원격 GPU 공격으로 인해 잠재적인 암호화폐 채굴 공격을 위해 웹사이트에 그래픽 카드에 대한 액세스 권한을 부여하는 브라우저의 위험이 촉발됩니다

오스트리아 그라츠 공과대학(Graz University of Technology)과 프랑스 렌 대학(University of Rennes)의 연구원들은 암호화폐 채굴 및 기타 악의적인 활동에 잠재적으로 악용 될 수 있는 그래픽 처리 장치(GPU)와 관련된 우려되는 취약점을 밝혔습니다. 새로 발견된 이 위협은 널리 사용되는 브라우저와 그래픽 카드를 대상으로 합니다.

취약점은 웹 개발자가 웹 브라우저 내에서 직접 고성능 작업을 위해 컴퓨터의 GPU를 활용할 수 있도록 하는 API인 WebGPU를 중심으로 이루어집니다. 연구원들은 JavaScript를 사용하여 이 API를 영리하게 조작함으로써 브라우저 내에서 완전히 작동하는 원격 공격 벡터를 시연했으며 기본 GPU API에 직접 액세스할 필요가 없습니다.

이 공격 방법은 웹 브라우저에서 발생하는 GPU 캐시 부채널 공격의 초기 사례 중 하나를 나타냅니다. 사용자가 익스플로잇 코드를 호스팅하는 악성 웹사이트를 방문하도록 유인함으로써 공격자는 단지 몇 분 동안 사이트에 머무르는 것 외에는 사용자 상호 작용 없이 원격으로 익스플로잇을 실행할 수 있습니다.

이 취약점의 의미는 중요합니다. 이 공격은 키 입력 타이밍 공격에 활용될 수 있으며 키 입력 타이밍을 기반으로 암호와 같은 민감한 정보를 잠재적으로 노출할 수 있습니다. 또한 GPU 기반 AES 암호화 키 추출을 지원하고 적당한 전송 속도로 비밀 데이터 유출 채널을 구축합니다.

연구원들은 브라우저 공급업체가 보안에 민감한 다른 리소스와 마찬가지로 GPU 액세스를 주의 깊게 처리해야 한다고 강조합니다. 연구원 중 한 명인 Lukas Giner는 웹 사이트에 호스트 시스템의 GPU에 대한 무제한 액세스를 허용하는 브라우저로 인해 발생하는 위험을 강조하면서 사용자가 모르는 사이에 은밀한 공격이나 심지어 은밀한 암호화폐 채굴 작업 의 가능성을 언급했습니다.

이 연구는 Chrome, Chromium, Edge 및 Firefox Nightly를 포함하여 WebGPU를 지원하는 브라우저에 영향을 미치는 AMD 및 NVIDIA의 다양한 데스크톱 그래픽 카드를 대상으로 했습니다. Mozilla, AMD, NVIDIA 및 Chromium 개발자에게 알림을 보냈음에도 불구하고 AMD만이 연구원이 자사 제품에 대한 공격을 입증했다고 믿지 않는다는 응답을 발표했습니다.

연구원들은 위험을 완화하기 위해 마이크나 카메라 액세스와 유사한 권한 팝업을 구현할 것을 제안했습니다. 그러나 Chromium 팀은 이에 상응하는 보안 이점 없이 사용자 마찰을 가중시킬 가능성이 있다는 점을 언급하며 의구심을 표명했습니다.

이번 공개는 브라우저 내에서 GPU 액세스를 보호하기 위한 사전 조치의 중요성을 강조합니다. 이 취약점을 해결하지 못하면 사용자가 데이터 도난부터 은밀한 암호화폐 채굴에 이르기까지 다양한 악의적인 활동에 노출될 수 있기 때문입니다.