MSI, "보안 부팅" 옵션을 눈속임으로 작동시킴 - ASUS 등 다른 회사도 가능성 있음

최근 오픈 소스 연구원인 Dawid Potocki 는 "보안 부팅" 기능 구현이 잘못되었음을 알렸으며, 이에 MSI 가 대응하였습니다.

MSI - 300개의 마더보드에서 보안 부팅 기능에 대한 입장 표명, 다른 마더보드 제조업체도 동일할 수 있음

최신 마더보드에 포함되어 있는 보안 부팅 기능은 하드웨어 공급업체가 신뢰하는 소프트웨어와 코드만 장치에서 실행될 수 있도록 합니다. 하드웨어에 내장된 펌웨어는 UEFI 드라이버와 EFI 애플리케이션, OS 에 포함된 암호화 서명을 검증한 뒤 실행합니다. The Register 에 따르면, Potocki 는 자신이 테스트한 300여개의 마더보드에서 발견된 내용을 자세히 설명하는 글을 블로그에 게시하였습니다.

그의 실험 결과에 따르면, 일부 특정 펌웨어를 실행하는 약 300개의 마더보드에서 정책을 위반하였음에도 불구하고 바이너리 부팅이 허용되는 현상을 발견하였습니다. 즉 보안 부팅 기능이 작동하지 않는 마더보드가 약 300여 가지이며, 이 마더보드의 목록은 여기에서 확인할 수 있습니다.

01

MSI 는 MSI 의 게임 서브레딧에 아래와 같은 공식 성명을 발표하였습니다.

MSI 는 윈도우11 출시 이전에 마이크로소프트와 AMI 가 정의한 설계 지침에 따라 마더보드에 보안 부팅 기능을 구현하였습니다. 사용자 친화적인 환경을 제공하기 위해 사전에 보안 부팅이 활성화되어 있는 상태로 설정하였으며, "항상 실행"을 기본값으로 두었습니다. 이를 통해 여러 사용자들이 OS 이미지를 포함한 내장 옵션 ROM이 포함된 다양한 구성 요소로 PC를 구축할 수 있게 되었으며, 더 높은 호환성을 제공합니다. 보안에 대한 우려가 높은 사용자들은 "이미지 실행 정책" 을 "거부" 또는 기타 옵션으로 수동 설정하여 보안 수준을 높게 유지할 수 있습니다.

사전 설정된 BIOS 셋팅값에 대한 보안 문제 보고에 대응하기 위해, MSI는 더 높은 보안을 위한 기본 설정으로 "Deny Execute" 가 설정된 새로운 BIOS 파일을 제공할 예정입니다. 또한 MSI는 최종 사용자가 필요에 따라 수정할 수 있도록, 새로운 BIOS에서 보안 부팅 기능이 완전히 잘 작동하는 매커니즘을 유지할 것입니다.

- MSI 게이밍 레딧

또한, 유사한 문제가 특정 펌웨어를 실행하는 마더보드 제조업체 (ex. ASUS ,GIGABYTE 등..) 에서도 발생할 수 있음을 언급하였습니다. MSI 와 마찬가지로, 이러한 펌웨어는 현재 공식 릴리즈가 아닌 BETA 로 지정되어 있습니다.

ASUS:

01

GIGABYTE:

01

ASUS 및 GIGABYTE 마더보드는 다음과 같은 순서로 테스트되었습니다.

• CMOS 초기화
• F5/F6/F7 키를 통해 공장 출고 설정값 로드
• 유효한 서명이 존재하지 않는 부팅USB 로 부팅할 수 있는지 확인
• 보안 부팅이 작동하지 않는 경우, BIOS 에서 설정을 수동으로 변경한 뒤 부팅 여부를 확인

MSI는 BIOS 를 통해 필요한 옵션을 수동으로 설정 가능하지만, 기본적으로 "실행 거부" 로 설정되어 있는 BIOS 를 새롭게 출시할 것이라고 언급하였습니다. 새로운 바이오스는 사용자가 수동으로 조절할 수 있는, 완전한 기능의 보안 부팅 매커니즘을 유지할 것입니다.

---

해외 매체의 IT기사를 번역하였으며, 일부 의역된 내용도 있습니다. 착오 없으시기 바랍니다.

원문: WCCFTech - MSI Responds To Faulty "Secure Boot" Implementation, Others Including ASUS Might Be Affected Too