intel me 관련해서 지속적으로 헛점이 발견되고 거기에 관해서 기사가 뜨지만

 사용자의 관점에서는 별 느낌이 없습니다.

 

 이는 이 보안의 헛점이란게 물리적 접근과 동시에 복잡한 방식으로 뚫어야 겨우 가능한

 접근성이 매우 낮은 종류의 취약점이기 때문인데요..

 그럼에도 지속적으로 어것만 쪼고 있는 보안 업체가 있고 뭔가 발견 될 때마다 지속적으로 난리가 나는 건.

 이 ME 라는 친구가 작동하는 방식 때문입니다.

 ME는 CPU를 위함 펌웨어 라고 흔히들 알려져 있으나...

 사실 X86 CPU와 독립적으로 작동하는 PCH에 통합되어 있는 다른 CPU에서 구동 됩니다.

 펌웨어는 UEFI와 같이 flash rom에 저장되어 있다. PCH 내부의 메모리로 로드되고 나면 

 X86 CPU 본체에서는 직접적으로 접근할 수 없는 상태가 됩니다.

 수정은 커녕 내부에 뭐가 있는지 볼수도 없습니다.

 역으로 PCH 내부에 있는 ME 펌웨어는 x86CPU의 MMIO은 IO port든 마음대로 접근 할 수 있을 뿐만 아니라..

 vPro 같은걸 지원하는 재품들의 경우 네트워크 칩셋이랑은 직통으로 연결되어 있어서 x86 CPU의 매모리 공간을 경유하지 않고도

 외부와 통신을 할 수 있습니다...

 이 시스템의 보안의 헛점들이 접근성이 낮음에도 주목을 받는것은 이런 이유입니다.

 넣기는 거의 불가능 해 보이지만. 넣고 나면 루트킷으로도 확인이 불가능 합니다.

 동일하게 루트킷으로 발견이 불가능한 레벨의 코드인 SMM 에 삽입되는 악성코드는 마찬가지로 접근성이 매우 낮은데도

 누군가 실용적으로 써 먹다가 들킨 예가 있습니다.

x86 CPU를 쓰는 네트워크 장비에 미리 넣어서 납품을 해 버린거죠.

SMM은 일단 x86 CPU에서 돌아가긴 하는거라 우회적으로 나마 작동의 흔적이 남는데.

ME는 아예 별도의 컴퓨터에서 도는 데다 매우 불투명 하게 작동합니다.

비슷한 짓을 하고 있는 사람이 있다면 이쪽은 더 들키기가 힘든거죠..

가능성은 낮지만 여지가 있는것 자체로 매우 불안한 그런 시스템인거죠.

 그리고 이 시스템 관련해서 인텔 자체가 과하게 비난을 받는 이유도 몇가지가 있는데...

 

첫째는 이런게 있을 필요가 있느냐는 부분입니다.

 언급했다시피 시스템 전체를 내려다보고 간섭할 수 있는 절대적인 위치에 있는 칩에

 구지 온갖 기능이 다 들어 있는 프로그래밍 가능한 묵직한 펌웨어가 올라갈 필요가 있는가 하는거죠.

 사람 불안하게 만드는 이런 불안한 친구를 꼭 있을 필요도 없는데 왜 넣느냐는 거죠..

둘째는 내껀데 왜 내맘대로 확인도 못하게 하느냐는 겁니다.

 수정된 펌웨어가 실행 될 수 있으면 모니터링 할 수 있도록 메모리 따서 외부로  유출하는 코드를 넣던가 해서

 인텔 너님이 실리콘에 이상한거 안 넣었는지 확인하고 안심하고 쓰겠는데.

 왜 그런짓 못하게 용을 쓰고 해시 키도 안풀고 그러느냐는거죠.

 뭐... 개인적으로는 그렇게 보안 관련해서는 안전불감증에 가까워서.. 별 불안은 안느낌니다만..

 이게 좀 불려서 펌웨어를 커스텀 할 수 있게 되었으면 하는 생각은 있습니다.

 NAS 같은거 꾸밀때 컴퓨터에 구지 라즈베리 파이 같은걸 붙여서 절전 대기시에 처리해야할 일을 맞기거나 하는데..

 예네를 커스텀 할 수 있으면 아주아주 편하고 깔끔하게 외부 컨트롤러 없이 하고 싶은걸 거의 다 할 수 있을것 같거든요..