2018년의 시작과 동시에 '멜트다운' 및 '스펙터'로 불리는 CPU 보안 이슈가 ICT 업계를 강타한 여파가 여전히 남아있는 가운데, 새로운 CPU 보안 취약점이 추가로 발견된 것으로 나타났다.

구글과 마이크로소프트가 21일 새로운 CPU 보안 취약점을 공개했다. 레드햇의 SBB 취약점 설명 영상의 일부. / 레드햇 유튜브 갈무리
구글과 마이크로소프트가 21일 새로운 CPU 보안 취약점을 공개했다. 레드햇의 SBB 취약점 설명 영상의 일부. / 레드햇 유튜브 갈무리
더 버지등 외신에 따르면 구글과 마이크로소프트가 21일(현지시각) 공동으로 발표한 새로운 보안 취약점은 기존 멜트다운과 스펙터 보안 취약점과 비슷하게 최신 CPU에서 사용하는 추측 실행(speculative execution)의 허점을 악용하는 것으로, 'Specified Store Bypass'(SSB, CVE-2018-3639, 변형 4)란 이름으로 공개됐다.

새로운 SSB 취약점은 지난해 11월 마이크로소프트가 최초로 발견했으며, 취약점 해결을 위해 인텔과 AMD, ARM 등 주요 CPU 제조사에게 관련 내용이 먼저 전달됐다.

구체적으로는 공격자가 CPU 스택 및 다른 메모리 위치에서 오래된 메모리 값을 읽을 수 있어 일부 CPU 내 메모리에 남아있는 중요한 정보가 노출될 수 있는 문제다.

특히 이 새로운 취약점은 멜트다운보다는 스펙터에 가까운 것으로, 현재 업계에서 사용되고 있는 거의 모든 추측 실행 기반 최신 CPU가 해당한다.

인텔과 AMD, ARM 등 주요 CPU 제조사들은 21일 해당 취약점의 공식 발표에 앞서 이미 SSB 취약점 문제 해결을 위한 소프트웨어 패치와 하드웨어용 마이크로 코드 등을 협력사들에게 제공한 것으로 나타났다. 마이크로소프트와 레드햇 등 운영체제 제조사들도 최신 운영체제 업데이트를 통해 SSB 취약점 해결용 패치를 배포하기 시작했다.

다만, 이번 취약은 기존 멜트다운이나 스펙터 취약점과 비교해 상대적으로 위험성은 낮지만, 취약점 해결을 위한 패치 업데이트를 설치하는 경우 시스템에서 어느 정도 성능 저하가 발생하는 것으로 나타났다.

레슬리 컬버트슨(Leslie Culbertson) 인텔 제품 보증 및 보안 담당 부사장은 "이번 취약점의 완화 기능은 기본적으로 해제로 설정되어 고객들이 사용 여부를 선택할 수 있다"며 "이 기능을 사용하면 'SYSmark 2014 SE' 및 SPEC 정수 비율과 같은 벤치마크 점수를 기준으로 약 2%에서 8%의 성능 영향을 관찰했다"고 말했다.