에 따라 올해 10월에서 12월까지 업데이트가 배포될 예정이다.

한편 AMD는 젠블리드 취약점의 영향을 받는 CPU의 마이크로코드를 7월 24일 최신화했다. 이 정보를 토대로 향후 메인보드 제조사나 운영체제 공급자가 보안 취약점 대응 업데이트를 자체적으로 배포할 수 있다. 리눅스 운영체제를 사용한다면 문제가 발생하는 부분을 비활성화하는 방법으로 임시 조치하는 게 가능하다. 단, 이 경우 CPU 연산 성능이 떨어진다. 보안 업데이트가 배포되기 전에 젠블리드 취약점으로 개인 정보가 유출되는 걸 막으려면 신뢰할 수 없는 사이트 방문을 자제해야 한다.

테크플러스 에디터 이병찬

tech-plus@naver.com​

CP-2023-0021@fastviewkorea.com

댓글0

300

댓글0

[Techplus] 랭킹 뉴스

  • 구글은 크롬OS용 '게임 모드' 개발 중
  • 포토샵처럼...윈도우 그림판에 '레이어'와 '투명도' 도입한다
  • 아이폰⋅애플워치 배터리 교체 비용 또 올린다…가격은 얼마?
  • 더 빨라진다던 갤럭시S24, 충전속도 전작과 동일할까
  • 구글, 크롬북 사후 지원 10년으로 연장
  • '전자파 과다 우려'…프랑스에서 중단 아이폰12, 애플의 대응은

[Techplus] 공감 뉴스

  • 블랙매직, 아이폰 전용 카메라 앱 내놓는다
  • 발표 얼마 안 남았는데...MS 서피스 신제품 유출됐다
  • 네이버가 출시한 초거대 AI 서비스: 하이퍼클로바X, 클로바X, 큐(Cue:)
  • 보상 확대하는 테슬라…추천 제도 혜택으로 추가한 것은
  • [용어로 읽는 IT] 유니버설 가전 - 누구도 소외되지 않는 가전 경험
  • HP, 5천 달러짜리 폴더블 노트북 출시한다

댓글 많은 뉴스

[Techplus] 인기 뉴스

  • 구글은 크롬OS용 '게임 모드' 개발 중
  • 포토샵처럼...윈도우 그림판에 '레이어'와 '투명도' 도입한다
  • 아이폰⋅애플워치 배터리 교체 비용 또 올린다…가격은 얼마?
  • 더 빨라진다던 갤럭시S24, 충전속도 전작과 동일할까
  • 구글, 크롬북 사후 지원 10년으로 연장
  • '전자파 과다 우려'…프랑스에서 중단 아이폰12, 애플의 대응은

[Techplus] 추천 뉴스

  • 블랙매직, 아이폰 전용 카메라 앱 내놓는다
  • 발표 얼마 안 남았는데...MS 서피스 신제품 유출됐다
  • 네이버가 출시한 초거대 AI 서비스: 하이퍼클로바X, 클로바X, 큐(Cue:)
  • 보상 확대하는 테슬라…추천 제도 혜택으로 추가한 것은
  • [용어로 읽는 IT] 유니버설 가전 - 누구도 소외되지 않는 가전 경험
  • HP, 5천 달러짜리 폴더블 노트북 출시한다

댓글 많은 뉴스

공유하기

https://tech-plus.co.kr/101969/

로고
광고문의 파트너스 입점문의
  • 테크플러스
  • 서울 서초구 양재대로2길 22-16 호반파크 1관 7층
  • 사업자등록번호 : 743-87-00675
  • 대표번호 : 02-2168-9418
  • 청소년보호책임자 : 김태우
  • 발행인 : 김태우
  • 편집인 : 김태우

테크플러스-Techplus의 모든 콘텐츠는 저작권법의 보호를 받은 바, 무단 전재, 복사, 배포 등을 금합니다.
© Copyright by 테크플러스-Techplus. All Rights Reserved.

ad-close