전 세계 95%의 컴퓨터에 영향을 주는 위험한 취약점 로고페일

세계 3대 바이오스 회사에서 만든 제품 전부에 영향을 주는 취약점이 발견됐다. 이 말은 세계 PC 95%가 위험하다는 뜻이다. 조만간 패치가 나올 것이긴 한데, 그 때까지 공격자가 먼저 이 취약점을 발견하지 않을까 보안 업계는 노심초사하고 있다.

[보안뉴스 문가용 기자] PC들을 위한 UEFI 환경에서 로고페일(LogoFAIL)이라는 초고위험도 취약점이 발견됐다. 이는 여러 가지 취약점을 통합한 이름으로, 익스플로잇에 성공할 경우 엔드포인트에 존재하는 모든 보안 장치들이 무력화 되며, 반대로 공격자들은 높은 권한을 갖게 된다고 한다.

[이미지 = gettyimagesbank]

보안 업체 바이날리(Binarly)에 의하면 로고페일은 부팅 과정 중 발동되는 이미지 점검 라이브러리들에서부터 시작된다고 하며 x86과 암(ARM) 진영의 모든 장비 생산자들에게 영향을 준다고 한다. 이 점이 로고페일 취약점의 가장 큰 문제라는 게 바이날리 측의 설명이다. 영향을 미치는 범위가 무척이나 넓다는 것이다. “일부 벤더나 지역의 문제가 아니라 생태계 전체의 문제입니다. 모두가 같이 패치를 내고 모두가 같이 패치를 적용해야 합니다. 12월 6일 경에는 벤더사들로부터 패치가 나올 예정입니다.”

부팅 프로세스의 하이재킹
바이날리에 의하면 침해된 이미지들을 EFI 시스템 파티션(ESP)이나 서명이 되지 않은 펌웨어 업데이트 영역에 삽입할 경우, 시스템이 부팅될 때 악성 코드를 실행시킬 수 있게 된다고 한다. 즉 부팅 과정 자체를 공격자가 하이재킹 하는 것이라고 할 수 있다. 시큐어부트(Secure Boot)나 인텔 부트 가드(Intel Boot Guard)와 같은 보안 장치들을 가볍게 우회할 수 있으며, OS 단 밑에서 공격을 지속시키는 것도 가능하다.

바이날리의 CEO인 알렉스 마트로소프(Alex Matrosov)는 “부팅을 보호하는 다양한 기술들이 무력화 되는 것을 확인했다”고 설명한다. “원래는 실험실에 있는 레노버 노트북을 가지고 장난을 치다가 실험이 길어졌습니다. 레노버 노트북은 부팅을 하면 레노버 로고가 뜨거든요. 그걸 우리가 바꿔볼 수 없을까 연구를 하다가 부팅 시퀀스를 하이재킹 하는 데에까지 이르렀습니다.”

시큐어부트라는 보안 부팅 기술이 성공적으로 공략당한 것은 이번이 처음이 아니다. 2022년 11월 에이서에서 만든 랩톱 모델 다섯 개에서 펌웨어 취약점이 발견됐으며, 공격자는 이 취약점을 통해 시큐어부트를 아예 해제시킬 수 있었던 것으로 밝혀졌다. 실제 이를 공격에 활용한 자들도 있는 것으로 알려져 있다. 마트로소프는 “로고페일 취약점은 그 경우와는 조금 다르다”고 말한다. “로고페일을 익스플로잇 할 경우 부트로더나 펌웨어 요소를 조작해 런타임 무결성이 훼손시키지 않아도 되거든요.”

그러면서 마트로소프는 “로고페일 익스플로잇 공격은 데이터만을 활용한 공격”이라고 정의한다. “펌웨어 이미지가 악성일 경우 혹은 로고가 ESP 파티션에서부터 읽힐 때에만 성립하는 공격이라는 겁니다. 이미지와 로고라는 데이터를 통해 실행하는 공격이죠. 이렇게 데이터만을 활용한 공격을 실시할 때, 부트로더나 펌웨어 요소를 직접 조작하는 공격보다 탐지가 훨씬 어려워집니다. 아무런 흔적도 남지 않고요.”

PC 환경 대부분 취약
바이날리의 연구원들이 분석한 바에 의하면 바이오슨 벤더 중 세 개의 ‘메이저급’ 벤더인 인사이드(Insyde), AMI, 피닉스(Phoenix)에서 만든 제품들은 전부 이 취약점에 노출되어 있다고 한다. 이 세 회사의 바이오스는 세계 거의 모든 컴퓨터에서 사용되고 있다. 마트로소프는 “전 세계 바이오스 시장의 95%를 이 세 회사가 차지하고 있다”고 말한다. 그 말이 사실이라면 세계 거의 모든 컴퓨터에 문제가 있다고 볼 수 있다. “에이서, 기가바이트, HP, 인텔, 레노버, MSI, 삼성, 슈퍼마이크로, 후지쯔 등 수많은 벤더들에서 만든 PC들이 취약합니다.”

그러면서 바이날리 측은 “해당되는 컴퓨터가 너무 많아서 지금도 목록 작성에 애를 먹고 있다”고 설명한다. “그래서 현재까지는 AMI, 인사이드, 피닉스라는 바이오스 회사 제품이 다 취약하다고 경고하고 있는 겁니다. 급한 문제고, 누구나 알고 대처해야 하니까요. 해당 회사들에도 문제를 알린 상황이고, 적절한 조치가 있을 거라고 통보를 받았습니다.”

피닉스의 경우 해당되는 취약점에 CVE-2023-5058이라는 관리 번호를 부여하고, 이와 관련된 보안 권고문을 발표해 고객들에게 전달했다. 이 권고문에 의하면 피닉스 시큐어코어 테크놀로지 4(Phoenix SecureCore Technology 4)의 1.0.5 이전 버전 모두가 CVE-2023-5058에 노출되어 있다고 한다. 피닉스 시큐어코어 테크놀로지는 일종의 바이오스 펌웨어로, 고급 보안 기능이 탑재되어 있다. 인사이드는 로그페일 취약점에 CVE-2023-40238이라는 관리 번호를, AMI는 CVE-2023-39539와 CVE-2023-39538이라는 관리 번호를 부여한 상황이다.

상세 익스플로잇 방법은 패치가 전부 나올 때까지 공개하지 않을 예정이라고 바이날리는 덧붙였다.

3줄 요약
1. 컴퓨터 부팅을 안전하게 보호하려는 장치들이 많음.
2. 하지만 이따금씩 그런 안전 장치들을 회피하고 우회시켜주는 방법들이 개발됨.
3. 최근 발견된 로고페일의 경우, 전 세계 95% 컴퓨터에 영향을 주고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)