소프트웨어 버그들은 세상 어느 곳에나 있다. 하드웨어를 통한 해킹 공격 역시 드물지 않다. 하지만 소프트웨어와 하드웨어 중간에 존재하는 ‘펌웨어’라는 요소에 대해서 우리는 아직 잘 모른다. 그리고 공격자들이 빠르게 그 영역을 침투해 들어가는 중이다.

[보안뉴스 문정후 기자] 지난 12월 보안 전문가들은 ‘메이저’라고 할 만한 기업들이 운영하는 서버에서 다섯 가지 취약점을 발견했다. 화웨이, 퀄컴, 엔비디아, AMD, 델, HP 등과 같은 브랜드들이 사용하는 서버들이었다. 발견된 취약점들은 최소 5.3(중위험군)점에서 9.8(초고위험군)점 사이에서 다양하게 분포되어 있었다.


문제의 근간은 AMI에서 개발한 펌웨어였다. BMC라는 프로세스들에 들어가는 펌웨어가 문제였는데, BMC는 머더보드에 탑재되어 있어 관리자들이 시스템 내 모든 요소들을 편리하게 관리할 수 있도록 해 주는 칩셋이다. BMC를 통해 관리자들은 모든 애플리케이션과 데이터는 물론 가장 기본적인 층위의 하드웨어까지 다룰 수 있게 된다. 호스트가 꺼져 있거나 인터넷에 연결되어 있지 않아도 이런 관리가 가능하다.

“그렇기 때문에 이 펌웨어는 공격자들에게 흥미로운 공격 대상이 될 수밖에 없었습니다.” 보안 업체 에클립시움(Eclypsium)의 위협 분석 책임자인 네이트 워필드(Nate Warfield)의 설명이다. 위 다섯 가지 취약점을 제일 먼저 발견한 것이 바로 에클립시움이다. “BMC는 일종의 미니 컴퓨터로, 전원이 공급되는 이상 항상 켜져 있으면서 시스템의 모든 요소들에 닿아 있다고 볼 수 있습니다. 이것만 장악하면 공격이 매우 편리해진다는 건 자명한 사실이죠.”

하지만 이 펌웨어의 취약점 몇 개 발견한 건 빙산의 일각이었다. 에클립시움 측은 “펌웨어라는 분야 자체가 가지고 있는 구조적인 결함이 있고, 이 다섯 가지 취약점은 그런 거대한 결함으로부터 비롯된 것”이라고 설명한다. 그리고 상세한 내용을 돌아오는 5월 11일 블랙햇 아시아(Black Hat Asia)에서 발표할 예정이다. “즉, 우리가 지난 해 발견했던 문제보다 더 심각한 문제가 있었다는 것이죠.”

펌웨어 리스크
기업들이 보안을 강화한다고 했을 때 기존의 보안 방법론들을 잘만 적용해도 공격자들에게는 공격하기 까다로운 환경이 구축된다. 그래서 공격자들은 끊임없이 새로운 것들을 연구하고 찾아낸다. “새로운 공격 통로가 자꾸만 발굴된다는 건 우리가 가지고 있는 기존 솔루션들의 효과가 상당하다는 뜻이 됩니다. 완벽하지는 않아도 공격의 효율을 효과적으로 낮추기는 한다는 것이죠.” 워필드의 설명이다.

워필드는 그런 공격자들의 필요에 의해 활발히 악용될 다음 전장인 펌웨어가 될 것이라고 보고 있다. “10~15년 전만 해도 펌웨어를 공격할 수 있는 건 국가 정보 기관들 뿐이었습니다. 나라에서 뽑고 또 뽑은 수재들만 해낼 수 있는 어려운 작업이었던 것이죠. 지금은 어떨까요? 펌웨어 공격은 매우 쉬운 일이 되었습니다. 다크웹에만 하더라도 펌웨어 공격을 쉽게 만들어주는 온갖 도구들이 존재합니다.”

게다가 일반 소프트웨어 공격보다 펌웨어 공격으로 얻어갈 수 있는 것이 훨씬 더 많기도 하다. “간단히 말해 세상 모든 펌웨어는 권한이 높은 비밀(혹은 민감) 콘텐츠입니다. 게다가 이 권한이 높고 민감한 것을 버릴 수도 없어요. 모든 시스템에 꼭 필요한 요소라는 것이죠. 게다가 시장에 있는 수많은 보안 장치들로는 들여다볼 수도 없습니다. 먹음직스러운 요소에다가, 보안의 손길이 잘 닿지 않으며, 요즘은 공격하기도 쉬워지고 있으니, 공격자들 입장에서는 모든 조건이 맞아떨어지는 것이죠.”

펌웨어를 익스플로잇 했을 때 얻을 수 있는 것은 정말 많다. “예를 들어 랜섬웨어 그룹이 BMC 같은 요소에 파고들어가는 데 성공했다고 합시다. 그렇다면 그 랜섬웨어 그룹은 해당 시스템만이 아니라 네트워크 전체를 인질로 잡을 수 있습니다. 그런데 피해자들이 협상에 응하지 않는다면 어떻게 될까요? 하드드라이브를 포맷하고 아무 애플리케이션이나 멋대로 설치할 수 있습니다. 게다가 피해자들이 그 BMC를 제거하지도 못해요. 얼마나 이상적인 시나리오가 됩니까.”

모르는 것을 보호할 수 없다
문제는 펌웨어 공격은 쉬워지고 있는 반면 펌웨어 보안은 계속해서 어려운 문제로 남아 있다는 것이라고 워필드는 강조한다. “펌웨어 방어를 위한 왕도라는 건 없습니다. 꽤나 복잡하고 민감한 요소라 보호 역시 간단히 해결되지 않습니다.”

펌웨어 보안을 실질적으로 강화한다고 했을 때 현장에서 제일 처음 문제가 될 것은 ‘어떤 펌웨어가 존재하는가?’를 파악하는 것이라고 워필드는 말한다. “클라우드 보안을 얘기할 때 ‘가시성’ 이야기를 할 수밖에 없죠? 펌웨어도 마찬가지입니다. 펌웨어 가시성은 오히려 더 확보가 어렵습니다. 우리 회사에 어떤 펌웨어들이 실행되고 있는지 정확히 파악한다는 건 생각보다 어렵고 고된 일입니다. 심지어 그 펌웨어들의 개발사를 찾아낸다는 것도 대단히 어렵습니다.”

그러면서 워필드는 감염된 NPM 패키지들을 예로 든다. “불량한 오픈소스 패키지들이 공급망에 퍼지면 어떻게 될까요? 상상할 수 없는 속도와 규모로 나쁜 요소들이 퍼져가고 공급망 전체가 뒤흔들리게 됩니다. 모든 사람이 오픈소스 패키지를 사용하기 때문이죠. 즉 너무나 많이 사용되는 거라 ‘우리 네트워크 안 어디에 얼마나 존재하는지’를 명확히 파악할 수가 없다는 겁니다. 펌웨어 보안이라는 것도 이 난관부터 극복해야 가능해집니다.”

결국 공격자들이 펌웨어에 대한 관심을 높이 가져가기 시작하기 전에 펌웨어를 중심으로 한 보안 강화 전략을 수립하고 적용해야 한다는 게 워필드의 주장이다. “펌웨어에 의한 공격은 단순 취약점 패치로 막을 수 있는 게 아닙니다. 너무나 현대 시스템의 근간에 위치해 있기 때문입니다. 보다 근본적인 부분에서의 변화와 대응이 필요합니다.”

글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>