Home > 전체기사
널리 사용되는 tBoot의 슬립모드 통해 인텔 TXT 무력화 가능
  |  입력 : 2018-04-04 16:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한국의 두 보안 연구원, 블랙햇아시아서 인텔 TXT 무력화 방법 발표
오픈소스인 tBoot 슬립모든 3단계에 돌입할 때 PCR 값 임의로 변경 가능


[보안뉴스 문가용 기자] 3단계 슬립모드에 대한 위험성이 연구 및 발표됐다. 한국의 국가보안기술연구소(NSR)의 수석 보안 전문가인 한승훈(Seunghun Han)과 박준혁(Jun-Hyeok Park) 연구원이 블랙햇아시아를 통해 발표한 내용으로 슬립모드를 통해 인텔의 신뢰된 실행 환경(Trusted eXecution Environment, TXT)을 공격하는 게 가능하다고 한다. “인텔 TXT 내 오류를 익스플로잇 한다면 슬립모드에서 깨어나는 순간부터 침해가 이뤄집니다.”

[이미지=iclickart]


인텔의 TXT란 하드웨어 기반 기능으로 역동적인 신뢰점 측정(Dynamic Root-of-trust Measurement, DRTM)을 지원하고, 부트와 실행 시간 동안 플랫폼의 신뢰성을 확인한다. 그런데 슬립모드를 이용하면 인텔 TXT의 참조구현인 tBoot을 겨냥하는 공격이 가능해진다는 것이다. tBoot는 오픈소스 프로젝트로 가상 기기 모니터와 운영체제를 보호하며, 서버 환경에서 주로 사용된다.

두 전문가가 발견한 취약점은 CVE-2017-16837로 로스트 포인터(Lost Pointer)라는 이름을 가지고 있다. 이 취약점이 존재하는 곳은 tBoot로, 이번 발표 이전에는 한 번도 발견되지 않은 내용이라고 한다. “다만 공격이 성립하려면 공격자가 루트 권한을 먼저 가지고 있어야 합니다. 그것 외에는 전제 조건이 없습니다.”

한승훈 연구원과 박준혁 연구원은 이전부터 인텔의 TXT와 tBoot를 연구했었다. 하지만 부트 과정에 초점이 맞춰진 연구였지 취약점을 찾으려 이리 저리 찔러보는 것은 아니었다. CVE-2017-16837은 tBoot를 슬립모드에 뒀다가 원상복귀 시키는 과정을 분석하다가 발견한 것으로, 둘은 이 취약점의 익스플로잇 방법까지도 개발하는 데 성공했다고 한다.

물론 ‘슬립모드를 통한’ 공격이니만큼 시스템을 24시간 쌩쌩 돌리면 두 연구원이 발견한 공격법은 무용지물로 변할 수 있다. 그러나 한승훈 연구원은 “일반적으로는 경제적인 이유 때문에 슬립모드를 활용하는 것이 현실”이라고 지적한다. “컴퓨터 파워를 계속해서 사용하는 것에는 비용이 들죠. 많은 조직들이 기기 파워에서 발생하는 전기세를 최대한 아끼고 싶어 합니다.” 즉 슬립모드를 통한 공격이 충분히 ‘실제적’이라는 것이다.

고급 구성과 전원 인터페이스(advanced configuration and power interface, ACPI)를 지원하는 PC, 랩톱, 서버 환경에는 여섯 가지 ‘슬립 상태’가 존재한다. 여섯 단계를 통해 파워 소비량을 천천히 낮추기 위함이다. 슬립모드 0(S0)부터 시작해 S5까지 진행되면서 CPU, 기기, RAM 등은 완벽한 슬립모드에 돌입하기에 이른다. CPU와 기기에 전원 공급이 끊기는 건 3단계인 S3부터다.

“파워가 완전히 차단되기 때문에 슬립모드를 해제시키려면 시동이 다시 걸려야 합니다. 이 과정에 개입이 가능하며, 개입 성공 시 여러 가지 행위를 실행할 수 있게 됩니다.” 한승훈 연구원의 설명이다.

박준혁 연구원은 “물론 부트를 보호하는 장치가 존재한다”며 “통일 확장 펌웨어 인터페이스(Unified Extensible Firmware Interface, UEFI)의 안전 부팅(secure boot)이 실행 전에 바이너리의 암호화된 시그니처를 확인한다”고 설명을 덧붙였다. “만약 실행 파일에 필요한 시그니처가 없다면 실행을 하지 않습니다. 또 신중한 부팅(measured boot)이라는 것도 있습니다. 실행 전에 바이너리의 해시를 점검하고 보안 플랫폼 모듈(Trusted Platform Module, TPM)에 그 값을 저장하는 겁니다.”

보안 플랫폼 모듈이란 하드웨어 보안 기기로 이미 시장 내 여러 기기들에 탑재되어 있다. 한승훈 연구원은 이 TPM에 대해 “무작위 숫자 생성기와 암호화 기능, 플랫폼 구성 레지스터(Platform Configuration Register, PCR)로 구성되어 있으며, 해시를 저장한다”고 설명한다.

그렇다면 슬립모드에는 어떠한 약점이 존재하는 걸까? “시스템이 다시 활성화가 될 때, CPU의 보안 기능들을 먼저 작동시키고 TPM에 있는 PCR을 먼저 복구시켜야 합니다. 이게 정상적인 프로세스입니다. 하지만 로스트 포인터 오류 때문에 tBoot는 모든 함수의 포인터들을 측정하지 않습니다. 특정 포인터는 확인 과정을 거치지 않는다는 것이죠. 이를 악용해서 임의의 코드를 실행시키는 게 가능해집니다.”

로스트 포인터 취약점을 3단계 슬립모드에서 익스플로잇 함으로써 두 연구원은 PCR 값을 조작해 시스템에 주입하는 데 성공했다고 한다. PCR 변수를 공격자가 마음대로 만들 수 있다는 것은 인텔의 TXT 보안 메커니즘 자체를 완전히 무력화시킬 수 있다는 것이라고 한다.

두 연구원은 “tBoot를 최신화 시킴으로서 이 공격을 막을 수 있다”고 강조한다. “또 다른 옵션은 바이오스(BIOS)의 슬립모드 기능을 비활성화시키는 것이 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
6월 25~26일 열리는 국내 최대 규모 개인정보보호 축제 ‘2019 개인정보보호 페어’에서 가장 중점적으로 논의되어야 할 이슈는 무엇이라고 보시나요?
개인정보 손해배상책임보험(사이버 보험) 의무화
개인정보처리시스템 접속기록 보관기간 확대 등 개인정보의 안전성 확보조치 기준 개정
개인영상정보의 보호 또는 활용 위한 법제도 마련
클라우드 환경 확대에 따른 개인정보보호 이슈
이미지속 개인정보 유출 위험과 대응방안
개인정보보호 관련 한-EU 적정성 평가 논의
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

엘세븐시큐리티
정보보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향