• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

주변 기기 통해 시스템 장악까지 이어지는 선더클랩 공격 2019.02.28

선더볼트 포트 통해 여러 취약점 익스플로잇 함으로써 공격 가능
멀쩡해 보이는 주변 기기 꽂아도 공격할 수 있어...신뢰에 대한 문제

[보안뉴스 문가용 기자] 보안 전문가들이 새로운 공격 기법을 발견했다. 활용할 경우 악성 행위자가 컴퓨터를 완전히 장악해 민감한 데이터에 접근할 수 있게 된다고 한다. 특수하게 만들어진 장비를 선더볼트(Thunderbolt) 포트에 꽂아 넣기만 하면 공격이 성립된다고 한다.

[이미지 = iclickart]


그래서 이 공격 기법에 선더클랩(Thunderclap)이라는 이름이 붙었다. 선더볼트 포트에 장비를 꼽기만 하면 공격이 된다지만, 사실은 여러 개의 취약점을 연쇄적으로 익스플로잇 하는 것이다. 선더볼트는 애플과 인텔이 만든 하드웨어 인터페이스로, 컴퓨터 주변 기기를 연결하는 데 주로 사용된다. 여기서 취약점을 발견한 건 라이스대학(Rice University)과 캠브리지대학(University of Cambridge), 스탠포드 국제연구소(SRI International)의 연구진들이다.

선더클랩 공격은 애플이 2011년 이후부터 제작한 랩톱과 데스크톱 컴퓨터 거의 대부분에 적용이 가능하다. 그렇다고 맥OS 시스템만 취약한 것은 아니다. 선더볼트 3는 C 타입 USB 포트와도 호환이 가능하기 때문에, 윈도우와 리눅스 시스템 일부도 이 공격에 노출될 수 있다. 연구진들에 의하면 PCI 엑스프레스(PCI Express)를 통해 연결된 장비를 통해서나, 공격 대상 컴퓨터의 머더보드에 이식된 칩을 통해서도 같은 공격이 가능하다고 한다.

선더클랩 공격을 실시하려면 시스템에 물리적으로 접근해야 한다는 단점이 있다. “그러나 충전기 등 전혀 공격 도구로 보이지 않는 장비들을 이용해도 공격을 성공시킬 수 있습니다. 접근 자체가 완전히 불가능한 시스템이 아니라면, 의심 받지 않고 장비를 연결시키는 게 가능하다는 뜻입니다.”

이러한 문제점을 연구진들이 알게 된 건 2016년의 일이다. 그때부터 영향을 받는 업체들에 이 사실을 알리고 패치 개발에 참여해왔다. 애플과 마이크로소프트 모두 맥OS 10.12.4 및 그 이후 버전과 윈도우 10 버전에 맞는 픽스를 발표했다. 그러나 “선더클랩 공격은 여러 취약점들을 연쇄적으로 악용하는 것인데, 애플과 MS가 패치한 건 가장 위험한 취약점 몇 개에 그쳤다”고 전문가들은 설명했다.

한편 인텔도 리눅스 커널을 위한 패치를 개발했고, 곧 발표할 것으로 보인다. 이름을 밝히지 않은 노트북 제조사 한 군데도 선더볼트 포트를 신제품에 삽입해서 출시하기 전에 문제를 해결할 것이라고 발표했다.

이 선더클랩 공격은 윈도우 기반 시스템과 일부 리눅스 시스템에서는 어느 정도 제한적으로만 작동한다. 기기가 꽂힐 때 사용자들에게 알리는 창을 띄우는 메커니즘 때문이다. 물론 많은 사람들이 알림 창 내용을 꼼꼼하게 읽지 않고 ‘확인’ 버튼을 누르기 때문에 큰 의미가 있지는 않지만 말이다. “또한 공격자들이 PCI 엑스프레스 주변 기기로 공격을 시도하면 경고 창이 뜨지 않습니다.”

이 공격은 주변 기기에 대한 사용자 및 플랫폼들의 무조건적인 신뢰를 노리는 것이라고 전문가들은 규정한다. “주변 기기를 플랫폼에 연결시키는 부분에 있어서는 아직 보안이 철저하지 못합니다. 오히려 꼽자마자 사용이 가능하게 해주는, 플러그앤플레이 개념이 더 보편적이죠. 또한 사용자들도 기기에 대해 알아보고 꼽는 게 아니라, 꼽아보고 알아보는 순서를 선호합니다. 선더클랩 공격은 이 부분을 공략하는 것이라고 볼 수 있습니다.”

주변 기기들에 직접 메모리 접근(DMA) 권한이 주어진다는 것도 위험하다고 전문가들은 강조한다. “주변 기기가 OS의 감독이나 제한 없이 모든 시스템 메모리의 읽고 쓰는 권한을 가져간다는 게 생각해보면 매우 위험한 발상입니다. 메모리 안에는 온갖 민감한 정보가 저장되어 있을 수 있는데 말이죠. 게다가 공격자들이 메모리에 코드를 주입해 실행시키면 상황에 따라 장비의 완전 통제도 가능하게 됩니다.”

연구진들은 선더클랩 공격의 기술적 세부 사항(http://thunderclap.io/thunderclap-paper-ndss2019.pdf)을 발표함은 물론 오픈소스 플랫폼도 공개(https://github.com/thunderclap-io)해 다른 보안 전문가들과 업체들이 선더클랩 공격에 대한 방어 능력을 실험해볼 수 있도록 했다.

3줄 요약
1. 대다수 컴퓨터에 존재하는 선더볼트 포트에 특수한 장비 꽂아 넣으면 공격 가능.
2. 이 공격은 선더클랩이라고 하는데, 여러 취약점들을 연쇄적으로 익스플로잇 하는 것임.
3. 근본적으로는 OS와 주변 기기 간 신뢰 관계를 공략하는 공격.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>