GRUB2에서 발견된 부트홀 취약점, 리눅스와 윈도우 장비 위협

거의 모든 노트북과 데스크톱, 서버가 위험에 노출된 상태...리눅스와 윈도우 기반
부팅 시 취약하지만 서명된 부트로더를 로딩함으로써 공격자는 높은 권한 가져갈 수 있어

[보안뉴스 문가용 기자] GRUB2 부트로더에서 부트홀(BootHole)이라는 취약점이 새롭게 발견됐다. 이 때문에 시큐어 부트(Secure Boot) 기능을 사용하는 리눅스와 윈도우 기반 장비들이 위험에 노출된 상황이라고 한다. 공격자가 부트홀 익스플로잇에 성공할 경우, OS의 로딩 방식이 변경될 수 있으며, 이를 통해 보안 장치들을 무력화시킬 수 있다.

[이미지 = utoimage]

장비를 보호하는 데 있어 부팅 과정은 매우 중요한 요소다. 부팅은 다양한 펌웨어와 하드웨어 장비들이 연루되어 있는 프로세스로, 정해진 순서와 조합을 통해 진행됨으로써 OS가 안전하게 시작될 수 있다. 보안 업체 에클립시움(Eclypsium)의 수석 분석가인 제스 마이클(Jesse Michael)은 “부팅 과정 중에 일찍 로딩되는 것이 나중에 로딩되는 것보다 더 높은 권한을 가지고 있는 것이 보통”이라고 설명한다. 권한이 높은 순서대로 켜지는 게 일반론이라는 뜻이다. 에클립시움은 부트홀(CVE-2020-10713) 취약점을 제일 먼저 발견해 발표한 회사이며, 부트홀은 CVSS 기준 8.2점을 받았다.

시큐어 부트란, 이렇게 중요한 부팅 순서와 과정을 보호하기 위해 만들어진 기술로, 암호화를 기반으로 한 시그니처들을 사용해 부팅이 진행되는 동안 발동되는 모든 코드들을 확인한다. 또한 윈도우 등 MS가 만든 OS가 아닌, 기타 다른 OS의 부트로더들을 서명하는 기능도 가지고 있다. GRUB은 Grand Unified Bootloader(거대 통합 부트로더)의 준말로, 리눅스 거의 모든 배포판들에서 통용되는 부트로더라고 보면 된다. 현재 널리 사용되고 있는 리눅스 배포판들에서는 GRUB2가 대부분 사용된다. 부트홀이 발견된 건 바로 이 GRUB2이다.

부트홀은 GRUB2에서 발견된 취약점이긴 하지만, GRUB2를 사용하지 않는 시큐어 부트 시스템에도 영향을 미친다고 한다. 또한 표준 마이크로소프트 서드파티 UEFI 인증 기관(Microsoft Third Party UEFI Certificate Authority)과 시큐어 부트를 함께 사용하는 윈도우 장비도 영향권 아래 놓이게 된다고 한다. 즉 거의 모든 랩톱, 데스크톱, 서버, 워크스테이션이 부트홀 취약점에 노출되어 있다는 소리다. 산업 현장과 의료 시설, 금융 기관 등에서 사용되는 각종 네트워크 장비들도 위험할 수 있다.

“시큐어 부트의 목적은 서명이 된 이미지들만 로딩하고, 나머지는 절대 통과시키지 않겠다는 것”이라고 에클립시움의 존 루카이즈(John Loucaides)는 간단히 설명한다. “부트홀 취약점은 서명이 된 부트로더에서 발견됐습니다. 따라서 시큐어 부트를 실행시키는 그 어떤 시스템에서도 이 ‘서명된 부트로더’를 로딩시킴으로써 보호 장치들을 회피할 수 있게 됩니다. 그렇기 때문에 여러 장비들이 현재 위험에 노출되어 있다고 말하는 겁니다.”

기술적인 측면에서 보면 부트홀은 버퍼 오버플로우 취약점의 일종이다. GRUB2의 환경설정 파일을 확인 및 처리하는 방식 때문에 발동된다. 이 환경설정 파일은 일종의 텍스트 파일이며, 실행파일처럼 서명 처리가 되지 않는 것이 보통이다. 이 때문에 이 텍스트 파일의 내용을 살짝 바꿈으로써 악성 코드가 OS 로딩 이전부터 실행되도록 유도할 수 있다.

이런 시나리오로 공격을 성공시키려면 시큐어 부트가 마이크로소프트 UEFI CA를 신뢰하도록 설정된 시스템에서 높은 권한을 가지고 있거나 물리적으로 접근할 수 있어야 한다. 이 상태에서 공격자는 취약한 GRUB 부트로더를 설치함으로써 더 높은 권한을 가져갈 수 있게 되고, 장비에 지속적으로 접근할 수 있게 된다. 그러면서 장비의 OS, 애플리케이션, 데이터를 모두 제어할 수 있다. 이런 공격은 시큐어 부트가 활성화 되어 있어도 통한다고 한다.

에클립시움의 보고서에 의하면 외부 grub.cfg 환경설정 파일에서 명령들을 로딩하는 모든 GRUB2 버전들은 취약한 상태라고 한다. 따라서 모든 리눅스 배포판에 적용될 새로운 설치파일과 부트로더가 필요하다는 게 에클립시움의 설명이다. 게다가 이 새로운 부트로더들은 마이크로소프트 서드파티 UEFI CA의 서명도 받아야 한다.

동시에 이전 부트로더들의 서명은 폐기되어야 한다. 그래야 공격자들이 예전 버전으로 되돌려 공격을 실시할 수 없게 된다. 마이크로소프트, 오라클, 레드햇, 캐노니컬, 수제, 데비안, 시트릭스, VM웨어 등 여러 OS 개발사들이 새 부트로더와 관련된 권고 사항을 조만간 발표할 것으로 보인다. 실제 새 부트로더가 나올 때까지 마이크로소프트 서드파티 UEFI CA를 신뢰하도록 설정된 모든 장비들은 위험에 노출될 예정이다.

한편 캐코니컬(Canonical)은 에클립시움의 보고서가 발표되자마자 GRUB2를 독립적으로 분석했고, 이를 통해 추가 취약점들을 찾아내는 데 성공했다고 한다.

3줄 요약
1. 리눅스 거의 모든 버전에서 사용되는 안전한 부팅 장치에서 취약점 발견됨.
2. 외부 grub.cfg 파일로부터 명령을 로딩하는 모든 GRUB2 기반 장치들이 위험한 것.
3. 윈도우와 리눅스 시스템에 광범위한 영향 있어, 조만간 각 OS 제조사들이 보안 권고문 발표할 듯.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)