인텔 멜트다운 패치, 스펙터 업데이트 방법 상세정리!

이번 언론에 공개된 인텔 CPU 결함은 H/W 성능 향상을 위해 디자인된 기능 중 일부에 내재된 버그를 활용하여 컴퓨터에서 동작 중인 프로세스의 데이터를 엿볼수 있는 2가지 취약점인 Meltdown,  Spectre가 발견되었습니다.

이 결함은 가정용에서 사용중인 PC에도 심각한 영향을 미치는 것으로 알려져 개인 사진, 이메일, 암호 키 등 중요한 정보를 노출할 수 있어 매우 심각한 상황으로 인식되고 있습니다. 다행히 CPU 및 운영체제, 컴퓨터 제조사 등 공급 업체에서 신속하게 패치를 발표하고 있어 어느 정도 메틀다운과 스펙터 결함으로 부터 컴퓨터를 보호할 수 있을것으로 보여집니다.

Meltdown · Spectre 취약점

1995년 이후 출시된 비순차 실행을 기반으로 한 인텔 CPU를 사용한 장비

인텔, AMD, ARM(Coretex기반) 등 대다수 CPU를 사용중인 장비가 

Meltdown · Spectre 결함에 대비해 PC를 보호하는 법

멜트다운 및 스펙터 결함에 따른 보안 취약성에 대해 대비하는 방법으로는 운영체제 업데이트, 펌웨어 업데이트, 브라우져 업데이트, 백신 프로그램 사용 등이 있습니다.

먼저 본인이 사용중인 컴퓨터의 CPU 사양과 운영체제 버전을 확인하셔야 합니다.

윈도우 키 > 설정 > 시스템 > 정보에서 디바이스 및 윈도우 사양을 확인할 수 있습니다.

디바이스 사양을 보시면 'Intel(R) Core(TM) i7-5600U CPU'로 5세대 인텔 CPU로 코드명은 Broadwell 이며, 시스템 종류에서 '64bit operating system, x64-based processor'로 표시되어 있는 것으로 보아 64비트 운영체제로 설치되어 있음을 확인할 수 있습니다.

자동 · 수동 Windows 10 Update 실행

우선 가장 시급히 조치해야 할 것은 바로 운영제체를 업데이트 하는 것입니다. 

다행이 MS에서 늦게나마 1월 3일 긴급 윈도우 패치를 발표했으며, PC가 자동으로 업데이트 되지 않을 경우 수동으로 Windows Update를 실행하여 보안 패치를 진행하시면 됩니다.

PC가 자동으로 업데이트 되지 않았다면 윈도우 키(시작) > 설정 > 업데이트 및 보안 > Windows Update 를 클릭합니다.

윈도우 7 및 8 버전에서는 Windows Update 를 검색하시면 됩니다.

Windows 업데이트 상태를 보시면 현재 업데이트를 자동으로 설치하고 있는지, 수동으로 설치하고 있는지 확인이 가능합니다. 만약 수동으로 업데이트를 하고 계신다면 [업데이트 확인] 버튼을 눌러 시스템에서 사용 가능한 업데이트를 자동으로 감지하고 다운로드를 진행하며, 보안 관련 업데이트는 그 즉시 설치해주시는 것이 좋습니다.

업데이트 확인을 눌러 다운로드를 받게 되면 '2018-01 x64 기반 시스템용 Windows 10 version 1709에 대한 누적 업데이트(KB4056892)'를 사용할 수 있으며 다시 시작 대기 중으로 확인이 됩니다.

만약 알 수 없는 이유로 업데이트 오류가 발생한다면 직접 업데이트 패치 파일을 다운로드 받아 설치할 수 있습니다.

다운로드 링크 - http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892

Microsoft Update 카탈로그에서 다운르도 받을 수 있는 KB4056892 패치에 대한 리스트입니다.

Windows 10 & Windows Server 2016 Version에 대한 패치를 다운로드 받을 수 있으며, 32비트(x86) 및 64비트(x64) 버전 중 본인이 사용중인 운영체제에 맞게 다운로드 받아 설치를 진행하시면 됩니다.

Intel 에서 직접 패치 하지 않는 이유? 

이번 결함은 하드웨어에서 발생한 것인데 왜 MS에서 관련 패치를 제공하는 것일까요?

실제로 펌웨어 업데이트를 인텔에서 직접 발표하지 않고 있는데, 사용자들이 사용중인 PC, 노트북, 메인보드 제조사를 통해 펌웨어를 받고 있습니다. 아래는 이와 관련된 인텔의 답변입니다. 사실 이 때문에 많은 분들이 이번 패치와 관련된 정보를 얻기가 어려웠던 것으로 보여집니다.

Q: Why do I need to contact my system or motherboard manufacturer? Why can’t Intel provide the necessary update for my system?

A: Intel is unable to provide a generic update due to management engine firmware customizations performed by system and motherboard manufacturers.

이번 CPU 결함과 관련된 중요 업데이트 공지를 보면, Intel Core Processor Families 중 1st, 2nd, 3rd, 4th, 5th, 6th, 7th, 8th 까지 사실상 모든 Intel CPU에 결함이 있다는 것을 알 수 있습니다.

Intel-SA-00086 - https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

또한 펌웨어 업데이트가 필요한지 여부를 결정할 수 있는 Intel-SA-00086 탐지 도구도 제공하고 있습니다.

위 링크를 통해 접속해 보시면 전반적인 펌웨어 내용과 함께 'Resources for Microsoft and Linux users' 항목에서 탐지 도구를 다운로드 받을 수 있는 링크를 제공하고 있습니다.

아울러 사용자들이 노트북이나 PC, 메인보드, 노트북, 서버 등 제조업체를 통해 펌웨어를 받을 수 있도록 협력 제조사 업체의 관련 링크를 제공하고 있습니다. 해당 제조사의 제품을 사용하고 있다면 사용자에게 필요한 업데이트와 PC 정보를 찾을 수 있습니다.

윈도우 업데이트 및 관련 펌웨어를 모두 완료하셨다면, 추가적인 작업이 필요한지 여부를 판단할 수 있는 탐지 도구 사용법을 살펴보겠습니다.

Intel-SA-00086 Detection Tool - https://downloadcenter.intel.com/download/27150?v=t

사용하고 있는 운영체제에 따라 Linux, Windows 중 하나를 다운로드 받습니다.

다운로드 받은 파일의 압축을 푼 다음, 도구를 실행하시면 됩니다.

Windows 용 탐지도구를 다운로드 받아 압출을 풀어보면 3개의 폴더가 나타납니다.

하나는 Console 용 DiscoveryTool, 또 하나는 GUI 용 DiscoveryTool 입니다.

원하시는 실행 방법을 선택하여 실행 파일을 클릭하면 탐지 도구가 시작됩니다.

아래는 GUI 기반 탐지 도구를 실행한 모습입니다.

'이 시스템은 취약한 상태가 아닙니다. 이미 패치되었습니다.' 라는 메시지가 나타난다면 일단은 안심입니다!

이번 패치 및 펌웨어를 통해 모든 취약점이 100% 안전해졌다고 할 수는 없습니다.

또한 운영체제 패치를 통해 PC 속도가 저하될 수 있다는 소식도 들려오고 있으며, 실제로 경험한 사례도 나오고 있는 상황입니다. 물론 인텔에서는 가정용 PC에서 주로 사용되는 게임, 웹 서핑 등의 작업을 할 때 미치는 영향은 매우 작을 것이라고 밝힌바 있습니다. 

그러나 추가적으로 보안이 필요한 업데이트나 성능 저하에 대한 후속 조치 등의 업데이트 및 펌웨어가 발표될 수 있으므로 지속적으로 관심을 가지고 지켜보는 것이 좋겠습니다.