인텔 프로세서 - PC 및 Mac의 사용자 정보를 탈취할 수 있는 심각한 보안 결함 발견

Intel CPU가 내포하고 있는 4가지 버그를 활용, Local 혹은 Web을 통한 원격 공격을 통해 사용자의 정보를 탈취할 수 있는 일명 ZombieLoad 혹은 MDS(Microarchitectural Data Sampling) 이라는 취약점이 독일 그라츠 공대와 벨기에 루벤 카톨릭 대학의 보안 연구자 그룹에 의해 발견 Intel에 보고되었습니다. 이 취약점은 프로세스와 버퍼 사이의 Data가 이동하는 과정에서 정보를 탈취하는 것으로 알려져 있으며, Intel CPU 자체의 결함을 이용한 공격이기 때문에 일반 PC나 Mac 뿐만 아니라 Cloud 시스템도 포함됩니다.  하지만, AMD과 ARM 프로세서는 해당 취약점이 없기 때문에, iPhone, iPad, Apple Watch들은 영향을 받지 않습니다. 

이 공격을 받게 되면, 프로세서가 엑세스한 정보들. 즉, 웹 브라우저 기록, 사용자 ID나 암호, 디스크 암호화 키 등을 탈취당할 수 있게 되는데, 해당 공격은 Intel CPU의 버그를 이용한 것이므로, 공격 코드를 포함한 Maleware나 악의적인 앱, 앱 사이트를 통한 Javascript 공격등 다양한 매체를 통해 공격할 수 있습니다.  

아래의 영상은 MDS 공격의 한 예를 보여주는 것으로 사용자의 Web 서핑 주소가 그대로 오른쪽의 터미널에 노출되는 것을 확인할 수 있습니다. 

이 버그가 공개되면서 IT업계가 비상이 걸렸습니다. Apple, Microsoft, Linux, Ubuntu, Google, Amazon 등은 대응 업데이트를 각각 공개하고 있는데요. Apple의 경우 지난 5월 14일 macOS Mojave 10.14.5 정식버전을 출시하면서 Safari 보안 업데이트를 통해 해당 공격에 대응하고 있으며, 이전 버전 macOS를 사용하는 사용자들을 위해 macOS Sierra, macOS High Sierra용 보안 업데이트도 릴리즈를 했습니다. 해당 OS를 사용하는 Mac 사용자들의 경우 업데이트를 확인하고 보안 업데이트가 올라왔다면 즉시 업데이트를 하셔야 합니다. 

웹을 통한 공격을 방어하기 위해, 웹 브라우저들도 대다적인 보안 업데이트를 예고 하고 있습니다. FireFox v67은 5월 21일, Google Chrome v75는 6월 4일경 업데이트할 예정입니다. 

하지만, 모든 Mac이 이 보안 업데이트를 적용 받는 것은 아닙니다. Intel이 microcode를 제공하지 않는 Intel CPU를 사용하는 Mac의 경우 업데이트의 적용을 받을 수 없는데요.. 지원되지 않는 Mac Model들의 목록은 아래와 같습니다. 

MacBook (13-inch, Late 2009)
MacBook (13-inch, Mid 2010)
MacBook Air (13-inch, Late 2010)
MacBook Air (11-inch, Late 2010)
MacBook Pro (17-inch, Mid 2010)
MacBook Pro (15-inch, Mid 2010)
MacBook Pro (13-inch, Mid 2010)
iMac (21.5-inch, Late 2009)
iMac (27-inch, Late 2009)
iMac (21.5-inch, Mid 2010)
iMac (27-inch, Mid 2010)
Mac mini (Mid 2010)
Mac Pro (Late 2010)

현재까지 이 취약점을 이용한 공격이 발생했다는 공식적인 보고는 통보된 바가 없지만, 취약점을 앉고 사용해야 하므로 위에 나열된 Mac Model들의 경우 원천적인 MDS 공격을 방어하기 위해 Intel CPU의 하이퍼 쓰레딩(Hyper-Threading) 기능을 중지 시켜야 합니다.  보안패치 적용 대상 Mac Model들의 경우에도 애플의 보안 패치가 100% 보안책이 아니므로, 보안이 극히 중요한 분들 또한 Hyper-Threading 기능을 중지시켜야 합니다. 

macOS의 시스템 정보 >시스템 리포트를 보면, 위와 같이 하드웨어 카테고리에서 하이퍼 쓰레드 기술이 기본적으로 "활성화" 되어 있는 것을 확인할 수 있습니다. 

하이퍼 쓰레드 기능은 일반적인 설정으로 OFF 시킬 수가 없고, 부팅(Booting) 옵션을 통해 비활성화 시킬 수 있습니다.  단, Hyper-Threading을 OFF 시킨 경우 Mac의 성능이 저하되게 됩니다. Apple은 2019년 5월에 Hyper-Threading을 비활성화 한 후 밴치마크테스트를 실시 했는데, HT의존도에 따라 최대 40%의 성능 저하가 발생한 것을 확인했다고 합니다.  

불안한 사용자의 경우 Hyper-Threading 옵션을 OFF 해야 합니다.  

macOS의 Hyper-Threading 비활성화/재활성화 방법
macOS에서 Hyper-Threading을 비활성화 하는 방법은 우선, macOS를 정상 종료한 후, 다시 켤 때, Command-R 키를 눌러 시작 복구 모드로 부팅을 한 후, 리커버리 유틸리티 메뉴에서 터미널을 실행하고, 아래의 nvram 명령을 실행해야 합니다. (대소문자 주의)

nvram boot-args = "cwae=2"
nvram SMTDisable = % 01

명령을 내린 후, mac을 정상 종료 시키고 다시 부팅 시킨 후, 앞서와 같이 시스템 리포트에서 하이퍼 쓰레드 기술이 비활성와 된 것을 확인하시면 됩니다. 

반대로 나중에 Hyper-Threading 을 재 활성화 하려면, NVRAM을 재 설정하면 됩니다. NVRAM 재설정 방법은 부팅 시, Command + Option + P + R 4개의 키를 동시에 누루고 20초 정도 후에 키를 놓으면 됩니다.  혹은 시동음이 2번 반복해서 들린 후에 키를 놓으면 되며, .  Apple T2 보안칩을 탑재한 Mac의 경우에는 부팅 시 나타나는 Apple Logo가 두 번 반복해서 표시되는 것을 확인한 후에 키를 놓으면 됩니다.