컴퓨터 범죄에도 유행이 있는가 보다. 요사이는 개인정보 유출사고를 위시하여 산업정보의 유출이나 해커의 DoS(Denial of Service) 공격이 유행처럼 일어나고 있다. DoS 공격은 그동안 단일 시스템의 공격 단계를 거쳐 지금은 분산시스템의 공격인 DDoS(Distributed DoS) 공격으로 발전해 왔으며 최근에는 새로운 DoS로 PDoS(Permanent DoS)라는 공격방법이 등장했다. 이 새로운 공격 형태를 “플래슁(Phlashing)”이라고 부른다.  

PDoS는 휴렛패커드(HP)의 시스템보안 연구소장인 Rich Smith가 지난 6월에 유럽 공동체의 보안회의(EUSecWest Security Conference)에서 시연해 보임으로써 신종 위협으로 등장했다. PDoS란 네트워크를 기반으로 하는 펌웨어(Firmware)를 원격 업데이트시킬 때 그 안에 악성 소프트웨어를 삽입시켜서 목표 시스템을 다운시키는 서비스거부 공격방법이다.

본래 펌웨어란 프린터, 모뎀, 핸드폰, MP3 등의 각종 기기에 내장되어 있는 PROM(Programmable ROM) 내에 삽입되어 영구적으로 컴퓨터 장치의 일부가 되는 프로그램으로 기기의 성능 향상을 위하여 수시로 업데이트를 하는 특성을 가지고 있다. 따라서 일단 서비스거부 공격을 목적으로 하는 악성 소프트웨어를 펌웨어에 삽입시키게 되면 그것을 바로 지우거나 단시간 내에 수정할 수 없게 되므로 공격 형태의 이름도 ‘오랜 지속성(Permanent)을 가지는 DoS’라는 뜻으로 ‘PDoS’라고 명명하였다.

펌웨어에 악성SW 삽입하는 신종 DoS 공격

PDoS는 기존의 DoS 공격과는 다른 특성을 가지고 있다. 이제까지의 DoS는 E-mail 이나 핑(Ping) 메시지 등을 대량으로 송신하여 목표 시스템의 주 저장장치(Primary Storage)에 버퍼 오버플로우(Buffer Overflow) 상태를 일으켜서 시스템을 다운시키거나 많은 좀비 컴퓨터를 이용하여 목표 시스템을 집중 공격함으로써 시스템을 다운시키는 형태가 대표적이었다.

이러한 공격방법을 각각 메일 폭탄(Mail Bomb)과 스머프 공격(Smurf Attack)이라고 부른다. 그러나 그와는 달리 PDoS는 서버를 공격하는 것이 아니라 각종 기기의 펌웨어에 악성 소프트웨어를 삽입시켜서 서비스를 거부케 하는 새로운 형태의 DoS 공격인 것이다. 그 안에 삽입시키는 악성 소프트웨어도 두 종류로 구분된다. 하나는 삽입 후 목표 시스템을 즉각 다운시키는 것이고 다른 하나는 논리 폭탄(Logic Bomb)처럼 잠복시켜서 범행자가 원하는 시기에 원하는 방법으로 서비스를 거부케 하는 방법이다.

PDoS가 지향하는 공격 목적도 다르다. 기존의 DoS공격은 주로 매수되거나 금전상의 이익을 노리는 경제적 동기를 가지고 있으나, PDoS공격은 그러한 동기보다는 스파이웨어(Spyware) 등의 트로이 목마(Trojan Horse)를 심어 정보를 절취하거나 상대방의 기기를 사용 불능케 하려는 목적을 가지고 있으며 기반시설을 파괴하는 등의 사이버 전쟁을 목표로 하는 강한 동기를 가지고 있다.

원격 업데이트시 소스와 송신자 신뢰도에 유의

PDoS의 방어수단으로는 다음과 같은 몇 가지를 고려할 수가 있다. 원격 업데이트 시 그 소스와 송신자의 신뢰도에 각별히 유의해야 할 것이며 범용성 홈페이지나 카페에 게재 되어 있는 업데이트용 선전 자료의 허위성에 유의해야 할 것이다. 예를 들면 “이 자료를 다운받아 업데이트를 하면 1년간 MP3의 다운로드를 무료로 사용할 수 있습니다”라는 등의 사회공학적 수법을 사용하는 악성정보 등에 현혹되어서는 안 될 것이다.

만일 PDoS의 공격을 받았다면 펌웨어를 수정하려는 노력 보다는 아예 ROM 자체를 교체하는 편이 더 빠를 수도 있다. 앞으로 모뎀, 핸드폰, MP3 등의 기기뿐 아니라 디지털 오디오플레이어의 록벅스(Rockbox), VoIP, 무선 라우터, 게임기, 디지털 카메라, 네트워크 하드웨어 등의 다양한 기기의 기능을 마비시키려는 PDoS 공격이 매우 우려된다.

끝으로 한 가지 부연할 것은 펌웨어의 해킹이란 용어 자체는 과거에도 있었으며 시스템 펌웨어의 공격술도 이미 있었다. 예를 들면 모뎀의 펌웨어를 변조시켜 장기간 무료로 통화를 하는 프리킹(Phreaking)이나 CIH/체르노빌 바이러스가 오염된 BIOS(Basic Input Output System)를 PROM내에 오버라이팅 함으로써 웜(Worm) 대란을 일으켰던 사고 등이 그 예이다.

이제까지는 그러한 범행이 일어났다 하더라도 단편적이고 분산적으로 이루어져 그것을 하나로 집약시키는 용어가 없었다. 그러나 이제부터는 펌웨어를 기반으로 하는 모든 DoS 공격을 PDoS 라는 범주로 묶을 수 있게 되었다는데 이번 발표의 또 다른 의미가 있다.

PDoS는 DDoS 만큼 시스템 전반에 위협을 가하는 보편성은 적으나 그동안 무방비 상태로 방치했거나 무관심 해왔던 펌웨어의 취약성에 대한 새로운 형태의 위협임으로 우리는 이에 대한 경각심과 적극적인 대응책 강구에 결코 소홀해서는 안 될 것이다. 현명한 보안은 소를 잃기 전에 외양간을 고치는 것이다.

<글·이재우 동국대학교 국제정보대학원 석좌교수>

[정보보호21c 통권 96호(info@boannews.com)]  

              <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>