애플 실리콘 칩서 메모리 예측 관련 보안 취약점이 발견됐다고 미코는 전했습니다.
조지아 공과대학교 연구진이 발견한 이 취약점들은 SLAP(Speculative execution via Load Address Prediction)과
FLOP(False Load Output Prediction)으로 불리며, 애플 실리콘 칩의 성능을 향상시키기 위해 사용되는 예측 실행 기능의 허점
을 이용하는 공격입니다.
SLAP 공격은 프로세서가 메모리 작동을 예측하는 과정서 오류가 발생할 때, 공격자가 범위 외 메모리에 접근해 이메일 내용과 같은
개인 정보를 탈취할 수 있는 방식입니다. 반면 FLOP 공격은 메모리 안전 검사를 우회해 신용 카드 정보와 같은 민감한 데이터에 접
근할 수 있게 해줍니다.
이 취약점의 영향을 받는 기기는 M2, M3 칩을 탑재한 맥북, 아이패드, 그리고 A15, A17 칩을 탑재 아이폰 포함, 최신 기기에 영향
을 미칠 수 있습니다. M1 칩 또는 이전 칩을 사용한 기기는 이런 특정 취약점의 영향을 받지 않습니다.
공격 방식은 악성 웹페이지를 통해 원격으로 이뤄질 수 있으며, 공격자는 사용자의 기기에 직접 접근할 필요가 없습니다. SLAP 공
격은 사파리 브라우저에 영향을 미치며, FLOP 공격은 사파리와 크롬 브라우저 모두에 영향을 줄 수 있습니다. 다른 브라우저들도
취약할 수 있지만, 아직 테스트되지는 않았습니다.
현재까지 이런 취약점이 실제 공격에 이용된 증거는 없지만, 잠재적인 위험성은 매우 높은 상황입니다. SLAP과 FLOP은 과거에 발
생했던 스펙터 및 멜트다운 공격과 유사한 예측 실행 취약점 공격이며, 애플 하드웨어를 직접적으로 겨냥한다는 차이점이 있습니다.
맥루머스에 따르면, 애플은 이런 취약점을 인지하고 있다고 합니다. 연구진이 약 1년 전과 6개월 전에 각각 SLAP과 FLOP 취약점
을 애플에 알린 덕분입니다. 애플은 향후 보안 업데이트를 통해 해당 취약점을 해결할 계획이지만, 칩 레벨서 근본적인 수정은 차세
대 프로세서서 가능할 것으로 보입니다.
애플은 연구진의 협력에 감사를 표하며, 이런 개념 증명이 위협에 대한 이해를 높이는 데 도움이 된다고 밝혔습니다. 또, 애플은 현
재까지 이 문제가 사용자에게 즉각적인 위험을 제기하지 않는다고 판단하고 있습니다.
사용자들은 최신 보안 패치를 포함한 소프트웨어 업데이트를 즉시 설치해야 하며, 신뢰할 수 없는 웹사이트 방문을 피하고 필요하지
않은 경우 자바스크립트를 비활성화하는 것이 좋다고 외신들은 전했습니다. 또, 스크립트를 차단하는 브라우저 확장 프로그램을 사
용하는 것도 도움이 될 수 있습니다.
댓글목록