HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

업그레이드 된 콜드 부트 공격, 현대 메모리 위협하다
등록일 :
2018.09.15
리부트 이후 5~10초 정도 남아있는 메모리 속 암호화 키 탈취 가능
슬립 모드는 위험...완전 전원 분리와 부팅 비밀번호 설정 필요


[보안뉴스 문가용 기자] 콜드 부트 공격(Cold Boot Attack)이 업그레이드 되어 나타났다. 이를 활용하면 컴퓨터를 보안 장치들을 피해 메모리에 남아있는 데이터에 접근할 수 있다고 한다. 애플, 델, 레노보 등에서 만든 모든 컴퓨터 장비들이 이 공격에 노출되어 있다고 한다.

[이미지 = iclickart]


콜드 부트 공격이란 무엇일까? 2008년부터 알려진 오래된 공격 기법이다. 특정 장비에 물리적인 접근을 할 수 있는 공격자들이 하드 리부트 이후에 잠시 메모리에 남아있는 암호화 키를 훔쳐내는 것을 말한다. 이 공격 기법이 알려진 후 IT 전문가들은 티시지(TCG : Trusted Compting Group)라는 걸 개발해 콜드 부트 공격을 막을 수 있었다. 컴퓨터가 리부트 될 때 데이터를 덮어쓰기 함으로써 제3자가 가로채지 못하게 하는 것을 말한다.

그런데 최근 보안 업체 에프시큐어(F-Secure)의 전문가 올레 세게르달(Olle Segerdahl)과 보안 컨설턴트인 파시 사리넨(Pasi Saarinen)은 펌웨어 조작을 통해 티시지를 우회하는 방법을 발견해냈다. 즉 콜드 부트에 면역을 다 갖췄다고 알려진 현대의 컴퓨터에서 새로운 콜드 부트 공격을 성공시킨 것이다.

세게르달은 “꽤나 많은 종류의 데이터가 이 위험에 노출되어 있다”고 설명한다. 원래의 콜드 부트 공격이 암호화 키를 탈취하기 위해 사용됐던 것과 차이가 있는 부분이다. “원래는 저희도 메모리에 저장된 암호화 키를 훔치는 게 목표였습니다. 그런데 공격을 성공시키고 보니 비밀번호, 네트워크 크리덴셜 등 정상 사용자가 접근할 수 있는 모든 정보를 훔칠 수 있었습니다.”

공격 원리
먼저 티시지의 방어 원리에 대해 세게르달은 다음과 같이 설명한다. “현대의 기기들은 대부분 콜드 부트 공격에 대한 방어 체제를 가지고 있습니다. 장비가 제대로 꺼졌는지 펌웨어가 확인을 하는 것이죠. 제대로 꺼지지 않았다면 OS가 부팅될 때 경고(flag)를 전달합니다. 펌웨어에 ‘메모리 내 데이터를 보호하라’는 내용이죠. 그래도 데이터가 보호되지 않는다면 민감한 데이터를 OS가 직접 지웁니다.”

그렇다면 세게르달과 사리넨은 어떤 식으로 이런 체제를 공략했을까? OS의 경고를 없앴다. 작은 장비를 머더보드의 플래시 메모리 칩에 연결시킴으로써 이것이 가능하다고 세게르달은 설명한다. 플래시 메모리 칩은 펌웨어 설정 내용들이 저장된 곳이다. “메모리 칩에 직접 접근함으로써 경고가 뜨지 않도록 만들 수 있었습니다. 이 부분은 이전의 콜드 부트 공격과 같죠.”

여기에 툴이 하나 더 필요했다. 펌웨어 설정 내용이 들어있는 불휘발성 메모리 칩을 다시 작성하고, 메모리 덮어쓰기를 불가능하게 만들어주며 외부 장치로부터 부팅을 가능하게 해주는 툴이었다. 콜드 부트 공격은 USB에 심긴 특수한 프로그램을 통해 실행하는 게 가능하다. 그런 후에 연구원들은 컴퓨터가 꺼진 후 메모리에 잠시 남아있는 데이터에 접근할 수 있었다.

여기서 ‘잠시’란 정확히 얼마큼을 말하는 것일까? “이 시간을 결정하는 건 여러 가지입니다. 먼저는 온도가 중요합니다. 메모리 카드가 차가우면 차가울수록 정보가 더 오래 머무릅니다. 저희가 실험을 했을 땐 대략 5~10초 정도였습니다.”

그렇다면 공격자에게 주어진 시간은 어느 정도일까? “이것 역시 공격 대상이 되는 기기에 따라 다릅니다. 만약 기기가 슬립 모드에 있거나 부팅 전 인증 시스템이 없다면, 공격자들에게는 사실상 무한정의 시간이 주어집니다. 비밀번호가 없는 기기에는 무한대로 접근을 시도할 수 있게 됩니다.”

그러므로 방어를 위해서는 슬립 모드를 피해야 한다. 전원을 완전히 끄거나 최대 절전 모드(hibernate)가 되도록 해야 하는 것이다. 이렇게 하면 메모리 내 암호화 키 데이터가 저장되지 않아 콜드 부트 공격에 성공해도 원하는 데이터를 가져갈 수 없게 된다. 또한 부팅이 될 때 사용자가 비밀번호를 입력하도록 설정을 변경시키는 것도 중요하다.

3줄 요약
1. 기기에 물리적으로 접근해서 메모리 내 암호화 키 훔치는 콜드 부트 공격.
2. 2008년경 이 공격이 알려진 이후 현대 시스템에서는 콜드 부트 방어 장치 탑재됨.
3. 두 연구원이 업그레이드 된 콜드 부트 공격 발견.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top