이는 CPU가 갖춘 예측 실행 기능의 허점을 찌르는 것으로, OS가 직접 사용하는 커널 메모리로 보호되어야 할 영역이 일반 프로그램에서 어느 정도 접근할 수 있게 하는 설계상의 결함에 따른 버그가 발견된 것이다.
이에 대해 인텔은 공식 성명을 통해 "컴퓨팅 장치에서 중요한 데이터가 해커에 의해 유출될 가능성이 있는 문제는 인텔 제품에만 있는 특유의 '버그'나 '결함'이 아니다"며 "다양한 프로세서와 OS를 탑재한 여러 제품에 공통적으로 발생하는 약점"이라고 답했다. 이번 사태는 인텔뿐만 아니라 다른 프로세서 제조사나 OS 벤더도 직면하고 있는 문제로 업계 전체가 풀어나가야 할 과제라는 것이다. 실제로 인텔은 성명에서 "이 문제는 최신 조사에 의해 밝혀진 것으로, 인텔 및 다른 기술 기업들도 인식하고 있다"고 설명하고, AMD, ARM홀딩스, 그리고 여러 OS 벤더를 포함한 많은 기술 기업과 협력하여 이 문제를 신속하게 해결할 수 있도록 노력하고 있다고 말했다.
하지만 인텔의 성명 발표 후 ARM홀딩스는 'Cortex-A' 계열의 칩이 동일한 문제의 영향을 받는 것을 확인했지만, 주로 IoT 제품에 사용되는 'Cortex-M' 계열에서는 영향이 없다고 공식화했다. AMD 또한 "아키텍처가 다르기 때문에 현 시점에서 AMD 프로세서의 위험은 거의 제로"라고 반박했다.
미국 ZDNet은 구글의 보안 조사팀 '프로젝트 제로(Project Zero)'의 연구자들이 발견한 2개의 취약점인 '멜트다운(Meltdown)'과 '스펙터(Spectre)'를 소개하면서, 멜트다운은 인텔 CPU에만 영향을 미쳐 보안 패치로 대응할 수 있다고 말했다. 또 ARM과 AMD 제품에 영향을 미치는 스펙터는 CPU를 설계 단계에서 변경할 필요가 있지만 실제 악용하기는 어렵다고 지적했다.
보안 결함에 대한 구체적인 수정은 OS가 커널 메모리와 일반 프로세스를 완전히 분리하도록 처리를 변경하는 것으로 대응할 수 있는 것으로 알려졌다. 그러나 이 과정을 통해 시스템 콜이나 하드웨어 인터럽트 요구 때마다 2개의 메모리 주소 공간을 전환시키는 시간이 필요하다. 이에 따라 PC의 동작 속도가 떨어지기 때문에 근본적인 해결책은 될 수 없다.
현재까지 수정의 적용이 일반 PC 사용자가 사용하는 웹 브라우징이나 게임 등에 얼마나 영향을 미치는지는 알려져 있지 않다. 그러나 태스크와 CPU 모델에 따라 최대 30% 정도의 성능 저하 가능성이 있는 것으로 예상되며, 특히 '아마존 EC2'나 '구글 컴퓨터 엔진' 등 가상화 시스템에 미치는 영향은 우려되기도 한다.
한편 더레지스터는 아마존웹서비스(AWS)가 미국 시간 1월 5일에 이어 마이크로소프트 애저(Azure) 클라우드 서비스가 1월 10일에 수정 적용을 실시할 것이라고 보도했다. 또한 구글은 안드로이드 전용 패치를 제공할 예정이지만 "안드로이드 장치에서 이 취약점을 악용하는 것은 어렵다"고 강조하며, 스마트폰 업체들이 자사 제품에 대한 패치를 제공할지의 여부는 확신할 수 없다고 밝혔다.
이번 문제를 통해 실제 손해가 발생했다는 보고는 아직 없다. 하지만, 거의 모든 CPU가 영향을 받는다는 것은 매우 심각하다. 특히 상용 클라우드 서비스에 있어서 패치 적용으로 성능이 저하된다면, 경우에 따라서는 설비 증강 등 적당한 추가 대책이 필요하게 될지도 모른다.
결국 사용자가 할 수 있는 조치는 항상 PC와 태블릿, 스마트폰 등 스마트 기기의 OS와 패치를 최신 상태로 유지할 수밖에 없다. 비록 패치를 통해 성능 저하가 예상된다 하더라도 패치하지 않은 상태로 어떠한 보안 피해를 입는 것 보다는 훨씬 나을 것으로 보인다.
김길수 기자 gskim@g-enews.com