HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

인텔의 선더볼트 포트에서 7개 취약점 나왔지만
등록일 :
2020.05.12
외부 장치로의 빠른 데이터 전송 가능케 해주는 선더볼트...종종 취약점 나와
취약점 익스플로잇 성공할 경우, 온갖 방어막 뚫어낼 수 있지만


[보안뉴스 문가용 기자] 윈도우와 리눅스를 기반으로 한 장비들 중 2019년 이전에 생산된 것들에서 취약점 일곱 가지가 발견됐다. 이를 처음 발표한 에인트호번대학의 보안 전문가 뵨 루이텐버그(Björn Ruytenberg)에 의하면 인텔의 선더볼트(Thunderbolt) 포트에서 총 7개의 취약점과 9개의 공격 시나리오를 찾아내는 데 성공했다고 한다. 하드드라이브를 암호화 해도 데이터를 가져갈 수 있는 공격도 이 시나리오 중에 포함되어 있다.

[이미지 = iclickart]


물론 공격이 쉬운 건 아니다. 공격자는 1) 선더볼트가 활성화 된 윈도우 혹은 리눅스 기반 시스템을 찾아내고, 2) 물리적으로 접근해 3) 드라이버와 몇 가지 도구들을 사용해야만 공격을 성공시킬 수 있다. 하지만 일단 성공만 하면 피해자가 공격이 진행되는 걸 전혀 알 수 없고, 흔적도 찾을 수 없다고 한다. 이를 루이텐버그는 “선더스파이(Thunderspy)” 공격이라고 명명했다.

“잠깐이라도 자리를 비울 때 컴퓨터 화면을 잠그는 등의 보안 실천 사항을 잘 지켜도 선더스파이 공격을 막을 수 없습니다. 관리자가 시큐어 부트(Secure Boot)로 장비를 보호해도, 강력한 바이오스와 OS 계정 보호 장치를 활용하더라도, 심지어 하드드라이브를 암호화 해도 소용이 없습니다. 이런 모든 보호 장치를 뚫고 공격을 성립시키는 데 필요한 시간은 5분이고요.”

선더볼트에서 보안 문제가 불거진 것은 이번이 처음이 아니다. 2011년 도입된 이후 몇 차례 취약점들이 발견되곤 했었다. 선더볼트는 외부 장치로의 데이터 전송 속도를 높여주는 데 활용되는 도구로, 이를 위해 DMA(직접 메모리 접근)가 활성화 된 I/O 시스템을 사용한다. 하지만 이번에 고안된 선더스파이 공격을 통해 “암호화 된 드라이브에서 데이터를 추출하는 데에도 유용한 장치가 된다는 것이 증명”되기도 했다.

2019년 초에는 선더볼트 포트에 악성 주변 장치를 꽂음으로써 선더클랩(Thunderclap)이라고 불리는 취약점 뭉치들을 익스플로잇 해 보안 장치들을 무력화시키는 연구 결과가 발표되기도 했었다. 이 때 공격자들은 임의의 코드를 최고 높은 권한으로 실행시킬 수 있는 것으로 나타났다. 이 때문에 인텔은 선더클랩 취약점으로 인한 위험을 완화시킬 수 있는 장치로서 시큐리티 레벨즈(Security Levels)를 도입하기도 했다.

선더스파이 공격은 선더클랩 취약점 익스플로잇과 달리, 선더볼트 하드웨어와 프로토콜에 걸린 보안 장치들을 뚫어낼 수 있어서 문제라고 루이텐버그는 자신의 블로그를 통해 설명했다. “선더볼트 1, 2, 3 모두의 기본 보안 장치들을 무력화시키는 데 성공했습니다. 저희가 실험에 사용한 선더볼트 시스템들은 2011년과 2020년 사이에 출시된 것입니다. 소프트웨어 업데이트로 픽스가 어려워 보이며, 앞으로 나올 표준인 선더볼트 4와 USB 4에도 영향을 줄 것으로 보입니다. 실리콘부터 재설계를 해야만 합니다.”

실험이 된 장비들 중 커널 DMA 보호 장치가 있던 것들이 그나마 가장 덜 취약한 것으로 나타났다. 커널 DMA 보호 장치란, 인텔이 선더클랩 오류들의 등장 이후 만들어 낸 보안 장치다. 루이텐버그에 의하면 커널 DMA가 선더스파이 공격을 가능케 하는 취약점 일부에도 효력을 발휘할 수 있지만, 전부는 아니라고 한다. 와이어드(Wired)지는 커널 DMA가 이는 장비들은 2019년 이전에 생산된 장비들에는 없는 요소이며, 아직 표준으로 자리 잡은 것도 아니라고 지적했다. 맥OS 기반 장비들 중 일부에서도 선더스파이 공격이 가능한 것으로 나타났다.

루이텐버그는 이러한 사실을 지난 2월 인텔에 알렸다. 인텔도 자체 조사를 통해 취약점이 존재함을 인정했고, 블로그 포스트를 통해 추가 기술 정보와 함께 공개했다. 그러면서 신뢰할 수 있는 주변 장치만을 포트에 연결시키고, 시스템에 대한 물리적 접근을 철저하게 방해하면 위험성을 낮출 수 있다고 권고했다.

또한 커널 DMA 보호 장치가 설치된 주요 OS는 다음과 같다고 공개하기도 했다.
1) 윈도우 10 1803 RS4 혹은 이후 버전
2) 리눅스 커널 5.x 혹은 이후 버전
3) 맥OS 10.12.4 혹은 이후 버전
현재 이 선더스파이 취약점들에 노출된 장비는 전 세계 수천 만대에 이를 것으로 추정된다.

그러나 보안 전문가들은 실제 익스플로잇 성공 확률을 낮게 보고 있다. 보안 분석가인 잭 골드(Jack Gold)는 “비교적 우선순위에서 쳐질 수밖에 없는, 비주류 취약점이라고 본다”고 밝혔다. “솔직히 드라이버랑 해킹 장비를 들고 물리적으로 접근한다는 게 비현실적이잖아요. 누군가 중요 시스템을 물리적으로 지켜보고 있기만 해도 위험도가 낮아집니다. 게다가 확산력이 높은 것도 아니지요. 고도로 표적화 된 공작이 아니라면, 크게 신경 쓰지 않아도 될 것으로 보입니다.”

그렇다는 건 극도로 민감하거나 중요도가 높은 정보를 다루는 조직들이라면 쉽게 간과해서는 안 될 취약점일 수 있다는 뜻이다. 골드는 “공격을 통해 얻을 수 있는 것이 명확하고 동기가 분명할 때, 고도로 조직화 된 작전을 통해 공격 표적의 위치를 파악한 후에야 익스플로잇이 가능한 취약점”이라고 설명한다. “더 실질적인 위험에 빠진 사람은, 장비를 도난당하거나 분실한 사람일 겁니다. 그렇다면 이 공격이 빛을 발할 수 있습니다.”

4줄 요약
1. 인텔의 데이터 전송 장치 중 하나인 선더볼트에서 취약점 7개 발견됨.
2. 이 취약점을 익스플로잇 하려면 물리적 접근과 하드웨어 장비가 필요함.
3. 하지만 제대로 성공시키면 갖가지 방어 장치들을 무력화시킬 수 있음.
4. 장비 분실했을 경우가 가장 위험할 수 있음. 그 외에는 실제 위험성 낮음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top