인텔 칩의 취약점 악용하면 ‘갓 모드’ 발동시킬 수 있어

입력 : 2017-12-07 11:25

블랙햇 유럽서 발표된 내용...인텔 칩셋 취약점, 치명적인 위험
ME의 쓰기 기능 통해 버전 다운 후 공략 가능...바이오스 버전 확인 필수

[보안뉴스 문가용 기자] 최근 발견된 인텔 마이크로프로세서에서의 취약점을 공격자가 악용하기 시작하면 기기 및 통제 프로세스 내에 깊숙하게 숨어들어 데이터에 접근할 수 있다는 게 밝혀졌다. 랩톱, 워크스테이션, 서버 등의 전원이 켜져 있지 않은 상태에서도 말이다.


이러한 내용은 어제 열린 블랙햇 유럽(Black Hat Europe) 행사에서 상세히 공개됐다. 발표자인 마크 에르몰로프(Mark Ermolov)와 막심 고랴치(Maxim Goryachy)에 따르면 이 취약점은 인텔의 관리엔진(ME) 11 시스템에 있는 스택 버퍼 오버플로우(stack buffer overflow) 버그로 2015년부터 출시된 인텔 칩 거의 대부분에 존재한다고 한다. ME는 자체 운영 시스템을 가지고 있으며, 기기가 시동 걸릴 때 혹은 ‘슬립 모드’일 때 프로세서와 외부 기기들 간 통신을 담당한다.

근접 접근이 가능한 공격자라면 이 취약점을 악용할 수 있으며, 성공할 경우 이른바 ‘갓 모드(god mode)’에 돌입할 수 있게 된다고 에르몰로프와 고랴치는 설명했다.

인텔은 이미 11월 20일에 이 취약점에 대한 권고 사항과 보안 업데이트를 발표했다. 하지만 완전하지 않았다고 두 발표자는 주장했다. “20일 발표 후에도 ME 커널 내에 버퍼 오버플로우 취약점(CVE-2017-5705)이 여전히 존재했고, 인텔 서버 플랫폼 서비스 펌웨어 커널에도 버퍼 오버플로우가 발견됐으며(CVE-2017-5706), 인텔 신뢰된 실행 엔진 펌웨어(Trusted Execution Engine Firmware) 커널에도 있었습니다(CVE-2017-5707).” 물론 인텔은 최근의 ME 업데이트를 통해 이 취약점들도 해결한 바 있다.

“그러므로 패치가 불완전한 상태에서 공격자가 해야 할 일이란, 1) 시스템에 물리적으로 접근해 2) ME를 업데이트 이전 버전으로 돌리고, 3) 취약점들을 익스플로잇하는 겁니다. 인텔이 최근 패치를 발표하면서 해결한 취약점들이지만 공격자가 ME 영역에 ‘쓰기 권한’을 가지고 있다면 얼마든지 ME의 버전을 바꿀 수 있습니다.” 그리고 이러한 공격에 대한 ‘완벽한 대응책’은 아직 없다고 그들을 설명한다.

인텔의 OEM들이라면 이러한 공격에 대비하기 위해 칩의 생산자 모드를 끔으로써 로컬에서의 공격이 불가능하도록 만들어야 한다고 둘은 조언했다. “공격자 입장에서 제일 먼저 해결해야 하는 건 ME 내에서 쓰기 기능을 가져가는 겁니다. ME의 쓰기 기능은 ME의 펌웨어와 바이오스를 담고 있는 SPI 플래시 칩의 일부이죠. 공격자가 플래시를 다시 작성하고 버퍼 오버플로우 익스플로잇을 시작하면 ME에 접근할 수 있게 됩니다.” 에스몰로프의 설명이다.

“이 공격에 성공하면 기기를 거의 완벽하게 통제할 수 있게 됩니다. 메모리, USB 드라이브, 네트워크에 몽땅 접근할 수 있게 되죠. 하드디스크가 암호화되어 있어도 풀 수 있고, DRM에 의해 보호받고 있는 콘텐츠도 열람할 수 있습니다. PC 내에서 이뤄지는 모든 활동을 추적, 감시할 수도 있고요.”

기업들은 오픈소스인 CHIPSEC 유틸리티를 활용해 BIOS 환경설정 오류 등을 확인할 수 있다. “이 유틸리티를 확인해 BIOS 최신 버전을 확인할 수 있습니다. OEM이 인텔의 펌웨어 업데이트를 반영했는지 미리 알아볼 수 있겠죠.”

위 취약점들이 발견도니 인텔 프로세서들은 다음과 같다.
1) 6세대~8세대 인텔 코어
2) Xeon E3-1200 v5~6 제품군
3) Xeon Scalable Family
4) Xeon W Family
5) Atom C3000 Family
6) Apollo Lake Intel Atom E3900 시리즈
7) Apollo Lake Intel Pentium
8) CeleronG, N, J 시리즈

인텔은 올해만 심각한 펌웨어 취약점 사태를 두 번이나 겪었다. 지난 5월 인텔은 액티브 관리 기술(AMT) 펌웨어에서 권한 상승 취약점을 발견한 바 있다.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 4

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...