Intel의 “몰락” CPU 취약점으로 인해 소비자 집단 소송이 발생함

Intel은 칩 제조업체가 Downfall 취약점을 알고 있었고 여전히 시장에서 칩을 판매했다고 주장하면서 소비자로부터 소송을당했습니다.

Intel CPU 사용자의 소송에 따르면 Team Blue는 몰락 가능성을 알고 있었지만 아무것도 하지 않았습니다.

소송에 들어가기 전에 몰락(Downfall)이 무엇인지 요약해 보겠습니다. 이전에 설명한 것처럼 취약점은 특히 AVX2/AVX-512 수집 명령을 활용하는 작업 부하에 영향을 미칩니다. Intel은 “Downfall”이 이전 세대 Tiger Lake/Ice Lake 라인업에 더 큰 영향을 미쳤다고 밝혔습니다. 쉽게 말하면, 이 취약점은 하드웨어 레지스트리 콘텐츠를 노출시켜 잠재적으로 대규모 데이터 도난으로 이어질 수 있습니다. 업계의 취약점은 매우 흔한 일이기 때문에 회사의 잘못으로 간주되지 않으며 완화 조치가 신속하게 적용되는 경우가 많습니다.

그러나 The Register가 보고한 대로 5명의 Intel CPU 구매자가 제기한 소송에서는 Team Blue가 2018년부터 AVX 사이드 채널 취약점을 알고 있었다고 주장합니다. 더욱이 회사는 Downfall까지 아키텍처의 루프를 수정하지 않는 경향이 있었습니다. 수백만 명의 사용자의 보안을 위험에 빠뜨렸을 뿐만 아니라 취약점의 여파로 인해 성능이 50% 저하되는 현상이 발견되었습니다. The Register의 보고서는 Downfall의 존재가 실제로 5년 전에 어떻게 시작되었는지 요약합니다.

불만 사항에 따르면 2018년 여름 인텔이 스펙터(Spectre)와 멜트다운(Meltdown)을 처리했을 때 제조업체는 제3자 연구자들로부터 인텔 CPU를 허용하는 마이크로프로세서의 AVX(Advanced Vector Extensions) 명령어 세트에 대해 경고하는 두 개의 별도 취약점 보고서를 받았습니다. 여러 데이터 조각에 대해 동시에 작업을 수행하여 성능을 향상시키는 코어는 다른 두 가지 심각한 결함과 동일한 수준의 부채널 공격에 취약했습니다.

신고자들이 제기한 주장은 인텔이 오랫동안 “허점”을 잘 알고 있었고, 5년 전에 그 잠재적인 존재를 알았음에도 불구하고 이를 고치려는 노력을 하지 않았다는 것을 폭로합니다. 또한 인텔은 해당 명령과 관련된 “비밀 버퍼”를 구현했다고 합니다. 이는 기본적으로 일시적으로 취약점의 위협을 억제하기 위한 것입니다. 이는 문제를 해결하기는커녕 오히려 발생을 더욱 심화시켰고, 이로 인해 데이터 도난 등의 공격이 발생했습니다.

CPU 캐시에 남아 있는 부작용과 결합된 이러한 비밀 버퍼는 Intel CPU의 백도어와 같은 것을 열었고, 공격자가 AVX 명령을 사용하여 고급 암호화 표준(‘AES)에 사용되는 암호화 키를 포함하여 메모리에서 민감한 정보를 쉽게 얻을 수 있게 했습니다. ‘) 암호화 – Intel이 Spectre 및 Meltdown 이후에 수정한 것으로 추정되는 바로 그 설계 결함을 활용합니다.

Intel은 아직 이 주장에 응답하지 않았지만 Team Blue가 아키텍처 내 잠재적인 백도어와 허점에 대해 분명히 “방해”하지 않아 소비자와 기업 모두를 위험에 빠뜨리는 것을 보여주기 때문에 이는 회사에 대한 몇 가지 심각한 주장입니다. 그러나 우리는 아직 결론을 내려서는 안 됩니다. 왜냐하면 “무죄가 입증될 때까지 유죄”라고 말하기 때문입니다.

뉴스 출처: The Register