포셰도우 업데이트 내놓으면서 벤치마크 및 비교 테스트 금지시켜
커뮤니티 내 질책 이어져...간소화시킨 라이선스 정책 새롭게 내놔

[보안뉴스 문가용 기자] 인텔이 CPU 마이크로코드 업데이트용 라이선스에 커다란 변화를 줬다. 벤치마크와 비교 실험 분석이 금지된 이전 버전의 사용자들이 불편을 호소했기 때문이다.


스펙터(Spectre)와 멜트다운(Meltdown)을 시작으로 올해 1월부터 보안 전문가들은 인텔의 CPU에서 각종 추측 실행 관련 취약점들을 발견해왔다. 그에 따라 인텔은 마이크로코드 업데이트를 여러 차례에 걸쳐 발표 및 배포했다.

가장 최근에는 포셰도우(Foreshadow) 혹은 L1TF라고 불리는 취약점들이 발견되었고, 인텔은 이에 대한 마이크로코드 업데이트를 배포했다. MS와 리눅스 개발사들은 이를 받아 각 제품에 맞는 업데이트를 고객들에게 전달했다. 그런데 이번 업데이트와 함께 도착한 라이선스가 벤치마킹을 금지시키고 있다는 것이 사용자들 사이에서 회자되기 시작했다.

라이선스에는 다음과 같은 문구가 추가되어 있었다. “특별하게 허가를 받지 않는 이상, 사용자나 제3자가 소프트웨어 벤치마크나 비교 실험 결과를 공개하는 것을 허하지 않습니다.” 이것이 사용자들의 불만을 살 수밖에 없는 건, 멜트다운이나 스펙터와 같은 추측성 실행 관련 취약점을 패치하면 시스템 퍼포먼스에 큰 영향이 발생하기 때문이다.

포셰도우 취약점의 경우 인텔과 마이크로소프트는 “소비자 PC에서는 시스템 속도나 성능 저하가 크게 느껴지지 않을 것이지만 특별한 경우 데이터센터에서 사용되는 장비들에서는 속도와 성능 저하가 발생할 수 있다”고 발표하기도 했다.

그러므로 벤치마크나 성능 비교 실험을 금지시켰다는 건, 인텔 내부의 누군가가 패치 이후 떨어지는 CPU 성능에 대한 소문이 크게 나는 걸 원치 않는다고 볼 수 있다. 사용자들 역시 이러한 점을 재빨리 파악했기에 정보를 나누고 불만을 제기한 것이다.

오픈소스 운동을 창시한 인물 중 하나인 브루스 페렌스(Bruce Perens)는 “많은 사람들이 마이크로코드 픽스를 적용한 이후 속도와 성능에 얼마나 저하가 있는지 알고 싶어한다”며 “인텔이 벤치마크를 금지시키는 얕은 수작을 부린 건 개그에 가깝다”고 말했다.

“현명하지 못했어요. 인텔은 자신들의 취약점을 인정하고, 그것을 약화시킬 수 있는 최대한의 방법을 강구한 다음, 사용자들이 알아서 사용하도록 놔뒀어야 합니다. 성능이 저하되는 거 숨기겠다고, 실험 결과를 공개하지 못하게 한다? 나쁜 짓이죠. 심지어 표현의 자유를 침해하는 결정이기도 합니다. 윤리적으로 나쁜 짓을 한 겁니다. 이렇게 하면 소비자들이 인텔을 어떻게 신뢰할까요?”

리눅스 계열의 미드나잇BSD(MidnightBSD)의 프로젝트 책임자인 루카스 홀트(Lucas Holt)는 “최근 패치로 인한 성능 저하가 얼마나 심각했으면 인텔이 실험 자체를 금지시켰겠는가”라는 비꼬는 내용의 트위터를 올리기도 했다.

좋지 않은 반응들이 이어지자 인텔은 라이선스를 크게 간소화시켰다.
1) 마이크로코드 업데이트의 재배포 시 저작권 공고와 권리 포기 각서를 포함시키고,
2) 인텔의 소프트웨어로 만들어진 제품을 지원하거나 보증하기 위해 인텔의 이름을 사용해선 안 되며,
3) 인텔 소프트웨어의 리버스 엔지니어링과 분해는 허가되지 않는다는 것뿐이다.

인텔 오픈소스기술센터(Open Source Technology Center)의 총괄인 이마드 수수(Imad Sousou)는 “인텔 라이선스 내용을 크게 간소화시켜 CPU 마이크로코드 업데이트의 배포를 보다 쉽게 만들었다”고 발표했다. “오픈소스 커뮤니티 내 일원으로서 인텔은 사용자들의 피드백과 질책을 긍정적으로 수용할 예정입니다.”

3줄 요약
1. 인텔, 포셰도우 취약점 업데이트 내놓으면서 벤치마킹 및 비교 실험 금지시켜 질타 받음.
2. 마이크로코드 취약점에 대한 패치는 성능 저하를 야기하는데, 성능 테스트를 못하게 하니 그럴 수밖에.
3. 그래서 인텔은 라이선스 내용을 크게 간소화시킴.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>