지포스 나우, 엔비디아의 클라우드 기반 게이밍 서비스...권한 상승 취약점 나와
문제의 근원은 오픈SSL이라는 오픈소스 라이브러리...악성 바이너리 심기 가능하게 해

[보안뉴스 문가용 기자] 그래픽카드 제조사인 엔비디아가 윈도 체제를 기반으로 한 게임 사용자들이 위험하다는 경고를 내놨다. 지포스 나우(GeForce NOW)라는 애플리케이션에서 고위험군에 속하는 오류가 발견됐기 때문이다. 이 취약점을 익스플로잇 할 경우 권한을 상승시키거나 임의로 코드를 실행할 수 있게 된다.


문제의 근원이 된 지포스 나우는 엔비디아가 제공하는 클라우드 기반 게이밍 서비스로 데스크톱, 랩톱, 맥, 안드로이드 장비에서 실시간으로 게임을 즐길 수 있도록 해준다. 약 400만 명의 사용자가 지포스 나우에 가입되어 있는 것으로 알려져 있으며, 지속적인 성장세를 보여주고 있기도 하다.

엔비디아는 지난 화요일 보안 권고문을 통해 지포스 나우에서 발견된 고위험군 취약점 CVE-2020-5992에 대해 공개했다. CVSS 점수는 7.3점이었다. 지포스 나우의 오픈SSL(OpenSSL) 라이브러리와 관련도니 문제라고 하는데, 이 오픈SSL은 컴퓨터 네트워크를 통한 통신을 안전하게 만드는 데 사용되는 오픈소스 라이브러리다.

엔비디아에 의하면 이 오픈SSL 라이브러리는 바이너리를 심는 유형의 공격에 취약하다고 한다. 바이너리를 심는 유형의 공격(binary planting)이란, 공격자들이 악성 코드가 포함된 바이너리 파일을 피해자의 파일 시스템 내부에 심는 것을 말한다. 2.0.25.119 이전 버전 모두가 이 취약점에 노출되어 있으며, 사용자들에게는 업그레이드가 권고되고 있다.

“시스템을 보호하려면 모든 고객들은 지포스 나우 애플리케이션을 열고 자동 업데이트가 다운로드 되도록 하십시오. 그런 후 안내에 따라 업데이트를 적용하시는 것을 권장합니다.” 엔비디아의 설명이다.

게이머들의 사용자 경험을 위한 제품을 만들어 온 엔비디아는 최근 다양한 보안 문제들을 발표해왔다. 얼마 전에는 윈도용 지포스 엑스페리언스(GeForce Experience) 소프트웨어에서도 두 개의 취약점이 발견된 바 있다. 그 중 CVE-2020-5977이 특히 심각한 것으로, 코드 실행, 서비스 마비, 권한 상승 등 여러 가지 악성 행위를 가능하게 해주는 것으로 분석됐다.

그 전인 10월 엔비디아는 고성능 DGX 서버들에서 치명적인 취약점이 발견됐다며 패치를 발표하기도 했었다. 이를 통해 공격자들은 정부 기관이나 포춘 100대 기업에서 생성되는 민감한 데이터에 접근할 수 있었다고 한다.

엔비디아 외에 다른 칩 생산 업체들에서도 여러 가지 보안 문제들이 최근 불거지고 있다. 인텔(Intel)의 경우, 여러 제품에서 오류들을 발견해 업데이트 했다. 이 중에는 블루투스나 와이파이와 관련된 치명적인 취약점들도 포함되어 있었다. 이번 주에는 플래티퍼스(PLATYPUS)라고 불리는 부채널 공격 기법이 공개되기도 했었다.

3줄 요약
1. 지포스의 클라우드 게이밍 서비스인 지포스 나우에서 고위험군 취약점 발견됨.
2. 이 취약점을 통해 권한 상승 및 임의 코드 실행이 가능하게 됨.
3. 사용자들은 2.0.25.119 버전으로 업그레이드를 해야 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>