2016.07.05

안드로이드 '풀-디스크 암호화' 무력화 가능성··· 퀄컴 기반 기기가 주인공

Lucian Constantin | IDG News Service
퀄컴 기반 안드로이드 기기에서 무차별 대입 공격(brute-force attack)에 취약한 결함이 발견됐다. 해커뿐 아니라 법 집행기관의 의뢰를 받은 안드로이드 기기 제조사에 의해서도 악용될 소지가 있다는 점에 눈길을 끈다. 



안드로이드의 풀 디스크 암호화는 무차별 대입 공격에 취약하다. 출처 : IDGNS

퀄컴 칩셋이 탑재된 안드로이드 기기에서 악용 가능성 높은 취약점이 출현했다. 사용자 데이터를 보호하는 암호화키를 추출하고 무차별 대입 공격을 감행하는데 활용될 수 있는 취약점이다. 

이는 지난주 보안 연구원 갈 베니아미니가 지적한 사항으로, 공격자는 두 개의 취약점을 이용해 무차별 대입 공격을 시도할 수 있다. 퀄컴은 ARM CPU 트러스트존 내에 존재하는 이들 취약점을 올해 패치한 바 있지만 여전히 수많은 기기가 이 위험에 노출된 상태다. 

ARM 트러스트존은 메인 OS와 따로 작동하는 자체 TEE(Trusted Execution Environment)와 커널을 구동하는 하드웨어 보안 모듈이다. 퀄컴의 경우는 TEE를 QSEE(Qualcomm Secure Execution Environment)라고 지칭하고 있다. 

안드로이드 기기의 풀 디스크 암호화는 DEK(device encryption key)라고 불리는 무작위로 생성된 키를 통해 관리된다. DEK는 PIN, 비밀번호, 패턴 등에서 비롯된 다른 키와 함께 자체 암호화가 이뤄진다.

만약 공격자들이 DEK 추출에 성공하면, 무차별 대입 공격을 감행해 기기 비밀번호를 알아낼 수 있다. 비밀번호 오입력 시 지연현상을 일으키는 소프트웨어 보호책이 동작하지 않기 때문이다. TEE에서 구동되는 애플리케이션인 키마스터를 활용해 DEK를 기기 하드웨어에 묶어버리는 방법을 통해서다. 

베니아미니는 이와 관련해 iOS의 경우 소프트웨어로 추출되지 않는 하드웨어 기반 키인 UID에 DEK를 묶지만, 퀄컴의 경우는 QSEE에서 구동되는 키마스터 전용 키를 사용하기 때문에 문제가 된다고 지적했다.

즉 QSEE 침입에 성공하면 키마스터 키에 접근해 DEK를 추출할 수 있다. 이후 공격자들이 서버 클러스터와 같은 더 중요한 장비에 패스워드 크래킹 등의 무차별 대입 공격을 감행할 수도 있다.

베니아모니에 따르면 이번 취약점은 안드로이드의 풀 디스크 암호화 보안성을 비밀번호, PIN, 패턴 수준으로 전락시키는 의미를 지닌다. 게다가 대부분의 사용자들은 모바일 기기에 비밀번호를 복잡하게 설정하지 않고 있다.

베니아미니가 제시한 이 공격 방식은 지난 1월 안드로이드에 패치된 취약점과 5월에 패치된 취약점을 동시에 이용한다. 안드로이드 생태계에 속하는 수많은 기기들이 적절한 시기에 업데이트를 받지 못 하고 있는 상황임을 감안하면 문제 소지가 있다. 

스마트폰 전용 이중 인증 솔루션 제공업체 듀오 시큐리티가 자사 사용자를 분석한 결과, 안드로이드 기기의 50% 이상이 베니아미니가 설명한 공격 방식에 취약한 것으로 드러났다. 스마트폰과 태블릿 다수가 퀄컴이 제작한 ARM 기반 CPU를 사용하고 있기 때문이다.

또 이러한 안드로이드 기기에 적절한 패치가 이뤄질지라도 문제 가능성이 완전히 사라지는 것은 아니다. 

베니아미니는 블로그에서 “패치를 받은 기기라고 하더라도 공격자가 (예컨대 포렌식 툴을 사용해) 암호화된 디스크 이미지를 입수하면, 기기를 취약점에 노출되는 버전으로 ‘다운드레이드'할 수 있으며, 트러스트존을 통해 키를 추출한 후, 무차별 대입 공격에 활용할 수 있다”라고 밝혔다.

더 심각한 문제는 또 있다. 하드웨어 기반 특수 키를 통해 안드로이드 풀 디스크 암호화(FDE)를 처리하면, 키가 해당 기기에만 존재하기 때문에 소프트웨어로 추출할 수 없다. 그러나 퀄컴의 경우 QSEE 소프트웨어로 접근 가능한, 즉 트러스트존 취약점에 노출될 수 있는 키를 사용하고 있다는 점이다.

베니아미니는 “트러스트존이나 키마스터에서 취약점이 발견되면, 곧 키마스터 키가 노출되는 상황으로 이어지고, 안드로이드 풀 디스크 암호화까지 공격당할 수 있다”라고 말했다.

이는 새로운 문제 가능성을 시사한다. 안드로이드 기기 제조사들은 디지털 서명을 할 수 있고 플래시 트러스트존 이미지를 어떤 기기에든 적용할 수 있다. 만약 법 집행 기기관이 안드로이드 풀 디스크 암호화를 풀어달라고 요청하면, 자신의 키를 이용해 타사의 제품을 해제할 가능성이 있는 셈이다. ciokr@idg.co.kr



2016.07.05

안드로이드 '풀-디스크 암호화' 무력화 가능성··· 퀄컴 기반 기기가 주인공

Lucian Constantin | IDG News Service
퀄컴 기반 안드로이드 기기에서 무차별 대입 공격(brute-force attack)에 취약한 결함이 발견됐다. 해커뿐 아니라 법 집행기관의 의뢰를 받은 안드로이드 기기 제조사에 의해서도 악용될 소지가 있다는 점에 눈길을 끈다. 



안드로이드의 풀 디스크 암호화는 무차별 대입 공격에 취약하다. 출처 : IDGNS

퀄컴 칩셋이 탑재된 안드로이드 기기에서 악용 가능성 높은 취약점이 출현했다. 사용자 데이터를 보호하는 암호화키를 추출하고 무차별 대입 공격을 감행하는데 활용될 수 있는 취약점이다. 

이는 지난주 보안 연구원 갈 베니아미니가 지적한 사항으로, 공격자는 두 개의 취약점을 이용해 무차별 대입 공격을 시도할 수 있다. 퀄컴은 ARM CPU 트러스트존 내에 존재하는 이들 취약점을 올해 패치한 바 있지만 여전히 수많은 기기가 이 위험에 노출된 상태다. 

ARM 트러스트존은 메인 OS와 따로 작동하는 자체 TEE(Trusted Execution Environment)와 커널을 구동하는 하드웨어 보안 모듈이다. 퀄컴의 경우는 TEE를 QSEE(Qualcomm Secure Execution Environment)라고 지칭하고 있다. 

안드로이드 기기의 풀 디스크 암호화는 DEK(device encryption key)라고 불리는 무작위로 생성된 키를 통해 관리된다. DEK는 PIN, 비밀번호, 패턴 등에서 비롯된 다른 키와 함께 자체 암호화가 이뤄진다.

만약 공격자들이 DEK 추출에 성공하면, 무차별 대입 공격을 감행해 기기 비밀번호를 알아낼 수 있다. 비밀번호 오입력 시 지연현상을 일으키는 소프트웨어 보호책이 동작하지 않기 때문이다. TEE에서 구동되는 애플리케이션인 키마스터를 활용해 DEK를 기기 하드웨어에 묶어버리는 방법을 통해서다. 

베니아미니는 이와 관련해 iOS의 경우 소프트웨어로 추출되지 않는 하드웨어 기반 키인 UID에 DEK를 묶지만, 퀄컴의 경우는 QSEE에서 구동되는 키마스터 전용 키를 사용하기 때문에 문제가 된다고 지적했다.

즉 QSEE 침입에 성공하면 키마스터 키에 접근해 DEK를 추출할 수 있다. 이후 공격자들이 서버 클러스터와 같은 더 중요한 장비에 패스워드 크래킹 등의 무차별 대입 공격을 감행할 수도 있다.

베니아모니에 따르면 이번 취약점은 안드로이드의 풀 디스크 암호화 보안성을 비밀번호, PIN, 패턴 수준으로 전락시키는 의미를 지닌다. 게다가 대부분의 사용자들은 모바일 기기에 비밀번호를 복잡하게 설정하지 않고 있다.

베니아미니가 제시한 이 공격 방식은 지난 1월 안드로이드에 패치된 취약점과 5월에 패치된 취약점을 동시에 이용한다. 안드로이드 생태계에 속하는 수많은 기기들이 적절한 시기에 업데이트를 받지 못 하고 있는 상황임을 감안하면 문제 소지가 있다. 

스마트폰 전용 이중 인증 솔루션 제공업체 듀오 시큐리티가 자사 사용자를 분석한 결과, 안드로이드 기기의 50% 이상이 베니아미니가 설명한 공격 방식에 취약한 것으로 드러났다. 스마트폰과 태블릿 다수가 퀄컴이 제작한 ARM 기반 CPU를 사용하고 있기 때문이다.

또 이러한 안드로이드 기기에 적절한 패치가 이뤄질지라도 문제 가능성이 완전히 사라지는 것은 아니다. 

베니아미니는 블로그에서 “패치를 받은 기기라고 하더라도 공격자가 (예컨대 포렌식 툴을 사용해) 암호화된 디스크 이미지를 입수하면, 기기를 취약점에 노출되는 버전으로 ‘다운드레이드'할 수 있으며, 트러스트존을 통해 키를 추출한 후, 무차별 대입 공격에 활용할 수 있다”라고 밝혔다.

더 심각한 문제는 또 있다. 하드웨어 기반 특수 키를 통해 안드로이드 풀 디스크 암호화(FDE)를 처리하면, 키가 해당 기기에만 존재하기 때문에 소프트웨어로 추출할 수 없다. 그러나 퀄컴의 경우 QSEE 소프트웨어로 접근 가능한, 즉 트러스트존 취약점에 노출될 수 있는 키를 사용하고 있다는 점이다.

베니아미니는 “트러스트존이나 키마스터에서 취약점이 발견되면, 곧 키마스터 키가 노출되는 상황으로 이어지고, 안드로이드 풀 디스크 암호화까지 공격당할 수 있다”라고 말했다.

이는 새로운 문제 가능성을 시사한다. 안드로이드 기기 제조사들은 디지털 서명을 할 수 있고 플래시 트러스트존 이미지를 어떤 기기에든 적용할 수 있다. 만약 법 집행 기기관이 안드로이드 풀 디스크 암호화를 풀어달라고 요청하면, 자신의 키를 이용해 타사의 제품을 해제할 가능성이 있는 셈이다. ciokr@idg.co.kr

X