IT

인텔CPU 탑재 노트북..1분만 제어권 탈취

임민철 기자 입력 2018.01.14. 09:47
음성 기사 옵션 조절 레이어
번역beta

Translated by kakao i

번역할 언어 선택
글자 크기 조절 레이어
스펙터 및 멜트다운과 다른 보안구멍 AMT서 발견

(지디넷코리아=임민철 기자)인텔 중앙처리장치(CPU) 원격제어기능 액티브매니지먼트테크놀로지(AMT)에서 공격자에게 컴퓨터 로그인을 건너뛰고 무단 정보 유출과 시스템 제어를 허용해버리는 보안결함이 발견됐다.

이번 인텔 AMT 보안결함은 올해 초 공개된, 1995년 이후 출시된 상당수 인텔CPU 하드웨어에서 발견된 보안결함인 스펙터(Spectre) 및 멜트다운(Meltdown)과는 무관하다.

미국 지디넷은 12일(현지시간) 핀란드 보안소프트웨어업체 F시큐어의 연구원이 밝힌 정보를 바탕으로 해커가 주인이 자리를 비운 몇 분만에 노트북의 제어권을 빼앗을 수 있게 만드는 보안구멍이 AMT에서 발견됐다고 보도했다. [☞원문보기]

인텔 AMT는 관리자가 컴퓨터의 운영체제(OS)가 동작하지 않는 상황에서 원격으로 컴퓨터에 접근해 제어할 수 있게 만들어주는 기능이다. 이 기능을 지원하는 컴퓨터는 전원과 네트워크만 제공되면 원격관리를 통해 조치를 받을 수 있다. 인텔이 2000년 중반이후 소개한 v프로(vPro)를 활성화한 인텔 코어프로세서 또는 일부 서버용 CPU 제온 프로세서에 탑재돼 있다. 모든 인텔CPU가 v프로를 지원하거나 AMT를 사용하는 건 아니다.

인텔칩 기반 컴퓨터의 원격관리를 위해 제공되는 AMT기능에서 1분만에 제어권을 빼앗길 수 있는 보안결함이 발견됐다. [사진=Pixabay]

F시큐어가 발견한 인텔 AMT 보안취약점은 어떤 영향을 줄까. 해당 CPU기반 컴퓨터가 다른 어떤 보안 결함이 없는 상태에서 몇 분만에 바이오스의 패스워드, 신뢰플랫폼모듈(TPM) 개인인증번호(PIN), 비트로커 및 로그인 계정 확인절차를 뚫고 지나갈 수 있게 만든다.

F시큐어 수석 보안컨설턴트 해리 신토넨은 "이 공격은 거짓말처럼 간단히 동작하면서, 잠재적으로 믿기 어려울만큼 파괴적"이라며 "광범위한 보안조치를 취한 상황이더라도 이 취약점은 로컬 영역에서 공격자가 개인의 업무용 노트북을 완전히 제어할 수 있게 만든다"고 말했다.

보도에 따르면 AMT 취약점을 악용한 공격은 최초 실행할 때 시스템에 물리적으로 접근해야만 가능하지만, 이를 실행하는 데 걸리는 시간이 '몇 분' 수준으로 짧기 때문에, 사용자가 잠시 또는 한동안 방치한 노트북같은 컴퓨터를 노리면 쉽게 성공할 수 있다.

바이오스 패스워드는 일반적으로 허가받지 않은 사용자가 기기를 구동시키거나 로레벨 구성을 변경하지 못하게 막는데, 이게 AMT 바이오스 확장기능을 통해 접근하는 시도를 막지는 못한다.

핀란드 보안소프트웨어 업체 F시큐어의 수석 보안컨설턴트 해리 신토넨. [사진=F시큐어 유튜브 영상 캡처]

따라서 이를 이용하는 공격자는 시스템의 기본 패스워드가 변경되지 않았을 경우 AMT를 재설정하고 원격으로 취약점을 악용할 수 있게 된다. 이후 공격자는 기본 패스워드를 바꾸고, 원격접근을 활성화하고, AMT의 옵트인 사용자 설정을 '없음(none)'으로 지정할 수 있다.

이렇게 하면 해당 기기 사용자가 알아차리거나 그의 입력을 요구하는 과정 없이 원격으로 접근할 수 있게 된다. 다만 이론적으로는 외부에서 이 기기로 공격자가 구축한 클라이언트 초기화 원격접근(CIRA) 서버를 통해 들어가는 로컬네트워크를 감시할 수 있다.

컴퓨터에 물리적으로 접근해야 한다는 제약은 피싱(phising) 이메일을 보내서 누르도록 유도하는 원격 공격보다 성공하기 까다로운 제약이다. 하지만 특정 표적을 해킹하려는 숙련된 공격자가 잠시 원하는 기기를 다룰 시간을 얻는 시나리오를 조율하는 건 불가능하지 않다.

신토넨은 "기본적으로 공격자 한 명이 (표적 기기를 가진 인물의) 주의를 분산시미고 다른 사람은 그의 노트북에 간단히 접근할 수 있다"며 "이 공격에 많은 시간이 걸리지 않아, 1분도 채 안 되는 시간에 전체 작업이 완료될 수 있다"고 설명했다.

F시큐어가 유튜브에 공개한 인텔CPU 노트북 해킹 시연 영상. 원격관리를 위한 인텔AMT 기능을 사용해 공격자가 자신의 컴퓨터(왼쪽)로 해킹된 컴퓨터(오른쪽)의 화면을 실시간으로 보면서 제어할 수 있는 상태로 만들었다.

F시큐어 측은 이런 유형의 공격에 당하지 않으려면 AMT를 위해 강력한 패스워드를 사용하도록 요구하는 시스템프로비저닝을 수행하고 만일 어떤 패스워드든 알지 못하는 값으로 설정돼 있다면 이런 유형의 공격을 의심해야 한다고 조언했다.

F시큐어는 또 일반 사용자들에게 보안상 안전하지 않은 장소에서 절대로 자신의 노트북을 감시하지 않은 채 방치하지 말라고 덧붙였다. 그리고 AMT 관련 패스워드를 기본값으로 놔둔 채 제품을 출시해 공격을 허용하도록 만든 제조사들에게 이런 문제를 제보했다.

인텔 측은 "인텔 매니지먼트엔진 바이오스 확장(MEBx)을 보호하도록 시스템을 구성하지 않은 일부 제조사에게 해당 사실로 주의를 환기시켜 준 보안연구 커뮤니티에 감사를 표한다"고 밝혔다.

이어 "우리는 2015년에 관련된 최선의 구성 가이드를 발간해 2017년 11월에 개정했으며, OEM이 그들 시스템 보안 수준을 최대로 구성할 것을 촉구한다"면서 "최상의 구성에는 최소한도 접근권한, 펌웨어 및 보안 소프트웨어와 운영체제 최신으로 유지 등이 포함된다"고 덧붙였다.

인텔 AMT 구성 유틸리티. 인텔CPU의 AMT 기능을 사용하는 컴퓨터를 처음 설치할 때 접속 가능한 사용자와 네트워크 접근 권한 등을 설정할 때 필요한 툴이다.

임민철 기자(imc@zdnet.co.kr)