2018.01.05

구멍이 뚫렸다··· '스펙터' & '멜트다운' 버그로부터 데이터를 보호하려면?

Jim Martin | PC Advisor
이번 주 헤드라인을 장식한 주제 중 하나인 스펙터와 멜트다운이 무시무시하게 들릴 수 있다. 그러나 공포감을 느껴야 할 대상은 아니다. 스펙터(Spectre)와 멜트다운(Meltdown) 취약점은 암호 및 기타 개인 데이터를 도용당할 수 있게 하지만, 다음의 방법을 통해 막아낼 수 있다.

문제는?
먼저 취약점을 간단히 설명해본다. 민감한 데이터가 스마트폰이나 PC의 프로세서에서 처리될 때 누출되어서는 안될 것이다. 또 일상적이 애플리케이션이 다른 앱이나 운영체제가 구동하는 데이터에 접근할 수 있어서도 안될 것이다.

그러나 스펙터와 멜트다운 취약점을 이용하면 이러한 시나리오가 가능해진다. 즉 해커가 악성 코드를 사용해 민감한 정보(신용 카드 번호, 암호, 기타 데이터)에 접근할 통로가 열린다는 의미다.

인텔, AMD 및 ARM의 프로세서가 이 취약점에 영향을 받으며, 윈도우, 맥OS, 리눅스 등의 주요 운영 체제도 영향을 받는다.

보안 전문가와 주요 칩 및 소프트웨어 개발사는 적어도 몇 개월 동안 이문제를 알고 있었던 것으로 관측된다. 지난 3일 미디어를 통해 공개되면서 해당 기업 대부분은 패치 및 소프트웨어 업데이트를 공개했다. 스펙터와 멜트다운의 차이점에 대한 정보는 멜트다운 어택 웹 사이트에서 좀더 자세히 확인할 수 있다.

취해야 할 조치는?
먼저 소프트웨어가 최신 버전인지 확인할 필요가 있다. 오늘날 많은 소프트웨어가 자동으로 업데이트되지만 장치가 최신 버전의 운영 체제를 실행하고 있으며 실행 중인 모든 소프트웨어가 최신 버전인지 다시 확인하는 것이 권고된다. 랜섬웨어로부터 데이터를 보호하는 것과 거의 같은 조치다.

윈도우, 맥OS, 리눅스용 패치는 모두 곧 출시될 예정이다. 단 구글은 안드로이드에 이미 최신 패치가 적용됐다고 전했다. 크롬 브라우저 업데이트는 1 월 23일로 예정돼 있다. 아이폰과 아이패드가 이 문제의 영향을 받지는지 분명하지 않다. 애플은 아직 명확히 발표하지 않았다.

백신으로 막을 수 있는가?
이론상으로는 최신 바이러스 백신 프로그램이 모든 공격을 차단해야 하지만 실제로는 보안 전문가에 따르면 실제로 탐지하기가 어렵다.

그러나 좋은 소식도 있다. 이번 결함을 악용하는 알려진 맬웨어가 없다는 점이다. 물론 바이러스 백신을 최신으로 업데이트하는데 유의하는 것이 좋다. 이 밖에 이메일이나 웹 상에서 링크를 클릭할 때 주의하는 것도 권고된다.

클라우드의 데이터도 취약한가?
가능하다. 클라우드 서버를 실행하는 프로세서도 결함에 노출된다. 클라우드의 중요한 데이터가 누출될 가능성을 배제할 수 없다는 의미다. 백업과 데이터 암호화 조치를 재확인해야 한다. ciokr@idg.co.kr 



2018.01.05

구멍이 뚫렸다··· '스펙터' & '멜트다운' 버그로부터 데이터를 보호하려면?

Jim Martin | PC Advisor
이번 주 헤드라인을 장식한 주제 중 하나인 스펙터와 멜트다운이 무시무시하게 들릴 수 있다. 그러나 공포감을 느껴야 할 대상은 아니다. 스펙터(Spectre)와 멜트다운(Meltdown) 취약점은 암호 및 기타 개인 데이터를 도용당할 수 있게 하지만, 다음의 방법을 통해 막아낼 수 있다.

문제는?
먼저 취약점을 간단히 설명해본다. 민감한 데이터가 스마트폰이나 PC의 프로세서에서 처리될 때 누출되어서는 안될 것이다. 또 일상적이 애플리케이션이 다른 앱이나 운영체제가 구동하는 데이터에 접근할 수 있어서도 안될 것이다.

그러나 스펙터와 멜트다운 취약점을 이용하면 이러한 시나리오가 가능해진다. 즉 해커가 악성 코드를 사용해 민감한 정보(신용 카드 번호, 암호, 기타 데이터)에 접근할 통로가 열린다는 의미다.

인텔, AMD 및 ARM의 프로세서가 이 취약점에 영향을 받으며, 윈도우, 맥OS, 리눅스 등의 주요 운영 체제도 영향을 받는다.

보안 전문가와 주요 칩 및 소프트웨어 개발사는 적어도 몇 개월 동안 이문제를 알고 있었던 것으로 관측된다. 지난 3일 미디어를 통해 공개되면서 해당 기업 대부분은 패치 및 소프트웨어 업데이트를 공개했다. 스펙터와 멜트다운의 차이점에 대한 정보는 멜트다운 어택 웹 사이트에서 좀더 자세히 확인할 수 있다.

취해야 할 조치는?
먼저 소프트웨어가 최신 버전인지 확인할 필요가 있다. 오늘날 많은 소프트웨어가 자동으로 업데이트되지만 장치가 최신 버전의 운영 체제를 실행하고 있으며 실행 중인 모든 소프트웨어가 최신 버전인지 다시 확인하는 것이 권고된다. 랜섬웨어로부터 데이터를 보호하는 것과 거의 같은 조치다.

윈도우, 맥OS, 리눅스용 패치는 모두 곧 출시될 예정이다. 단 구글은 안드로이드에 이미 최신 패치가 적용됐다고 전했다. 크롬 브라우저 업데이트는 1 월 23일로 예정돼 있다. 아이폰과 아이패드가 이 문제의 영향을 받지는지 분명하지 않다. 애플은 아직 명확히 발표하지 않았다.

백신으로 막을 수 있는가?
이론상으로는 최신 바이러스 백신 프로그램이 모든 공격을 차단해야 하지만 실제로는 보안 전문가에 따르면 실제로 탐지하기가 어렵다.

그러나 좋은 소식도 있다. 이번 결함을 악용하는 알려진 맬웨어가 없다는 점이다. 물론 바이러스 백신을 최신으로 업데이트하는데 유의하는 것이 좋다. 이 밖에 이메일이나 웹 상에서 링크를 클릭할 때 주의하는 것도 권고된다.

클라우드의 데이터도 취약한가?
가능하다. 클라우드 서버를 실행하는 프로세서도 결함에 노출된다. 클라우드의 중요한 데이터가 누출될 가능성을 배제할 수 없다는 의미다. 백업과 데이터 암호화 조치를 재확인해야 한다. ciokr@idg.co.kr 

X