인텔 CPU의 ‘멜트다운’ 취약점 문제가 소비자의 집단소송 움직임까지 번지고 있는 가운데, 이에 대한 과장된 공포가 조성되고 있다는 지적도 나온다.
멜트다운은 오랫동안 CPU 설계상 존재해 온 취약점으로, 지난해 구글 연구원에 의해 발견돼 인텔에 알렸고, 인텔이 이를 보완하는 패치를 배포했으며, 패치 적용 후 시스템 성능이 크게 저하되는 등의 부작용을 나타내고 있다.
문제가 심각해진 이유는 인텔이 취약점을 통보받은 후 6개월간 이를 공개하지 않았으며, 그 와중에 CEO가 주식을 매각해 도덕성에 문제가 있다는 비판이 제기되고 있는 것이다. 인텔측은 취약점을 통보받은 후 OS, 브라우저 회사들과 함께 취약점을 해결할 수 있는 패치를 개발해 왔다고 강변했다.
이 취약점은 아톰 프로세서를 제외하고 1995년 이후 출시된 대부분의 인텔 CPU에 존재하는 것으로 암호화돼 저장되는 민감한 데이터까지 유출될 수 있다. 기기, 애플리케이션, 브라우저의 메모리 기록도 공격자가 읽을 수 있다. 이 취약점은 스토리지 등에 저장된 대량 데이터를 읽을 수는 없으며, 시스템에서 로컬로 실행되는 데이터만 유출할 수 있다. 이 취약점을 이용한 공격은 쉽지 않기 때문에 일반 사용자를 대상으로 한 대규모 공격 우려는 상대적은 낮은 편이다.
그러나 취약점이 민감 정보를 유출시킬 수 있기 때문에 이에 대한 준비를 해야 하다. 인텔 CPU 기반 시스템은 거의 대부분 취약점을 갖고 있으며, iOS, 맥OS, TVOS도 예외는 아니다.
취약점을 해결할 수 있는 패치는 최근 속속 발표되고 있는 상황이다. 애플은 지난달 패치를 배포했으며, 안드로이드, 인텔, AMD, ARM, VM웨어, 윈도우 등도 최근 패치를 공개하고 보안 업데이트를 당부했다.
이 보안 취약점은 민감한 정보를 유출할 수 있는 만큼 중요한 정보를 다루는 기관에서는 대책 마련에 서둘러야 한다. 국가정보자원관리원(구 정부통합전산센터)은 대전 본원과 광주센터 서버 보안검증 작업을 통해 보안패치 작업을 순차적으로 진행하고 있으며, 행저안전부는 중앙정부기관과 지방자치단체 등 정부 각 기관에 대한 대응 마련에 분주하다.
보안 기업들은 인텔 보안패치와의 호환성을 위한 보안 소프트웨어 옵션을 지원하면서 패치가 어려운 시스템을 보호할 것을 당부했다. 트렌드마이크로는 오피스스캔, 워리프리 비즈니스 시큐리티 서비스, 딥시큐리티을 포함한 엔드포인트·서버 보안 제품을 통해 보안지원 할 수 있도록 테스트한다고 밝혔다.
