5일 한국인터넷진흥원(KISA) 관계자는 "현재까지 전 세계 각국은 물론 국내에서 보고된 보안사고는 없다. 하지만 만일을 대비해 영향을 받는 버전 사용자는 최신버전으로 업데이트해야 한다"고 권고했다.
최근 구글은 Intel(인텔), AMD, ARM 등 칩셋 제조사의 CPU 제품에서 멜트다운과 스펙터라는 두 가지 보안 취약점을 발표했다. CPU의 부채널 공격(side channel attack)으로 인해 캐시 메모리의 저장된 정보가 노출되는 취약점이다.
이에 KISA는 홈페이지 보안공지를 통해 사용자들에게 칩셋 제조사 및 OS 개발사를 확인해 최신버전으로 업데이트하라고 권고하고 있다. 만약 최신 업데이트가 제공되지 않은 제품을 사용할 경우에는 패치 예정일을 확인해 신속한 패치를 적용하라고 주문하고 있다.
이날 영국 파이낸셜 타임스(FT) 보도에 따르면 애플은 멜트다운의 피해를 경감시켜주는 iOS 11.2와 macOS 10.13.2를 배포했으며, 애플 워치는 멜트다운의 영향을 받지 않는다고 전했다.
애플은 또 웹 브라우저 사파리를 스펙터로부터 보호해줄 업데이트를 곧 배포할 계획이라고 밝혔다.
애플은 "모든 iOS 도구들과 맥 시스템이 영향을 받았다. 그러나 현재로서는 고객들에게 영향을 미칠 보안 결함 악용 사례는 보고되지 않았다"며 "맥 또는 iOS 장치에 악성 애플리케이션이 다운로드돼야만 문제들이 발생하기 때문에 애플 스토어 등 믿을 수 있는 곳에서만 소프트웨어를 다운로드 받을 것"을 권고했다.
구글도 CPU 보안 취약점에 대응하기 위해 개발한 'Retpoline'이라는 보안기술을 업계 파트너들에게 배포할 예정이다.
앞서 인텔은 수정패치를 배포했으며, 자사 제품의 보안 취약성을 개선하고 있다고 밝혔다. 그러나 보안업계 일각에선 인텔의 이번 수정패치로 인해 CPU의 성능 저하 가능성을 우려하고 있다.
KISA 관계자는 "인텔이 CPU의 성능향상을 위해 개발한 기술에서 보안취약점이 발견된 것"이라며 "수정패치에는 CPU 성능을 다시 경감시키는 기술이 포함될 것이라고 보안업계는 보고 있다"고 전했다.
다만 이 관계자는 "수정패치로 인해 CPU의 성능이 얼마나 저하될 것인지는 현재까지 밝혀지지 않았다"며 "인텔도 눈에 띄는 성능 저하는 없을 것이라고 이야기하고 있다. 정확한 데이터는 시간이 지나면 밝혀질 것"이라고 설명했다.
한편 이번 CPU 보안결함 사태는 지난해 6월 구글의 '프로젝트 제로' 팀에 의해 처음 발견됐다. 하지만 인텔 등은 그동안 이를 발표하지 않고 자체적으로 수습하려 했다는 의혹을 받고 있다.
odong85@newsis.com