연초부터 인텔의 CPU 게이트가 IT업계를 강타한 가운데, 인텔 및 일각에서 이미 9일 공식 발표를 준비중이었다는 주장이 제기됐다.

특히 이같은 주장은 인텔 뿐만 아니라 AMD, ARM 그리고 CPU를 탑재하는 각종 서버업체 등 수천개 회사 등이 같은 내용을 공유하고 있었던 것으로 알려져, 논란이 확산 중이다.

◆사건의 주요 내용은 = 지난 3일(이하 현지시간) 영국 IT전문 매체 레지스터는 인텔 x86 프로세스 칩의 ‘커넬 메모리’에 결함이 있는 것으로 나타났고, 이 결함은 ‘멜트다운(Meltdown)’과 ‘스펙터(Spectre)’로 명명된 두 가지라고 밝혔다.

‘멜트다운’은 컴퓨터에서 실행되는 프로그램이 운영체제의 중앙 메모리에 접근해 액세스 권한이 없는 데이터에 접근하는 것을 가능케 한다. 운영체제 패치로 수정이 가능하다.

‘스펙터’는 마이크로프로세서가 컴퓨터의 메모리의 전체를 볼 수 있도록 프로그램의 접속을 허용하며, 이로 인해서 전체 컴퓨터의 내용에 접근할 수 있다

인텔코리아 관계자는 “이 보안 취약점은 외부에서 데이터를 볼 수 있다는 것이다, 단지 관찰만 할 수 있는 것이지, CPU 기능을 바꾸거나 뭉갤 수는 없다”며 “예를 들어, 옆집이 매일 아침 6시에 불이 켜지고 꺼졌다가 다시 오후 6시에 불이 켜지는 것을 알 수 있다는 얘기다. 물론 이를 악용하면 옆집 사람이 없는 틈을 타 도둑질할 가능성이 있다”고 버그 내용을 설명했다.

◆사건의 발단은 = 이 사건은 2017년 6월로 거슬러 올라간다.

구글 ‘프로젝트 제로팀’ 엔지니어가 문제를 발견하고 인텔, AMD, ARM 등 CPU 제조업체에게 보안 결함 사실을 알렸다. 

CPU 업체들도 구글이 문제를 제기한대로 CPU 보안 취약점이 있다는 사실을 인정했다.

다만 인텔코리아 관계자는 “발표된 CPU 보안 결함은 엄밀히 말하면 결함이 아니다. 최신 CPU의 공정에서 생길 수 있다. 이를 ‘스펙큐러티브 익스큐션(speculative execution)’이라고 말할 수 있는데, 예를 들어 CPU의 실행 코드가 1, 2, 3, 4...식으로 순차적으로 실행되는 것이 아니라 1에서 3, 5로 건너 뛰어 실행하는 것이다. 이 기술은 성능을 높여준다”고 다소 다른 설명을 내놓았다.

즉 ‘스펙큐러티브 익스큐션’ 기능이 탑재된 CPU는 명령어가 실제 수행되는지 여부를 알기 전에 명령어를 수행한다.

이 추측이 정확하지 않을 경우 CPU는 기존 결론을 폐기하고 명령어 대로 CPU를 실행한다.

CPU에 이른바 ‘예측기술’을 탑재한 것으로 이해하면 된다.

최근 알려진 CPU ‘보안결함’은 ‘멜트다운’과 ‘스펙터’ 익스플로잇 공격 등 악의적인 해커가 ‘예측기술’을 악용해 기술적인 조치로 컴퓨터에 이상을 일으킬 수 있다는 게 주요 내용이다.

인텔코리아 관계자는 “인텔은 이에 따라 업계 주도적으로 이 문제를 해결하기 위해 노력해왔다. 이 문제를 해결하는 데는 비단 인텔만이 아니라 운영체제, 시스템 소프트웨어 등 모든 업계의 공동 노력이 필요했기 때문”이라고 밝혔다.

이어 이 관계자는 “펌웨어, 바이오스(BIOS), CPU 마이크로코드, 시스템 소프트웨어 등 다각도의 업데이트와 보안패치를 해야 하는 상황이다. 관련된 IT업체들은 각자 모두 업데이트, 보안패치 등의 작업을 하고 있으며 완료된 곳도 있다. 마이크로소프트는 윈도 10의 보안 패치를 마쳤다”고 덧붙였다.

아울러 인텔측은 “영국 레지스터지는 구글, AWS, MS가 그렇게 우려할 만한 사안이 아니라는 후속 보도를 내면서 논조가 다소 바뀌었다. 물론 특정 애플리케이션의 경우 성능 저하가 있을 수 있다. 인텔은 동원 가능한 조치를 모두 취할 것”이라고 전해왔다.

이같은 인텔의 공식입장과 달리, ▲이미 결함내용을 알고 발표를 미뤘고 ▲결함 방어에 대한 공개적인 논의가 있었어야 하며 ▲공개사과를 했어야 한다는 비난은 면키 어려워 보인다.

<김동기 기자>kdk@bikorea.net
<박시현 기자>pcsw@bikorea.net