인텔 CPU 보안 결함 해결 방법

 얼마 전 인텔 CPU의 보안에 치명적인 결함이 발견됐다고 한다.

 이는 컴퓨터와 서버 등에 영향을 줄 수 있는 상당히 심각한 결함이라고 하는데 전 세계의 대부분의 사람들이 사용하고 있는 CPU가 인텔의 제품이니 만큼 상당히 큰 문제로 보인다.

 더군다나 해당 결함을 이용하면 인텔 CPU를 탑재한 컴퓨터의 시스템 제어권을 빼앗아 조작하거나 정보를 빼돌리는 등의 작업이 가능하며 CPU의 펌웨어에서 동작하기 때문에 운영체제 수준에선 실제로 공격을 당하고 있는지 알기가 어렵다고 하니 굉장히 치명적이라고 할 수 있다.

 그나마 인텔의 모든 CPU가 이에 해당하는 것은 아니고 최근 2년 내에 출시된 CPU가 이에 해당한다고 하는데 일반 데스크탑 컴퓨터의 경우 6, 7, 8세대의 인텔 CPU가 해당된다.

▷ 인텔 CPU 보안 결함 확인.

 보안 결함을 해결하기 위해서는 문제가 되는 펌웨어를 업데이트하는 것으로 해결이 된다고 한다.

 하지만 무작정 업그레이드하는 것보다는 우선 아래의 방법으로 현재 CPU의 보안에 결함이 있는지 확인을 하는 것이 좋지 않을까 한다.

 (또한 펌웨어를 업그레이드 한 뒤에 정상적으로 결함이 해결됐는지 확인하는 용도로도 사용할 수 있지 않을까 한다.)

 1. Intel-SA-00086 결함 확인 툴 다운로드.

 링크된 사이트에서 'Intel-SA-00086 Detection Tool'를 클릭한 뒤 자신의 운영체제에 맞는 툴을 다운로드하도록 하자.

 (조금 내리다 보면 중간쯤에 있다.)

 다운로드 사이트 바로가기

 

2. Intel-SA-00086-GUI 실행.

 파일을 다운로드하고 압축을 풀면 3가지 폴더가 나올 것이다.

 이 중 'DiscoveryTool.GUI'폴더로 들어가 'Intel-SA-00086-GUI'파일을 실행하면 자신이 사용하고 있는 CPU에 보안 결함이 있는지 확인 할 수 있다.

해당 사항에 없는 CPU는 문제가 없다고 나온다.

▷ 인텔 CPU 보안 결함 해결 방법 - 펌웨어 업데이트.

 위에서도 언급했지만 펌웨어를 업데이트 하는 것으로 보안 결함을 해결할 수 있다고 한다.

 우선 보안 결함으로 문제가 되는 CPU는 6,7,8세대 CPU 외에 서버 제품군인 Xeon도 포함이 되며 업그레이드 해야하는 펌웨어의 버전도 조금씩 다른데 자세한 목록은 아래와 같다.

- 6th, 7th & 8th Generation  Intel Core Processor Family	ME 펌웨어 11.8.50.3425 이상 권장,  최소 11.8.50.3399 버전 이상 사용.
- 6th, 7th Gen X-Series  Intel Core Processor Family	ME 펌웨어 11.11.50.1422 이상 권장,  최소 11.11.50.1402 버전 이상 사용.
- Intel Xeon Processor  E3-1200 V5 & v6 Product Famaily	ME 펌웨어는 6, 7, 8세대와 같고,  추가로 SPS 펌웨어 4.1.4.054 버전 사용.
- Intel Xeon Processor  Scalable Family	ME 펌웨어 11.21.50.1424 이상 권장,  최소 11.21.50.1400 버전 이상 사용.  추가로 SPS 펌웨어 4.0.04.288 버전 사용.
- Intel Xeon Processor  W Family	ME 펌웨어 11.11.50.1422 이상 권장,  최소 11.11.50.1402 버전 이상 사용.
- Intel Atom C3000 Processor  Family	SPS 펌웨어 4.0.04.139 버전 사용.
- Apollo Lake Intel Atom Processor  E3900 Series	TXE 펌웨어 3.1.50.2222 버전 사용
- Apollo Lake Intel Pentium
- Celeron N and J

 위 표에서 펌웨어를 확인했다면 이제 업데이트 파일을 다운로드하여 펌웨어를 업데이트하면 되는데 방법은 아래와 같다.

 참고로 본인의 메인보드가 에즈락이라면 아래의 링크를 통해서 간단하게 펌웨어 업그레이드가 가능하다.

 https://www.asrock.com/microsite/2017IntelFirmware/

 1. 펌웨어 다운로드.

 일단 아래의 사이트에서 펌웨어를 다운로드하도록 하자.

 참고로 ME 펌웨어의 경우 'B. About Intel (CS) ME Firmware Updates' 항목 밑에 보면 버전별로 쭉 나열되어 있으며 B1. Consumer Systems는 개인용, B2. Corporate Systems는 기업용이라고 하니, 일반 데스크탑 사용자는 B1의 항목에 있는 ME펌웨어를 다운로드하면 된다.

 (기본적으로 영문사이트다 보니 보는데 불편하다면 크롬 번역 같은걸 이용해도 된다.)

 다운로드 사이트 바로가기

 

2. 업데이트 도구 다운로드.

 펌웨어 업데이트 파일을 다운로드해서 압축을 풀어보면 BIN파일만 있다.

 하지만 BIN파일만 가지고는 아무것도 할 수 없기 때문에 이것을 업데이트해주는 도구도 다운로드해야 한다.

 조금 전 ME 펌웨어를 다운로드한 페이지에서 스크롤을 조금 더 내리면 'C2. Intel (CS) ME System Tools'항목이 보이는데 여기서 버전에 맞는 도구를 다운로드하면 된다.

 참고로 도구에는 업데이트 도구 외에 현재 컴퓨터의 펌웨어 버전을 확인할 수 있는 도구 등 다른 도구도 존재한다.

 3. 펌웨어 업데이트.

 펌웨어 업데이트 파일과 업데이트 도구를 다운로드했다면 이제 업데이트를 진행하면 된다.

 우선 업데이트 도구의 압축을 풀면 여러 가지 폴더가 나오는데 이 중에서 'FWUpdate'라는 폴더를 클릭한 뒤 자신의 운영체제에 맞는 폴더로 들어가면 업데이트를 해주는 파일이 보인다.

 예)

 \Intel CSME System Tools v11 r5\FWUpdate\WIN64

 이 파일을 BIN 파일이 있는 곳에 옮겨도 좋고 BIN파일을 여기다 옮겨도 상관은 없다.

 두 개의 파일을 하나의 폴더에 이동시켰다면 이제 CMD를 관리자 권한으로 실행한 뒤 해당 폴더로 이동해서 아래의 명령어를 입력하면 된다.

 명령어)

 업데이트도구 -f Bin파일

 예)

 FWUpdLcl64 -f 11.11.50.1402_CON_H_D0_PRD_RGN.bin