새해 벽두부터 IT 보안 쪽으로 대형 문제로 시끌벅적합니다.

현재 주요 Target 은 Intel 의 CPU 들로 성능을 높이기 위해 비순차처리를 수행하는 펜티엄 프로의 후예들이 멜트다운과 스펙터 보안 유출에 위험이 있는 것으로 결론난 상황입니다. 하드웨어는 당장 고치기 어려우니 소프트웨어로 패치를 하는 형태로 보안에 대한 대비가 이루어지고 있는 상황입니다.

스펙터 유출에 대해서는 현존하는 거의 모든 아키텍처가 가지고 있는 취약점으로 보이고 IBM도 POWER 아키텍쳐가 해당 문제를 가지고 있다고 발표한 상황입니다. 이쯤되면 Oracle 의 SPARC 아키텍쳐도 의심해볼만 합니다만, 발표가 없네요.

이미 많은 매체들에서 멜트다운 유출이 훨씬 심각하다고 지적하고 있으며 주요 대상은 앞서 언급한 Intel 의 x86/64 CPU 들입니다. 하지만 멜트다운과 스펙터 유출에 대해 보고한 구글의 프로젝트 제로팀의 불로그에는 ARM Cortex 57 CPU 도 멜트다운에 대해 안전하지 않다고 경고하였고, ARM 역시 Cortex 75 는 Intel CPU의 수준으로 위험하고, Cortex 15, 57, 72 는 그보다는 아니지만 멜트다운을 응용한 공격에는 취약할 수 있다고 밝히고 있어서, 프로젝트 제로의 지적이 타당한 것으로 보입니다.

ARM Cortex 57 을 채용한 AP는 퀄컴 스냅드래곤 810과 삼성 엑시노스 옥타 5433, Nvidia Tegra X1 등이 있습니다. 구글에서 현재 Android에 대한 패치를 공개하였고 구글 브랜드 기기들은 OTA 업데이트가 가능한 상황입니다만, 그 외의 기기들은 제조사 Update 에 달려있어서 시간이 더 필요한 상황입니다. (ARM Cortex 15는 태블릿에 많이 들어가는 AP에서 많이 사용되네요.)

더 걱정되는 것은 하드웨어 결함을 소프트웨어로 막는 것이라서 근본적인 해결책이 아니고 결국 지속적으로 보안 패치가 필요하다는 점인데, 빠르게 대응되는 PC 의 OS 들이나 애플의 iOS 기기, 구글 브랜드의 Android 기기들은 상황이 나은 편이지만, 비 구글 브랜드의 Android 기기들은 제조사 Update가 그렇게 신속할지는 의문인 상황입니다.

사견이지만 결국 위에 언급된 멜트다운에 취약한 CPU 들을 제외한 하드웨어로 갈아타는 것만이 현재로는 최선으로 보입니다. 스펙터만 신경써도 되니까요.

사족:
ARM Cortex 72, 75에 대한 위키피디아의 설명을 보니 이 설계들은 GPU, DSP 등 이미지 프로세싱하는 장비들에 SoC 형태로 들어가나 봅니다. 이쪽 분야는 어떤 문제가 도사리고 있을지...