Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

URL 링크 : http://www.zdnet.co.kr/news/news_view.as...et&re= 

최근 발표된 인텔 중앙처리장치(CPU) 보안결함에 패치 적용시 성능저하가 불가피한 것으로 알려진 가운데, 구글이 자사 클라우드서비스에 인텔CPU 보안패치를 적용하고도 성능 영향을 받지 않았다고 밝혀 주목된다.

구글은 자체 개발한 소프트웨어(SW)로 클라우드서비스에 CPU보안결함을 거의 성능저하 없이 대응했다. 그리고 이를 오픈소스SW로 공개했다. 일반 기업에서도 활용할 수 있다면, 성능 영향을 우려해 인텔CPU 보안패치 적용을 주저하고 있는 IT담당자에게 도움이 될 것으로 보인다.


cpu.jpg



앞서 지난 3일 구글은 세계 각지 보안전문가들과 함께 보안연구조직 '프로젝트제로' 팀 중심으로 협력해 내놓은 보안취약점 분석 보고서를 통해, 업계서 널리 쓰이는 제조사 CPU에서 컴퓨터 메모리에서 기밀을 노출하는 심각한 보안취약점 3건이 발견됐다고 밝혔다. 2가지는 스펙터(Spectre)라 불렸고, 1가지는 멜트다운(Meltdown)이라고 불렸다.

보고서 내용에 따르면 스펙터와 멜트다운은 접근권한이 없는 운영체제(OS)나 다른 애플리케이션에서, 컴퓨터 메모리에서 처리되고 있는 패스워드를 비롯한 기밀 정보 등 민감한 데이터를 들여다볼 수 있게 만드는 CPU 하드웨어 결함이었다. 개인용 모바일 기기 및 PC부터 기업 전산실 서버와 데이터센터 및 클라우드서비스의 가상머신(VM) 등 광범위한 컴퓨터가 이 취약점을 공격에 노출된 상황이 됐다.

■CPU보안패치 후 성능저하 우려 확산

공식 발표 이전부터 일부 사용자 및 기업용 컴퓨터에 인텔 측이 제공한 보안패치 및 마이크로코드(microcode) 업데이트 기반의 OS 및 펌웨어 업데이트가 적용 중이었다. 리눅스 사용자 커뮤니티 사이에선 서버용 OS로 활용되고 있는 리눅스 시스템을 위한 패치를 적용하라는 정보가 나왔다. 그런데 커뮤니티에선 관련 패치 후 리눅스 서버 시스템 성능이 최대 30%까지 떨어졌다는 문제가 불거졌다. [☞관련기사]

이후 마이크로소프트(MS)는 회사가 배포한 윈도 운영체제(OS) 업데이트 적용 후 소비자용 PC에서도 인텔 CPU 컴퓨터에서 성능저하가 발생했다고 확인했다. [☞관련기사] 이어 인텔도 자사 CPU 보안패치를 적용한 PC에서 성능저하가 발생한다는 점을 인정했다. [☞관련기사] 이에 리눅스 및 윈도 기반 서버 시스템을 구동하는 회사는 자체 서버와 클라우드서비스의 성능 저하를 우려하는 분위기다.

지난 11일 구글은 클라우드 서비스 사용자에게 운영중단시간이나 성능저하 문제 없이 보안 문제를 해결했다고 밝혔다. [☞원문보기] 구글 엔지니어링 담당자 벤 트레이너 슬로스(Ben Treynor Sloss) 부사장은 "포괄적인 성능 튜닝 작업에 힘입어 보호 조치는 우리 클라우드에 사용자가 인지할만한 영향을 주지 않았다"며 "구글 클라우드 플랫폼(GCP) 고객과 내부 팀으로부터 어떤 성능 하락도 보고받지 못했다"고 강조했다.

슬로스 부사장에 따르면 구글은 3가지 취약점에 따른 보안위협에 대응하는 조치를 지난 몇개월에 걸쳐 취해 왔다. 그중 구글이 2번째 스펙터 결함인 '버라이언트2(Variant 2)' 또는 '분기표적 주입(Branch Target Injection)' 취약점을 해결하려다 문제가 발생했다. 이에 구글은 '리트폴린(Retpoline)'이라는 기술을 만들었다. 이후 3가지 취약점을 모두 해결한 뒤 누구도 성능 문제를 체감하지 못했다는 설명이다.


imc_5XPKA7migQt5lsZc.jpg



분기표적 주입 취약점은 CPU에 탑재된 '간접분기예측기(indirect branch predictors)'의 허점이다. 간접분기예측기는 CPU가 당장 불필요한 명령을 미리 처리해 전체 성능을 끌어올리는 '투기적실행(speculative execution)' 동작시 처리될 명령을 지시하는 구성요소다. 결함을 해결하기 위해 CPU의 투기적실행 동작이나 다른 기능을 끌 경우 성능에 손실이 발생할 수 있다.

■스펙터 취약점 대응 기법 오픈소스화

구글의 테크니컬인프라스트럭처그룹 소속 SW 엔지니어 폴 터너(Paul Turner)가 만든 리트폴린은, CPU의 투기적실행 동작이나 다른 하드웨어 기능을 끄지 않고 보안결함을 해결한다. 공격자가 대신 분기표적 주입 취약점을 통해 투기적실행 동작을 악용하지 못하도록 SW 바이너리 변형(binary modification) 기법으로 프로그램을 변경한다.

슬로스 부사장은 "리트폴린을 사용하면 소스코드를 변형하지 않고도 컴파일시 인프라를 보호할 수 있다"면서 "또 이 기능을 테스트할 때 특히 SW 분기예측 단서같은 최적화 기법을 결합하면, 거의 성능 손실을 일으키지 않고 이런 보호 효과를 얻을 수 있는 것으로 나타났다"고 주장했다.

이어 "이 솔루션을 우리 인프라에 즉시 배포했다"며 "이를 산업 파트너와 공유하고 모든 사용자를 보호하기 위해 컴파일러 구현을 오픈소스화했다"고 덧붙였다. 제시된 링크를 열면 "OS 또는 하이퍼바이저 구현과 같은 민감한 바이너리를 분기표적 주입 공격으로부터 보호하는 데 적용할 수 있다"는 폴 터너의 설명과 리트폴린 소스코드 및 x86 시스템용 예제를 볼 수 있다. [☞구글 리트폴린 설명 웹페이지 바로가기]

구글은 프로젝트제로 팀에서 취약점 분석 보고서를 발표하기 직전인 지난달(2017년 12월) 모든 GCP 서비스에 알려진 3가지 취약점에 보호 조치를 마쳤다고 밝혔다. 보안 업데이트 절차를 밟는 동안 해당 업데이트와 관련된 문제를 제기하거나 지원 티켓을 발급받은 고객이 없었다며, 리트폴린 기법이 현실 세계 워크로드에 실제 영향을 주지 않을만큼 성능에 최적화된 업데이트임을 확인해 준다고 주장했다.

하지만 슬로스 부사장은 올초 발표된 취약점 3건에 대해 "너무 많은 SW스택 레이어의 변경을 요구하기 때문에, 지난 10년간 발생한 것중 가장 도전적이고 고치기 어려운 것일 수 있다"며 "취약점은 너무 널리 퍼져 있기 때문에 광범위한 산업계 협력을 필요로 하기도 한다"고 지적했다. 이런 이유에서 "프로젝트제로의 (발견 취약점) 90일 공개 정책의 예외로 대응한 몇 안 되는 사례 중 하나가 됐다"고 덧붙였다.



자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

SOSMania

2018.01.16 01:25
가입일: 2017:04.29
총 게시물수: 58
총 댓글수: 369
역시 갓 구글...
profile

겜비노

2018.01.17 12:13
가입일: 2018:10.13
총 게시물수: 125
총 댓글수: 178
이게 사실이면 인텔 이슈는 영향이 없는거네요...
profile

lava

2018.01.17 21:07
가입일: 2016:07.28
총 게시물수: 52
총 댓글수: 672
똥은 인텔이 싸고 수습은 구글이 하는 느낌이네요
profile

플러그인

2018.01.23 13:15
가입일: 2018:10.12
총 게시물수: 1
총 댓글수: 23
엇그제 멜트다운 패치하고 바로 퍼포먼스 다운된걸 확인하니 울화통이 ㅠ,.ㅠ 얼른 패치가 나왔으면 좋겠네요
List of Articles

유용정보 경찰 '랜섬웨어 감염되면 '노모어랜섬' 접속하세요' file

경찰청은 PC를 암호화한 뒤 돈을 요구하는 '랜섬웨어'에 감염된 이들을 위해 복구 방법을 안내한다고 24일 밝혔다. 경찰청 사이버안전국은 최근 유럽연합(EU) 경...

  • 등록일: 2017-04-24

493

VIEWS

12

COMMENTED

유용정보 [폭스바겐 인증 취소 그후]평택항 가보니…수입차 2만여대 비바람에 방치

2만여대 '미아차량' 눈 ·비 막는 건 비닐 한 겹 …獨본사 반환도 안돼 인터넷에선 40% 할인설 떠돌아 …회사측 "차량 처리문제 아직 검토중" 지난 주말(18일) 찾은 ...

  • 등록일: 2017-02-21

525

VIEWS

5

COMMENTED

유용정보 aomei partition assistant pro 6.1 무료다운입니다.(만료됨) file

파티션관리 프로그램입니다. aomei partition assistant pro 6.1 정식버전 무료다운입니다.18시간 남았네요 프로모션 개념인것 같네요... 저도 방금 다운받아 설...

  • 등록일: 2017-02-14

825

VIEWS

19

COMMENTED

유용정보 플렉스터, 고성능 게이밍 SSD ‘1+1 이벤트’ 진행

플렉스터 SSD의 공식 수입유통사 컴포인트가 2017년 새해를 맞아 '플렉스터 SSD 1+1 이벤트'를 진행한다고 밝혔다. 이번 이벤트는 PCI익스프레스(PCIe) 기반 고성...

  • 등록일: 2017-01-14

289

VIEWS

2

COMMENTED

유용정보 다운 점퍼 구입 할 때 다운의 양에 집착할 필요가 없다네요

실험 결과 350g짜리 점퍼의 보온력이 140g짜리보다 약간 높긴 했으나 차이는 5% 정도로 미미했답니다. 출처 : SBS 뉴스

  • 등록일: 2016-12-24

345

VIEWS

9

COMMENTED

유용정보 "보안 프로그램 공짜로 내려받다가 악성파일 설치"

보안/해킹 메뉴에 [긴급]으로 같은 내용이 있습니다. [출처 : 아이뉴스24 성지은기자] 이스트소프트는 최근 국내 토렌트 공유 사이트를 통해 외국산 파일 보안 ...

  • 등록일: 2016-12-24

271

VIEWS

1

COMMENTED

유용정보 카스퍼스키랩, '크립트XXX' 랜섬웨어 복호화 도구 무료 배포

'RannohDecryptor'를 이용하여  크립트XXX 랜섬웨어에 의해 암호화돼 확장자가 '.crypt', '.cryp1', 'crypz'로 변경된 파일을 대부분 복구할 수있다고합니다. 백...

  • 등록일: 2016-12-23

253

VIEWS

4

COMMENTED

유용정보 AhnLab Safe Transaction 패치

1. 패치 일정 - 마스터 릴리즈: 2016년 12월 13일 16시 30분 2. 버전 - AhnLab Safe Transaction 1.3.15.5 (Build 749) 3. 주요 패치 내역 - 사용자에 의한 시작 ...

  • 등록일: 2016-12-14

615

VIEWS

16

COMMENTED

유용정보 교보문고 셜록홈즈, 아르센 뤼팽, 에드가 알란 포, 카네기 자기계발, 집중력 혁명 전 40권, 12월 한달 무료 증정

http://m.kyobobook.co.kr/digital/event/eventTemplate.ink?tmplSeq=6294 [YES24 무료대여] 한국인이 꼭 읽어야 할 한국 고전 및 사상 (전100권, 2017년 5월 31...

  • 등록일: 2016-12-05

189

VIEWS

4

COMMENTED

유용정보 새로운 랜섬웨어가 등장 했습니다.

새로운 랜섬웨어가 등장 했습니다. http://www.bodnara.co.kr/bbs/article.html?num=136502 윈도우 사용도 못하게 하는 캥거루 랜섬웨어 라네요. 기사 내용중 '다...

  • 등록일: 2016-12-03

256

VIEWS

16

COMMENTED

유용정보 금융보안 모듈 이용한 사이버 공격 발생 주의! file

인터넷뱅킹 보안 제품 취약점을 이용한 북한발 사이버 공격이 발생했다. 해당 취약점 패치가 아직 이뤄지지 않은 제로데이 공격이다. 당분간 인터넷익스플로러(IE...

  • 등록일: 2016-11-29

148

VIEWS

7

COMMENTED

유용정보 "애플, 아이폰 통화내역 비밀리 수집"

러 업체 "아이클라우드 통해…영상통화도 보관"  (지디넷코리아=김익현 기자)애플은 올초 연방수사국(FBI)의 아이폰 잠금해제 요청에 정면으로 맞서면서 ‘개인정보...

  • 등록일: 2016-11-18

684

VIEWS

2

COMMENTED

유용정보 사물인터넷(IoT) 보안 취약점 신고하면 포상금 최대 500만원

국인터넷진흥원과 미래창조과학부는 사물인터넷(IoT) 보안 취약점을 악용한 공격의 사전 예방을 위해 'IoT 보안 취약점 집중 신고 기간'을 11월 동안 운영한다고 ...

  • 등록일: 2016-11-09

160

VIEWS

2

COMMENTED

유용정보 아이폰에서도 T전화 사용가능하다고 하네요.

드디어 아이폰 용으로 개발이 되었군요 T전화는 정말 자동 녹음이랑 스팸 걸러주는 기능이 최고죠 ㅠㅠ 아이폰 유저들에겐 정말 희소식입니다. 지금 사전등록으...

  • 등록일: 2016-10-21

585

VIEWS

15

COMMENTED

유용정보 진리의 체온계 Braun Thermoscan 7 IRT6520 file

오늘 아침 아이 체온을 재려고 하는데 6년 사용한 브라운 체온계(BRAUN Thermoscan 5 IRT 4520)가 고장 났습니다.ㅜㅜ 급 검색... 요즘은 최신형 Braun Thermosca...

  • 등록일: 2016-10-19

298

VIEWS

8

COMMENTED

유용정보 네이버, '그리스로마신화 인물백과' 오픈

[출처 : 지디넷코리아=안희정 기자] 네이버가 이용자들의 검색어 분석을 바탕으로 선정한 그리스로마신화 속 주요인물 800명에 대한 자세한 정보를 3천 여장의 이...

  • 등록일: 2016-10-12

273

VIEWS

7

COMMENTED

유용정보 [ '20% 요금할인' 혜택 모르는 약정 만료자 '1078만명'…이통3사 '모른척' ]

'20% 요금할인' 혜택 모르는 약정 만료자 '1078만명'…이통3사 '모른척'  국내 이동통신 3사들의 안내 소홀로 20% 요금 할인 혜택을 받지 못하는 2년 약정 만료자...

  • 등록일: 2016-10-05

406

VIEWS

8

COMMENTED

유용정보 [ 애플스토어 가로수길 오픈 현실화 되나…애플, 한국 애플스토어 채용 페이지 개설 ]

애플스토어 가로수길 오픈 현실화 되나…애플, 한국 애플스토어 채용 페이지 개설  애플스토어가 한국 진출이 임박한 것으로 알려진 가운데 애플이 한국어로된 채...

  • 등록일: 2016-09-29

742

VIEWS

9

COMMENTED

유용정보 [ '코리아 세일 페스타' 오늘부터 시작.. 삼성·LG전자 가전제품 최대 53% 할인 ]

'코리아 세일 페스타' 오늘부터 시작.. 삼성·LG전자 가전제품 최대 53% 할인   국내최대 쇼핑축제 ‘코리아 세일 페스타’(KSF)가 오늘(29일)부터 시작됐다. 삼성전...

  • 등록일: 2016-09-29

601

VIEWS

9

COMMENTED

유용정보 [ 국제선 항공권, 91일전에 취소하면 수수료 안내도 돼 ]

국제선 항공권, 91일전에 취소하면 수수료 안내도 돼.. 앞으로 국제선 항공권을 구매한 뒤 출발 91일 전에만 취소하면 취소수수료를 내지 않아도 된다. 공정거래...

  • 등록일: 2016-09-28

378

VIEWS

7

COMMENTED