인텔, AMD, ARM 등 주요 제조사가 생산하는 거의 모든 칩에서 보안 결함이 발견됐다. 데스크탑 PC, 모바일 애플리케이션 프로세서(AP), 타블렛 등의 CPU에서 버그를 이용해 해커가 사용자의 암호와 중요한 데이터를 빼갈 수 있을 정도의 결함이다. 

이번에 발견된 보안결함은 아마존, 구글 등과 같은 클라우드 서비스 업체들에게도 위협이 될 수 있다는 분석 결과가 나오며 향후 큰 파장이 일 전망이다. 

3일(현지시간) 美 IT매체 지디넷을 비롯한 주요 외신들은 주요 칩에서 '멜트다운'과 '스펙터' 보안 결함이 발견됐다고 보도했다. 멜트다운은 인텔 칩에서만 발견된 것으로 전해졌다. 

해당 결함은 1995년 이후 나온 거의 모든 컴퓨터와 휴대폰에 영향을 미칠 수 있는 것으로 알려졌다. 운영체제(OS)도 가리지 않는다. 윈도우, 맥OS 뿐만 아니라 리눅스까지도 영향을 받을 수 있다. 

보안 전문가들은 해커들이 이번 결함을 이용한다면 암호, 브라우저 내역, 이메일 및 메신저 내용, 사진, 문서 등을 훔칠 수 있을 것이라고 경고하고 나섰다. 

멜트다운은 인텔 CPU에 적용된 '비순차적 명령어 처리' 기술의 버그와 관련이 있다. 이를 이용하면 보안을 위해 응용 프로그램이 CPU의 캐시 메모리에 접근하지 못했던 하드웨어 보안 구조가 무너진다. 버그 이름이 멜트다운(붕괴)인 이유다. 

사용자의 시스템 메모리에 접근할 수 있는 멜트다운은 이론적으로 '비순차적 명령어' 처리 기술이 적용된 모든 인텔 CPU에서 생길 수 있다. 아톰 프로세서를 제외한 1995년 이후 판매된 모든 인텔 CPU가 해당된다. 

스펙터는 CPU 속 명령어에서 생기는 버그를 이용한 보안 취약점이다. 이를 이용해 해킹 프로그램은 다른 응용 프로그램의 메모리 내부를 볼 수 있다. 멜트다운에 비해 노출 범위가 작은 편이지만, 어떻게 이를 추적해야 하는지를 찾기가 매우 어렵다. 그래서 이 버그의 이름은 스펙터(유령)으로 명명됐다. 

이 두가지 결함은 구글 보안기술팀의 제인 혼 수석연구원과 보안전문가들에게 발견됐다. 구글은 6개월 전 주요 CPU 제조사에 해당 사실을 알렸고 지난 3일(현지시간) 공지했다. 

멜트다운의 해결 방법은 간단하면서도 어렵다. 소프트웨어 패치를 통해 비순차적 명령어를 비활성화 하면 결함은 해결되지만 CPU 성능이 최대 30%까지 저하될 수 있다는 지적이 나온다. 

스펙터의 경우엔 알려진 마땅한 치료 방법조차 없다. 이를 완전히 해결하기 위해선 프로세서 디자인을 새롭게 해야 하는 것으로 알려졌다. 

구글과 MS는 결함이 알려진 직후인 3일 시스템 업데이트를 통해 멜트다운 해결 패치를 완료했다고 밝혔다. 아마존도 패치가 완료됐다. 윈도우10, 맥OS 하이시에라, 최신 안드로이드 OS는 일반 사용자용 보안 패치도 공개됐다. 다만 최신이 아닌 버전의 OS 이용자용 보안 패치는 아직 없는 상황이다.