지난 해 초 프로세서의 심각한 보안 취약점인 멜트다운과 스펙터로 매우 시끌시끌 했는데요. 프로세서의 투기적 실행을 악용해 캐시 내 데이터를 유출했던 두 취약점과 여러 변종들은 정도의 차이는 있지만 인텔을 비롯해 AMD와 ARM 아키텍처에 영향을 미쳤습니다. 그런데 이번에는 인텔 프로세서만 영향을 미치는 새로운 보안 취약점이 등장했습니다.
좀비로드(ZombieLoad)라고 부르는 이번 보안 취약점은 암호와 비밀 키, 계정 토큰 및 비공개 메시지처럼 프로세서에 저장된 중요한 데이터를 유출할 수 있는데요. 악성 코드를 이용하는 것이 아니라 설계 결함을 악용합니다.
이는 프로세서가 이해할 수 없거나 처리할 수 없는 데이터의 양을 가리키는 ‘좀비 로드'(zombie load)에서 인용한 것으로 프로세서가 충돌을 방지하기 위해 프로세서의 마이크로 코드로부터 도움을 요청하도록 강요하는 것을 악용합니다. 앱은 대부분 자체 데이터만 볼 수 있지만, 이 버그는 경계벽을 거쳐 데이터의 유출을 허용한다는군요.
인텔은 이번 취약점이 4개의 버그로 구성됐다고 밝혔는데요. 프로세서 버퍼를 지우고 데이터를 읽을 수 없도록 마이크로 코드에 대한 패치를 내놓을 것이라고 밝혔습니다. 이와 함께 애플과 아마존, 마이크로소프트와 구글, 모질라 등 좀비로드를 완화하기 위한 패치를 내놓았거나 내놓을 예정이라는군요.