23일 코인텔레그래프에 따르면, 학계의 새로운 연구 결과에서 애플의 M 시리즈 칩에서 심각한 취약점이 발견되었으며, 이로 인해 악의적인 공격자가 맥북 장치에서 기밀 암호화 키에 액세스할 수 있게 될 가능성이 있는 것으로 드러났디.
미국의 여러 대학 연구진이 지난 21일 발표한 보고서에 따르면, 해당 취약점은 사이드 채널 익스플로잇으로, 해커가 애플 칩이 일반적으로 사용되는 암호화 프로토콜을 실행할 때 엔드투엔드 암호화 키를 불법적으로 얻을 수 있는 것으로 밝혀졌다.
그러나 직접 패치를 통해 해결할 수 있는 기존의 취약점들과 달리 이 특정 문제는 실리콘 자체의 마이크로 아키텍처 설계에 깊이 뿌리를 두고 있어 “패치할 수 없는” 문제라고 한다.
이 결함을 제대로 해결하려면 타사 암호화 소프트웨어를 사용해야 하는데, 그럴 경우 특히 M1 및 M2 칩과 같은 초기 버전 애플M 시리즈 칩의 성능을 심각하게 저해할 수 있다.
또한 이러한 발견은 애플의 하드웨어 보안 인프라에 대한 주요 결함이자 과제를 강조하고 있다. 해당 익스플로잇을 실행할 경우 해커는 메모리 액세스 패턴을 가로채고 이를 악용하여 암호화 애플리케이션에서 사용하는 암호화 키와 같은 민감한 정보를 마음대로 추출할 수 있다.
연구원들은 이러한 유형의 해킹을 “고패치(GoFetch)” 익스플로잇이라고 명명했다. 이 해킹은 사용자 환경 내에서 원활하게 작동하며 일반 애플리케이션에 필요한 것과 유사한 ‘표준 사용자 권한’만 필요할 뿐이다.
이 연구가 공개된 후 온라인 맥 포럼의 사용자들은 비밀번호 키 체인에 대해 크게 우려하거나 필요한 조치를 취해야 할 이유가 있는 지와 관련해 의견을 나누기 제기하기 시작했다.
한 사용자는 애플이 운영체제 내에서 직접 문제를 완화할 것이라고 믿지만, 그렇지 않다면 “더 걱정스럽다”고 지적했다.
또 다른 사용자는 “이 같은 결함이 한동안 애플 내부에서는 알려져 있었다”고 주장하며, “이 때문에 애플의 M3에 ‘DMP를 비활성화하라’는 명령이 추가된 것일 수 있다”고 말했다. 그러면서 “이 주제와 관련해 이뤄졌던 이전 연구가 “전조(augury)”라고 불렸으며, 시기는 2022년으로 거슬러 올라간다고 언급했다.
한편, 이 같은 발견은 애플이 미국 법무부(DOJ)와 광범위한 반독점 소송을 벌이고 있는 가운데 나온 것으로, DOJ는 애플 앱스토어의 규정과 ‘독점’이 불법적으로 경쟁을 제한하고 혁신을 질식시킨다고 주장했다.
또한 DOJ는 애플이 “다양한 향상된 기능”을 제공하는 경쟁 디지털 지갑에 대한 접근을 차단하는 동시에 어플 개발자가 사용자에게 자체 결제 서비스를 제공하는 것을 차단했다고 꼬집기도 했다.