• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

에이서, 에이수스, 델, HP, 레노보 노트북들 취약해 2016.06.01

기본 설치된 OEM 소프트웨어들서 취약점 다량 발견
실제 제조를 담당하는 하청 업체들 대부분 “보안은 딴 세상 이야기”

[보안뉴스 문가용] 메이저 PC 브랜드에서 출시한 랩톱들에 미리 설치된 OEM 소프트웨어 업데이트 툴에서 치명적인 결함들이 발견되었다. 이 결함들을 악용할 경우 10분도 되지 않는 짧은 시간에 시스템 전체의 통제권을 가져올 수 있다고 보안 전문업체인 듀오 시큐리티(Duo Security)에서 발표했다. 이번 발표에 등장한 이름들은 에이서(Acer), 에이수스(Asus), 델(Dell), HP, 레노보(Lenovo)다.


“OEM 소프트웨어의 생태계는 매우 복잡합니다. 단지 브랜드 이름을 강조하기 위한 무료 소프트웨어 - 대부분 블로트웨어 - 로 넘쳐나기도 하죠. 어떤 건 그냥 단축아이콘의 기능만 가지고 있는데도 쓸데없이 자리만 잡고 있어요.” 듀오 시큐리티의 설명이다. 이렇게 하드웨어 제조사들이 제품에 미리 설치하는 OEM 소프트웨어는 보안상 적지 않은 문제를 일으키곤 한다. 2015년 초 레노보 노트북에서는 슈퍼피시(Superfish)라는 애드웨어가 발견되기도 했다. 2015년 하반기엔 델의 컴퓨터들에서 중간자 공격을 가능하게 하는 취약점이 등장하기도 했다.

“이런 일들이 발생할 때마다 결론은 늘 똑같습니다. 이름이 거론된 브랜드들은 보안과 프라이버시에 매우 민감하고, 중요하게 생각하지만 실제 OEM 소프트웨어의 생산 작업을 하는 하청기업들 쪽에서는 보안이 전혀 다른 세상 이야기라는 것입니다. 특히 업데이트 툴을 OEM으로 맡기면 거의 반드시라고 해도 될 만큼 보안 사고가 높은 확률로 일어납니다. 업데이트 툴이라는 것 자체가 높은 권한을 가지고 있기 때문입니다. 권한이 높게 주어져야 필요한 시스템 파일을 수정하고 대체시켜 업데이트를 진행할 수 있으니까요.” 듀오 시큐리티의 대런 켐프(Darren Kemp)의 설명이다.

‘거의 반드시’라는 수식어가 무색치 않게, 위에 언급된 메이저 브랜드의 랩톱들 전부에서 적어도 한 가지 이상의 원격 코드 실행 취약점이 발견되었다. 5개 브랜드에서 발견된 취약점의 총 개수는 13개였다. 정리해보면 다음과 같다.

- 델 : eDellroot라는 인증서 관련 ‘높은 위험도’ 취약점 1개
- HP : 임의 코드 실행을 가능하게 해주는 ‘높은 위험도’ 취약점 2개와 ‘낮은 위험도’ 및 ‘중간 위험도’ 취약점 5개
- 에이수스 : 임의 코드 실행을 가능하게 해주는 ‘높은 위험도’ 취약점 1개와 로컬 권한 상승을 가능하게 해주는 ‘중간 위험도’ 취약점 1개
- 에이서 : 임의 코드 실행을 가능하게 해주는 ‘높은 위험도’ 취약점 2개
- 레노보 : 임의 코드 실행을 가능하게 해주는 ‘높은 위험도’ 취약점 1개

“소프트웨어 업데이트를 사용자들에게 대량으로 발송하는 건 말처럼 간단한 일이 아닙니다. 굉장히 정교한 위협 모델과 암호화된 시스템의 작동 원리에 대한 깊은 이해가 바탕에 깔려야 하죠. 그런데 OEM 벤더들은 그런 기초적인 보안 절차를 무시하거나 모르고 있는 게 보통입니다. 그러니 OEM 소프트웨어에서는 취약점들이 풍부하다 못해 흘러넘치는 것이죠.”

HP와 레노보는 해당 보고를 듀오 시큐리티부터 전해 듣고 재빨리 취약점에 대한 픽스들을 개발, 배포하기 시작했다. 하지만 에이서와 에이수스 측은 연락 주고받기가 매우 어려운 상태라고 듀오 시큐리티는 전달했다. “결국 ‘패치를 발표했다’는 답을 받기는 했지만, 그런 확답을 듣기까지가 매우 어려웠습니다. 패치가 없는데 취약점의 내용에 대해 발표할 수도 없고 말이죠.”

사용자들은 OEM 요소에서 보안 문제가 발생했을 때 할 수 있는 일이 거의 없다. OEM을 통째로 삭제하거나 비활성화시키는 것이 사실상 전부라고 할 수 있는데, 이는 시스템 고장이나 마비로도 이어질 수 있다. 듀오 시큐리티는 사용자들이 최대한 OEM 소프트웨어 취약점으로부터 자신들을 보호하기 위한 방법 및 어드바이스를 정리해 공개했다.

- 시스템을 본격적으로 사용하기 전에 OEM 시스템을 전부 삭제하고 블로트웨어가 없는 윈도우를 다시 설치한다.
- 필요하지도 않고 사용하고도 싶지 않은 소프트웨어들이 무엇인지 확인하고 비활성화시키거나 삭제한다. 어떤 환경이든 간단하고 깔끔할수록 취약점이 줄어든다.
- MS의 Signature Edition 시스템을 구입하는 것도 나쁘지 않은 선택이지만, 그렇다고 모든 OEM 소프트웨어 관련 취약점을 해결해주는 건 아니다.
- 델, HP, 레노보는 에이서나 에이수스보다 그나마 보안 업데이트 등을 더 자주 하는 편이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)