인텔에 더욱 치명적인 보안 결함, [AMT]

핀란드 사이버 보안 전문가인 F-Secure는 해커들이 기업용 노트북에 원격으로 접속할 수 있는 새로운 보안 결함을 인텔 CPU에서 발견하였다고 밝혔습니다.

F-시큐어는 발표 자리에서 그 결함이 오늘날 거의 모든 컴퓨터, 태블릿 및 스마트폰에서 사용되는 마이크로프로세서에서 최근 논란이 된 '스펙터(Spectre)' 및 '멜트다운(Meltdown)' 취약점과 아무런 관련이 없다고 밝혔습니다. 오히려 그것은 인텔 액티브 매니지먼트 테크놀로지 (Intel Active Management Technology, ATM)에서 문제가 발견되었습니다. 사이버 보아 회사는 '이는 대부분의 기업용 노트북에서 흔히 발견할 수 있으며, 공격자가 단 몇 초 만에 사용자의 장치를 완벽히 제어가 가능합니다' 라고 전하였습니다.

'문제는 잠재적으로 전 세계의 수백만 대의 노트북에 영향을 미칩니다'

F-시큐어의 컨설턴트 인 해리 신토 넨(Harry Sintonen)은 '결함은 거의 충격적인 단순함이 있지만 자료 파괴 가능성은 확실하지 않다'여, '실제로 이 결함은 최상의 보안 조치에도 불구하고 해커가 힘을 조금만 쓰면 노트북을 완벽하게 제어 가능하다' 라 밝혔습니다.

해커는 이 결함을 통해 공격하려면 일단 공격하고자 하는 장치에 물리적으로 액세스할 수 있어야 합니다. 하지만 물리적 접촉이 성공하여 AMT 를 재구성 한 후에는 사용자와 동일한 무선 또는 유선 네트워크에 연결하여 원격으로 장치에 백도어를 설치할 수 있습니다. 어떤 경우에는, 공격자가 자신의 서버에 연결되도록 AMT 를 프로그래밍할 수 있기 때문에 피해자와 동일한 네트워크 위치에 있어야 할 필요가 전혀 없습니다.

또한, 이 공격은 디스크 암호화(비트락커, BitLocker), 컴퓨터 방화벽, 맬웨어 방지 안티 바이러스 프로그램 또는 VPN 과 같은 보안조치로는 이 문제를 막아낼 수 없습니다. 공격이 성공적으로 이루어지면 장치의 기밀성, 무결성 및 가용성이 완전히 상실될 수 있다고 F-시큐어는 말했습니다.

가해자는 사용자가 자신의 컴퓨터에서 액세스 할 수 있는 모든 데이터와 응용프로그램을 읽고 수정이 가능하며, 펌웨어 수준에서도 장치에 멀웨어를 설치할 수 있습니다. F-시큐어 전문가 신토넨은 조직에서 강력한 AMT 암호를 설정하거나 AMT 를 완전히 사용하지 않도록 설정하여야 하며, 이 결함은 AMT 를 사용하는 인텔(Intel) CPU에서만 적용되며, AMT 가 존재하지 않는 AMD 의 경우에는 이 결함에 해당되지 않습니다.

---- 간단한 요약 ----

이번 결함은 지난 ME(인텔 메니지먼트 엔진) 보안결함과 같이 물리적인 접촉이 필요한 버그입니다. 다만, 물리적 접촉이 성공하게 된다면 모든 기기의 암호화를 무력화시키고 기기의 데이터에 엑세스가 가능하며, 사용자 몰래 백도어까지 설치할 수 있습니다. 무력화되는 암호화에는, 바이오스 비밀번호부터 윈도우 비밀번호, 비트락커 등 하드웨어와 윈도우에서 제공하는 모든 보안 기능이 무력화되어 보안 기능을 바이패스할 수 있습니다. 심지어 특정 파일을 컴퓨터에서 빼내고, 원본 자료를 로컬 컴퓨터에서 지워버리는 짓도 가능하지요. 백도어를 설치하였으니 실시간으로 화면 공유를 통해 사용자가 뭘 한느지 감시할 수도 있지요.

※ 인텔 메니지먼트 엔진이란?

- ME는 인텔 CPU안에 있는 하부 시스템으로, 인텔 CPU가 있는 장치의 모든 기능을 원격으로 제어할 수 있어 이 기능으로 시스템 장애진단이나 업데이트를 할수 있습니다. 애초 ME의 목적은 관리자의 시스템 관리를 편리하게 하기 위한 기능이며, AMT는 액티브 매니지먼트 기술의 약자로 ME펌웨어에서 돌아가는 소프트웨어 중 하나입니다.

ME 보안결함이 크게 문제가 된 이유 중 하나는 ME의 권한이 매우 높기 때문인데, OS에서 구동되는 소프트웨어는 보안을 위해 권한과 보호 수준에 따라 일련의 등급으로 나뉘어 있습니다. 일반적인 프로그램은 3등급, 하드웨어 드라이버는 2등급이나 1등급, 운영체제 커널은 0등급입니다. 가상화 소프트웨어(가상머신, 안드로이드 플레이어 등)는 마이너스 등급이 되어 -1등급인데, 사용자는 -1등급부터의 프로그램 실행을 인지할 수 있습니다. 모든 CPU자원을 제어할 수 있는 수준은 -2등급이고 여기서부터 CPU만 동작을 알 수 있습니다. 그런데 ME 펌웨어는 -3등급인데, -3등급은 컴퓨터의 핵심인 CPU조차 인식하지 못하고 시스템을 끄고 켜거나 디스크 이미지를 덮어쓸 수 있는 등급입니다. CPU도 모르는데 어떻게 작동하냐는 물음이 나오는데, ME펌웨어를 위한 독자적인 프로세서가 있습니다. 즉, CPU와 따로 놉니다. 이런 이유 때문에 ME와 AMT는 작년부터 보안결함이 지적되었고 이때문에 그냥 비활성화하시키라는 요구가 나오기도 하였습니다.

ME는 CPU에서도차 작동하는지 인식할 수 없기 때문에, 공격자가 ME펌웨어의 제어권을 탈취하기만 하면 OS, CPU, 그리고 사용자가 모르는 상태에서 시스템의 정보를 빼내거나 관리자, 사용자의 명령을 다른 방식으로 수행이 가능합니다. 예를 든다면, 사용자는 인터넷을 켰는데 실제로 켜지는것은 파일 탐색기 정도 되겠지요. 기사를 보면 펌웨어 수준에서 동작한다고 하는 것을 보면 AMT의 결함을 이용하여 ME의 제어권을 탈취하는 것으로 보입니다.

이번 결함이 AMT 초기버전도 해당되는지, 아니면 완전히 개발된 AMT만 해당되는지 확실하지 않습니다. 하지만, AMT 초기버전까지 해당된다면 2008년도 이후에 출시된 인텔 CPU 모두 포함됩니다. 2008년이면 대략 코어2 시리즈때군요.

하지만 중요한건 AMT 기술은 vPRO 에서 활성되된 기술이라, CPU뿐만 아니라 PCH(칩셋) 까지 지원하여야 합니다. 한마디로, 칩셋이 AMT 기술을 지원해야 한다는 것이지요. vPRO는 CPU와 칩셋, 각각의 비즈니스형 기술을 모아둔 브랜드인데요, 그 중 TXT와 SIPP등 일부 CPU가 지원해야 하는 기술이 vPRO를 지원하는 CPU제품군에 활성화된 구조라 이 기능이 작동 가능한 제품군이지 단독으로는 vPRO 자체가 가능한 제품은 아닙니다. 그래서 K제품군이 개인사용자용으로 판매되었기에 위 기술이 작동하지 않습니다. 칩셋에서 vPRO 기술이 활성화되어야 AMT 기술도 함께 활성화되기에 AMT가 비활성화된 상태에서는 CPU가 vPRO 를 지원해도 문제가 없습니다.

또한, CPU에서 vPRO 를 지원해야 이 결함을 이용하여 공격할 수 있기 때문에, 일반 사용자에게는 문제가 거의 없고(vPRO 탑재된 CPU 사용중이고 vPRO 사용중이면 비활성화하세요) vPRO 를 사용중인 기업들이 가장 큰 문제라 할 수 있습니다.

※ 인텔 AMT(vPRO) 기술이 탑재된 CPU는 아래와 같습니다. (총 27개 CPU)

→ i5 - 7Y57

→ i5 - 7300U

→ i5 - 7600U

→ i7 - 7Y75

→ i7 - 6660U

→ i7 - 6700TE

→ i5 - 6600T

→ M7 - 6Y75

→ i5 - 6300U

→ i7 - 6700T

→ i5 - 6600

→ i7 - 6820HQ

→ i7 - 6920HQ

→ i5 - 6440HQ

→ i5 - 6360U

→ i7 - 6650U

→ i7 - 6600U

→ i5 - 6500T

→ i5 - 6500

→ i7 - 6700

→ M5 - 6Y57

→ i7 - 5650U

→ i5 - 5350U

→ i7 - 5600U

→ i5 - 5300U

→ M - 5Y71

→ M - 5Y70

인텔 CPU 보안 결함 발견? 보안패치하면 성능 저하? (멜트다운 버그)

인텔, 6/7세대 프로세서에서 하이퍼스레딩이 말썽?

8세대 코어 프로세서 '치명적 보안 결함' 발견.. 인텔, 펌웨어 업데이트 권고

※ 본 글은 필자가 직접 작성한 것이 아닌, Phys.ORG 의 원본을 해석한 것입니다.

※ 따라서, 번역에 오류가 있을 수 있고, 이 글의 모든 권리는 필자가 아닌 Phys.ORG 에 있음을 알립니다.

※ 요약내용은 루리웹 의 덧글 부분을 참고하였습니다. 또한, CPU목록은 여기에서 확인할 수 있습니다.

※ 자료 출처: Phys.ORG

ⓒCopyLight 2017. Phys.ORG all rights reserved.

ⓒCopyLight 2017. Phys.ORG all pictures cannot be copied without permission.

<끝>

하단의 '공감' 버튼은 저에게 큰 도움이 됩니다.

"wjdqh6544의 자료창고" 를 검색~!