널리 사용되는 tBoot의 슬립모드 통해 인텔 TXT 무력화 가능

한국의 두 보안 연구원, 블랙햇아시아서 인텔 TXT 무력화 방법 발표
오픈소스인 tBoot 슬립모든 3단계에 돌입할 때 PCR 값 임의로 변경 가능

[보안뉴스 문가용 기자] 3단계 슬립모드에 대한 위험성이 연구 및 발표됐다. 한국의 국가보안기술연구소(NSR)의 수석 보안 전문가인 한승훈(Seunghun Han)과 박준혁(Jun-Hyeok Park) 연구원이 블랙햇아시아를 통해 발표한 내용으로 슬립모드를 통해 인텔의 신뢰된 실행 환경(Trusted eXecution Environment, TXT)을 공격하는 게 가능하다고 한다. “인텔 TXT 내 오류를 익스플로잇 한다면 슬립모드에서 깨어나는 순간부터 침해가 이뤄집니다.”

[이미지=iclickart]

인텔의 TXT란 하드웨어 기반 기능으로 역동적인 신뢰점 측정(Dynamic Root-of-trust Measurement, DRTM)을 지원하고, 부트와 실행 시간 동안 플랫폼의 신뢰성을 확인한다. 그런데 슬립모드를 이용하면 인텔 TXT의 참조구현인 tBoot을 겨냥하는 공격이 가능해진다는 것이다. tBoot는 오픈소스 프로젝트로 가상 기기 모니터와 운영체제를 보호하며, 서버 환경에서 주로 사용된다.

두 전문가가 발견한 취약점은 CVE-2017-16837로 로스트 포인터(Lost Pointer)라는 이름을 가지고 있다. 이 취약점이 존재하는 곳은 tBoot로, 이번 발표 이전에는 한 번도 발견되지 않은 내용이라고 한다. “다만 공격이 성립하려면 공격자가 루트 권한을 먼저 가지고 있어야 합니다. 그것 외에는 전제 조건이 없습니다.”

한승훈 연구원과 박준혁 연구원은 이전부터 인텔의 TXT와 tBoot를 연구했었다. 하지만 부트 과정에 초점이 맞춰진 연구였지 취약점을 찾으려 이리 저리 찔러보는 것은 아니었다. CVE-2017-16837은 tBoot를 슬립모드에 뒀다가 원상복귀 시키는 과정을 분석하다가 발견한 것으로, 둘은 이 취약점의 익스플로잇 방법까지도 개발하는 데 성공했다고 한다.

물론 ‘슬립모드를 통한’ 공격이니만큼 시스템을 24시간 쌩쌩 돌리면 두 연구원이 발견한 공격법은 무용지물로 변할 수 있다. 그러나 한승훈 연구원은 “일반적으로는 경제적인 이유 때문에 슬립모드를 활용하는 것이 현실”이라고 지적한다. “컴퓨터 파워를 계속해서 사용하는 것에는 비용이 들죠. 많은 조직들이 기기 파워에서 발생하는 전기세를 최대한 아끼고 싶어 합니다.” 즉 슬립모드를 통한 공격이 충분히 ‘실제적’이라는 것이다.

고급 구성과 전원 인터페이스(advanced configuration and power interface, ACPI)를 지원하는 PC, 랩톱, 서버 환경에는 여섯 가지 ‘슬립 상태’가 존재한다. 여섯 단계를 통해 파워 소비량을 천천히 낮추기 위함이다. 슬립모드 0(S0)부터 시작해 S5까지 진행되면서 CPU, 기기, RAM 등은 완벽한 슬립모드에 돌입하기에 이른다. CPU와 기기에 전원 공급이 끊기는 건 3단계인 S3부터다.

“파워가 완전히 차단되기 때문에 슬립모드를 해제시키려면 시동이 다시 걸려야 합니다. 이 과정에 개입이 가능하며, 개입 성공 시 여러 가지 행위를 실행할 수 있게 됩니다.” 한승훈 연구원의 설명이다.

박준혁 연구원은 “물론 부트를 보호하는 장치가 존재한다”며 “통일 확장 펌웨어 인터페이스(Unified Extensible Firmware Interface, UEFI)의 안전 부팅(secure boot)이 실행 전에 바이너리의 암호화된 시그니처를 확인한다”고 설명을 덧붙였다. “만약 실행 파일에 필요한 시그니처가 없다면 실행을 하지 않습니다. 또 신중한 부팅(measured boot)이라는 것도 있습니다. 실행 전에 바이너리의 해시를 점검하고 보안 플랫폼 모듈(Trusted Platform Module, TPM)에 그 값을 저장하는 겁니다.”

보안 플랫폼 모듈이란 하드웨어 보안 기기로 이미 시장 내 여러 기기들에 탑재되어 있다. 한승훈 연구원은 이 TPM에 대해 “무작위 숫자 생성기와 암호화 기능, 플랫폼 구성 레지스터(Platform Configuration Register, PCR)로 구성되어 있으며, 해시를 저장한다”고 설명한다.

그렇다면 슬립모드에는 어떠한 약점이 존재하는 걸까? “시스템이 다시 활성화가 될 때, CPU의 보안 기능들을 먼저 작동시키고 TPM에 있는 PCR을 먼저 복구시켜야 합니다. 이게 정상적인 프로세스입니다. 하지만 로스트 포인터 오류 때문에 tBoot는 모든 함수의 포인터들을 측정하지 않습니다. 특정 포인터는 확인 과정을 거치지 않는다는 것이죠. 이를 악용해서 임의의 코드를 실행시키는 게 가능해집니다.”

로스트 포인터 취약점을 3단계 슬립모드에서 익스플로잇 함으로써 두 연구원은 PCR 값을 조작해 시스템에 주입하는 데 성공했다고 한다. PCR 변수를 공격자가 마음대로 만들 수 있다는 것은 인텔의 TXT 보안 메커니즘 자체를 완전히 무력화시킬 수 있다는 것이라고 한다.

두 연구원은 “tBoot를 최신화 시킴으로서 이 공격을 막을 수 있다”고 강조한다. “또 다른 옵션은 바이오스(BIOS)의 슬립모드 기능을 비활성화시키는 것이 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)