Offcanvas

디지털 디바이스 / 보안

보안 전문가 2인, 인텔 부트 가드 무력화 공격법 경고··· "영구적 맬웨어 가능성 존재"

2019.05.13 Brian Cheon  |  CIO KR
일부 인텔 기반 시스템에서 부트 검증 프로세스를 무력화할 수 있는 공격 기법이 발견됐다. 은밀하고도 영구적으로 컴퓨터를 공격할 수 있다는 점에서 눈길을 끈다. 

보안 연구원 피터 보쉬와 트래멜 허드슨은 지난주 암스테르담에서 열린 '핵 인 더 박스' 컨퍼런스에서 인텔의 표준 UEFI가 제공하는 부트 가드(Boot Guard) 기능을 공격하는 TOCTOU(time-of-check, time-of-use) 시연을 진행했다. 

부트 가드는 인텔 코어 4세대 마이크로아키텍처(하스웰)에 추가된 기술로, 저수준 펌웨어(UEFI)가 정상 상태임을 보증한다. 컴퓨터가 부팅될 때마다 로딩된 펌웨어 모듈이 인텔 또는 PC 제조업체의 신뢰할 만한 키로 디지털 서명됐는지를 확인하는 방법을 통해서다. 

네덜란드 라이덴 대학(Leiden University)의 독립 연구원인 보쉬는 자신의 노트북에서 오픈소스 코어부트(Coreboot) 펌웨어를 사용할 방법을 찾는 과정에서 부트가드 검증 프로세스의 허점을 발견했다고 밝혔다. 

그에 따르면 시스템이 펌웨어를 검증한 후 캐시에 확인된 복사본을 만든다. 이후 SPI(Serial Peripheral Interface) 메모리 칩에 위치한 복사본으로부터 모듈을 읽게 된다. SPI 메모리 칩은 UEFI 코드를 저장하는 칩이다. 즉, 암호화 검사가 통과된 후에는 시스템이 복사본을 의지하게 되는데, 이는 올바르지 않는 동작이라는 설명이다. 

보쉬는 이 과정에서 공격자가 악용할 소지가 있다고 판단했으며, 하드웨어 및 펌웨어 보안 전문가 트래멜 허드슨과 공유했다. 허드슨은 애플의 썬더볼트 기술을 공격했던 썬더스트라이크에 대한 연구로 유명한 인물이다. 

허드슨은 플래시 메모리 칩에 프로그래밍 칩을 부착해 CPU가 SPI 메모리에서 펌웨어 모듈 복사본을 다시 읽는 과정을 해킹했다. 그 결과 악성 및 서명되지 않은 코드가 성공적으로 실행될 수 있었다. 

물론 이러한 공격이 가능하기 위해서는 노트북 케이스를 열어야 한다. 그러나 악의적인 코드를 영구화할 수 있다는 점에서 심각할 수 있다. 실제로 허드슨은 실제 SPI 플래시 칩과 동일한 크기를 가진 에뮬레이터 칩을 이미 설계했으며 일부 플라스틱 코팅이 추가되면 육안 검사 또한 쉽게 통과할 수 있게 된다고 전했다. 

-> '킬 스위치, 얼굴 인증...' 최신 노트북 보안 기술 4가지

이러한 물리적 공격은 광범위한 위협이 되지는 않을지라도 귀중한 정보에 접근하는 기업이나 사용자에게 심각한 위협을 초래할 수 있다. 가령 해외 여행 중인 CEO가 노트북을 호텔방에 두는 경우 청소하는 이들을 활용하는 시나리오가 가능하다. 보쉬는 CSO와의 인터뷰에서 적절한 장비를 갖춘 숙련자라면 15~20분 정도에 가능한 업무라고 말했다. 

또 다른 시나리오도 있다. 예를 통해 정보 기관이 운송 중인 컴퓨터를 가로채 하드웨어 공격을 하는 공급 체인 공격이다. 에드워드 스노든이 유출한 문서에 따르면 NSA는 이미 이러한 공격 기술을 사용한 바 있다. 보쉬는 노트북에 봉인 씰 등의 방어 메커니즘이 존재하기는 하지만 전문 지식과 자원을 가진 조직이라면 이를 쉽게 우회할 수 있다고 전했다. 

이들 2인의 연구원은 지난 1월 인텔에 그들의 발견 사실을 통보했으며, 인텔이 이미 바이오스 제조업체 및 PC 제조업체에 패치를 제공하고 있다고 밝혔다. 그러나 문제는 UEFI 패치가 쉽지 않다는 점이다. 즉 제조사가 UEFI 업데이트를 제공할지라도 이를 설치하지 않은 사용자들이 존재할 수 있다. 또 일부 제조업체의 경우 여러 이유로 패치를 제공하지 않을 수도 있다. 

이들 연구원은 SPI스파이(SPISpy)라는 도구를 향후 몇 개월 내에 개발해 관련 당자사가 컴퓨터 취약성 여부를 확인할 수 있도록 공개할 계획이다. 보쉬는 "업계에서 펌웨어 소소를 공개하는 정책을 펼쳐 보안을 쉽게 검증할 수 있게 되기를 기대한다"라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.