메인보드 백도어 방치한 기가바이트, 보안시스템 강화가 시급하다

 

[출처: 기가바이트 홈페이지]

IT기업에게 제품과 서비스에 적용되는 보안시스템을 신경쓰라는 말은 어제오늘 해왔던 주문이 아니다. 이제까지 보안을 경시한 기업이 크고 작은 사고를 일으킨 것도 한두번이 아니다. 그럼에도 여전히 많은 기업들이 보안 시스템 구축을 소홀히 하고 있다. 단순히 투자를 적게 하는 것은 물론이고, 아예 보안시스템을 왜 굳이 만들어야 하는 지 의식조차 못하는 경우가 많다.

대만기업인 기가바이트가 보안 시스템 개발과 운영에 큰 문제를 드러냈다. 지난 1일, 보안 블로그 시큐리티어페어즈는 기가바이트에서 제작한 메인보드 시스템 일부에서 백도어와 같은 기능이 숨겨져 있는 걸 발견됐다고 보도했다. 제품에 탑재된 펌웨어가 장비 부팅 단계에서 윈도 실행파일 하나를 심는데, 이 실행파일은 또 다른 페이로드를 다운로드 하고 실행시키는 기능을 가지고 있다는 것이다. 

그러니까 사용자에게 알리지 않고 몰래 사용자 시스템에 심겨진 채 추가 멀웨어를 다시 몰래 심고 실행시키는 기능이다.  이것은 위험한 백도어 소프트웨어의 전형적 행동 패턴이다. 수많은 기가바이트 PC에서 이 문제가 발견되었으며 기가바이트 측이 이를 인지하여 조치를 취했다.

몇몇 제품만의 문제가 아니다. 하드웨어 보안 기업인 이클리시움에 의하면 270개 이상의 기가바이트 메인보드 펌웨어에서 이런 백도어 작동방식이 발견됐다. 우선 왜 아무에게도 알리지 않고 메인보드 펌웨어에 업데이트 백도어를 넣었는지 의문이 제기된다. 이클리시움은 이 코드가 기가바이트가 인터넷을 통해 또는 로컬 네트워크에 연결된 스토리지로 펌웨어 업데이트를 설치하기 위한 것이라고 밝혔다. 그러니까 자사 메인보드의 펌웨어 업데이트를 위한 도구로 작동하는 시스템이란 의미다. 

문제는 이 툴은 대부분 보안이 적용되지 않은 상태로 설치되어 악의적인 공격자가 PC 메인보드에 자신의 코드를 로드할 수 있다는 점이다. 안전하지 않은 기가바이트 서버, 조작된 사설서버에서 코드를 다운로드해 사용자의 허락 과정인 서명 확인도 없이 새로운 UEFI 펌웨어를 설치할 수 있다는 점에서 백도어와 똑같은 문제점과 위험성을 가지고 있다는 점이 치명적이다. 

결국 기가바이트는 이 펌웨어의 문제점을 인식하고는 지난 5일, 해당 백도어 기능을 제거하기 위한 BIOS 업데이트를 발표했다. 새로운 업데이트는 시스템 부팅 중에 보다 엄격한 보안 검사를 시행한다. 또한 원격 서버에서 다운로드된 파일에 대한 향상된 유효성 검증 및 원격 서버 인증서의 표준 검증을 포함한다. 새로운 보안 강화 기능으로 부팅 중에 악성 코드를 삽입하는 공격자를 방지하고, 이 과정에서 다운로드된 파일이 유효하고 신뢰할 수 있는 인증서가 있는 서버에서 제공되는 것을 보장한다.

비교적 신속하고 정확한 조치다. 새로운 업데이트가 문제없이 잘 작동한다는 전제하에 이 조치 자체는 높이 평가할 만 하다. 그렇지만 여전히 중요한 문제가 남는다. 무려 270개가 넘는 자사보드가 이런 백도어 특성을 지닌 보안 문제를 안고 출시될 동안 기가바이트는 대체 뭘 하고 있었느냐는 것이다. 

이 문제는 기가바이트가 스스로 밝혀낸 게 아니라 외부 보안기업이 발견해서 공개했다. 그 전까지 기가바이트는 알지도 못했거나, 알아도 별 문제가 없다고 판단해서 넘겨버린 것 같다. 선의로 해석하더라도 자사 메인보드의 펌웨어 업데이트의 허술함을 나쁜 의도를 가진 해커가 악의적으로 이용할 리 없다고 방심한 결과다. 악의적으로 해석한다면 그 정도의 보안시스템 개발에 드는 시간과 비용이 아까워서 모두가 모르고 넘어가주기를 바라며 제품을 내놓았다는 것이다.

의도하지는 않았더라도 기가바이트는 스스로 자사 메인보드에 해커의 침입을 도와주는 백도어를 심어서 내놓는 결과를 만들었다. 특히 단순히 시스템 파괴가 아니라 무엇이든 인질을 잡고 비트코인을 요구하는 요즘 해킹추세로 본다면 자칫 엄청난 금전적 피해를 만들 수 있는 문제였다.

기가바이트는 우선 허술한 보안의식부터 강화해야 한다. 이 문제점이 알려진 후 기가바이트가 270개 메인보드에 바이오스 업데이트 형태의 패치를 배포된 것은 겨우 4일 후였다. 그만큼 별로 시간이 많이 드는 일도 아니었으며 비용이 많이 들었다는 말도 없다. 따라서 이건 근본적인 보안 의식 결여에서 나온 것으로 밖에 볼 수 없다. 

그나마 이번에는 피해자가 나오기 전에 막았다는 게 다행이다. 앞으로 비슷한 문제가 또 발생했을 때도 큰 혼란이나 피해자 없이 막을 수 있다는 보장은 없다. 기가바이트, 나아가서 비슷한 기능을 탑재한 모든 IT제품 제조사는 반드시 보안부터 신경쓴 제품을 출시하길 바란다.