Home > 전체기사
컴퓨터를 구성하는 하드웨어 장비들, 보안 상태 엉망이다
  |  입력 : 2020-02-19 11:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
델, 레노버, HP 등 굵직한 기업들, 제품 내 요소들까지 전부 안전하지는 않아
펌웨어 코드 서명 하지 않는 것이 가장 큰 문제...펌웨어를 공격자가 교체할 수 있어


[보안뉴스 문가용 기자] 컴퓨터와, 그 컴퓨터를 구성하는 각종 하드웨어 요소들을 연결시켜주는 소프트웨어들이 사이버 공격자들의 조력자가 될 수 있다. 하드웨어 요소들을 만드는 회사들이 안전 장치를 제대로 확보하지 않는 경향이 있기 때문이다. 이러한 상황에 대해 보안 업체 에클립시움(Eclypsium)이 보고서를 발표했다.

[이미지 = iclickart]


에클립시움은 와이파이 어댑터, USB 허브, 트랙패드, 카메라 등 각종 부품들을 만드는 기업들 중 덩치가 크다고 하는 곳들이 펌웨어 서명을 하지 않고 있으며, 이 때문에 공격자들이 원래의 하드웨어 코드를 악성 코드로 교체할 수 있게 된다고 공개했다. 이 악성 코드를 통해 공격자들은 장비를 장악하고, 사용자를 염탐할 수 있게 된다고도 덧붙였다.

에클립시움이 지적한 ‘덩치 큰 부품 제조사들’은 레노버, 델, HP 등이다. “사실 놀라운 결과라고 할 수 없습니다. 랩톱이나 서버를 이런 대기업들에서 구매하는 순간 수많은 하드웨어 제조사들의 제품도 함께 구매하는 것입니다. 노트북 한 대에는 20개가 넘는 제조사의 부품이 들어있고, 서버는 100개도 넘죠. 이렇게 부품과 펌웨어를 공급하는 작은 회사들은 소프트웨어 보안에 대한 개념을 아직 갖추지 못하고 있습니다. 그 결과 서명이 안 된 펌웨어와 업데이트들이 난무한 것이죠.” 에클립시움의 수석 연구원인 제스 마이클(Jesse Michael)의 설명이다.

“에드워드 스노든이 NSA 문건을 공개하고, 해커란 부류들이 어떤 식으로 우리들을 정찰하는지 온 세상이 알게 되었지만, 그래도 안전한 펌웨어 개발 및 업데이트 프로세스가 정착하지 않았다는 걸 이번 보고서를 통해 다시 한 번 강조하고자 합니다. 소프트웨어 개발사들 중 대다수는 코드 서명 인증서를 활용하는 등 보안을 강화해왔습니다만, 하드웨어 제조사들에서는 이런 노력이 부족해 보입니다.”

마이클은 “그 동안 펌웨어와 하드웨어 요소들을 통한 공격이 충분히 발생했음에도, 펌웨어 서명을 잘 하지 않는 제조사들이 이렇게 많다는 건 생각해볼 문제”라고 설명을 이어갔다. “이 때문에 수천 만대의 윈도우 및 리눅스 기반 시스템들이 펌웨어 공격에 노출되어 있습니다. 소프트웨어를 아무리 강화해봤자, 하드웨어를 구성하는 요소들이 취약하면 아무런 소용이 없습니다. 공격자들은 여전히 데이터를 빼가고, 사업 프로세스를 마비시키고, 랜섬웨어 공격을 실시할 수 있습니다.”

예를 들어 랩톱 제조사들에 트랙패드를 공급하는 시냅틱스(Synaptics)라는 회사는, 펌웨어 업데이트를 적용하기 전에 암호화 서명을 확인하지 않는 것으로 나타났다. 이 때문에 레노버 랩톱에 임의의 악성 코드를 실행하는 게 가능했고, 에클립시움의 연구자들은 시스템을 트로이목마로 변환시키는 데 성공했다.

뿐만 아니라 델에서 만든 랩톱도 이런 식의 가상 공격에 당했다. 에클립시움에서 델 노트북에 있는 와이파이 어댑터의 펌웨어를 조작하는 데 성공한 것이다. 실험에 사용된 건 킬러 와이어레스(Killer Wireless)라는 업체에서 만든 장비였고, 위의 경우와 마찬가지로 코드 서명을 확인하지 않아 악성 코드를 실행할 수 있었다고 한다.

마이클은 “하드웨어를 침해하는 데 성공했을 때 공격자가 얻는 장점은, 멀웨어를 계속해서 재장전할 수 있다는 것”이라고 지적한다. “백신 스캐너 등 각종 보안 장비들이 뭔가 이상하다는 걸 탐지하고 멀웨어를 지울 수 있습니다. 하지만 그래봐야 하드 드라이브에 있는 것을 지울 수 있을 뿐입니다. 하드웨어 요소들에까지 도달하는 보안 장비는 거의 없습니다. 그러니 공격의 지속성이라는 측면에서는 하드웨어 요소들을 공략하는 게 훨씬 효과가 좋습니다.”

또한 장비의 성능에 따라 공격자들은 여러 가지 다양한 이점을 가져갈 수도 있다. “예를 들어 공격자들이 네트워크 어댑터를 침해하는 데 성공했다고 합시다. 공격자들은 이를 통해 피해자의 통신을 몰래 가로채거나, 임의의 명령을 피해자 시스템으로 전송할 수 있게 됩니다.” 실제 에클립시움은 브로드컴에서 만든 BMC가 탑재된 서버의 펌웨어를 조작함으로써 네트워크 통신에 은밀하게 접근하는 데 성공하기도 했다. 그러면서 공격을 위한 비밀 채널을 구축하기까지 했다.

“그 공격을 성공시키고 나자, BMC 네트워크 패킷의 컨텐츠를 조사할 수도 있었고, 필요에 따라 BMC 트래픽을 그 때 그 때 조작하는 것도 가능했습니다. 이것이 실제 상황이었다면 BMC가 보내는 경고 신호도 가로챌 수 있게 됩니다. 심지어 그 경고 신호를 공격자가 원하는 서버로 전송할 수도 있게 되죠. 이를 공격자의 서버로 전송한다고 하면, 공격자는 이 신호를 분석해 2차, 3차 공격을 정교하게 계획할 수도 있게 됩니다. 이런 일이 일어나는 동안 방어자 측면에서는 아무런 이상 현상을 발견하지 못합니다.”

마이클은 “유명 하드웨어 제조사들, 즉 작은 회사들에 하청을 주는 업체들이 공급자들에게 보안을 강조하는 것이 가장 빠른 해결책”이라고 제시한다. “레노버, HP, 델과 같은 곳에서 ‘당신들 부품들에 보안 기능이 제대로 탑재되지 않으면 곤란하다’고 압력을 넣어야 효과가 생길 겁니다. 그리고 레노버, HP, 델이 이런 압력을 넣으려면, 소비자들이 이런 상황을 알고 구매 결정을 해야 하겠죠. 현재 레노버, HP, 델의 제품들에는 위험한 하드웨어 요소들이 많이 포함되어 있는 건 사실입니다. 이걸 소비자들이 알아야 합니다.”

3줄 요약
1. 유명 컴퓨터 제조사들의 제품 속에는 덜 유명한 하드웨어 공급자들의 제품이 가득.
2. 그런데 이 하드웨어 제조사들은 펌웨어 보안을 제대로 하지 않고 있음.
3. 결국 델, 레노버, HP와 같은 큰 업체들이 하청업체들에 ‘보안 압박’을 가해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)