제품문의

02-6011-1377

보안관제센터

02-6011-2337

FAX

02-463-1376

E-mail

iamguide
@cmtinfo.co.kr

보안공지

공지사항

원격에서 서버를 ‘벽돌’로 만드는 공격에 유의하라

페이지 정보

작성자 최고관리자 작성일18-12-24 19:28 댓글0건

본문

서버에 접근 가능한 공격자라면, 사실상 그 조직 전체를 손에 쥐고 있는 것이나 다름이 없다. 그렇다면 이 권한을 사용하지 않을 거라고 생각하는 게 더 이상하다. 실제로 최근 발표된 보안 연구 결과에 의하면, 이런 공격자들은 원격에서 이 권한을 악용해 서버를 벽돌처럼 만들어버린다고 한다.  


펌웨어 공격 등 장비에 대한 영구적인 피해를 남길 수 있는 공격은 보통 ‘물리적인 공격’으로 간주된다. 보안 업체 에클립시움(Eclypsium)의 분석가들은 최근 베이스보드 관리 제어기(baseboard management controller, BMC)와 시스템 펌웨어의 취약점들을 익스플로잇 함으로써 원격에서 서버를 마비시키고 인프라를 방해할 수 있음을 증명해냈다. 

시스템을 벽돌처럼 만들어놓는 공격 기법 자체는 새로운 개념이 아니다. 에클립시움의 부회장인 존 루카이즈(John Loucaides)는 “이미 수년 전부터 이런 공격에 대한 개념이 연구되어 왔고, 이런 공격을 가능하게 해주는 취약점들도 적잖이 발견되어 왔지만 이것이 실제로 구현된 사례는 많지 않다”고 설명했다. “이번에 이런 공격을 성공시켜 발표하게 된 것은, 피해 규모가 엄청나고 파괴적인 속성을 갖고 있는 원격 공격이 있음을 알려 경각심을 고취시키기 위함입니다.”

루카이즈는 “이런 유형의 공격은 너무나 위험해 기업들이 반드시 염두에 두어야 한다”고 강조한다. “멀웨어에 감염된 시스템을 복구하려면 대부분 깨끗하게 시스템을 포맷하고, 정상저인 데이터를 다시 심어야 합니다. 하지만 이렇게 서버를 완전히 마비시키는 멀웨어에 당했다면 감염된 서버 모두를 열어두고 물리적으로 연결시켜 새로운 펌웨어부터 심어야 합니다. 굉장히 느리고, 기술적인 업무로, 이런 분야를 전문으로 하지 않는 일반적인 IT 담당자들로서는 할 수 없는 일입니다. 보통의 보안 전문가도 손 댈 수 없는 영역이죠.”

하지만 공격자 입장에서 뛰어난 실력이 요구되는 건 아니다. “복구가 너무 어려워서 공격도 국가 지원 해커 정도 되는 수준의 실력이 필요할 것이라고 여깁니다만, 이미 인터넷에서 구할 수 있는 오픈소스 툴들만 활용해도 서버 벽돌화가 가능합니다.” 이 부분이 이번 공격 구현의 의의다. 물리적 공격에 준하는 서버 마비 상태를 일으키는 게, 생각보다 손쉬운 공격으로도 가능하다는 것. 따라서 진입 장벽이 낮고 어지간한 해커라면 해봄직하다는 것이다.

심지어 이미 비슷한 유형의 공격이 실제 이뤄지고 있는 것도 루카이즈는 목격했다고 한다. “공격자들이 변형된 펌웨어나 작동하지 않는 펌웨어를 멀쩡한 서버에 심어놓고 있더군요.” 반면 에클립시움의 공격은 BMC를 익스플로잇 하는 것으로, BMC는 서버 내에 있는 별도의 독립적인 컴퓨터라고 보면 된다. 원격에서 시스템 환경 설정을 하는 데에 사용된다.

그들의 공격법
1단계는 문 안으로 발을 들여놓는 것으로, 루카이즈는 “일단 특정의 공격에 의해 침해당한 것을 상정했다”고 설명한다. “멀웨어 공격이든, 크리덴셜 도난이든, 누군가 물리적으로 접근을 했든, 아무튼 공격을 당했다는 걸 전제로 실험을 시작했습니다.”

그 다음 엘립시움의 연구원들은 일반적인 업데이트 툴들을 사용해 악성 펌웨어 이미지를 BMC에 심었다. 이 작업에 특수한 권한이나 크리덴셜이 필요하지 않았다. 펌웨어 이미지 내에는 UEFI 시스템 펌웨어와 BMC 펌웨어의 필수 요소들을 삭제하는 기능이 추가되었다. 

그렇다면 엘립시움은 왜 BMC를 표적으로 삼았을까? 루카이즈는 “사실 BMC가 아니더라도 비슷한 효과를 거둘 수 있다”고 말한다. “서버의 어떤 요소라도 비슷한 공격을 통해 비슷한 결과를 가져올 수 있습니다. 다만 저희가 BMC를 선택한 이유는 가장 이해하기가 쉽고, 가장 뻔한 표적이었기 때문입니다. 랜섬웨어 공격 등에 당했을 때 시스템 복구에 사용되는 것이 바로 BMC죠.”

그렇게 BMC를 감염시키고 나니 부팅 시 공격자가 원하는 이미지가 로딩됐다. “BMC는 시스템 관리와 복구를 담당하는 부분이기 때문에 시스템 내 모든 부분들에 뭔가를 설치할 수 있습니다. BMC를 장악한 공격자라면 이러한 기능을 적극 활용할 겁니다. 특히 시스템 펌웨어 감염에도 BMC가 활용될 수 있겠죠. BMC를 오염시킴으로써 정상 시스템 관리자가 복구를 시도하는 것도 차단할 수 있습니다.”

그 다음 단계는 ‘코드 실행’인데, 전 단계에서 이 단계로 넘어오는 데에는 불특정한 시간이 걸린다. “BMC를 감염시켜 악성 이미지를 로딩한 공격자들은 곧바로 악성 코드를 실행할 수도 있고, 자기들이 원하는 뭔가를 BMC에 심어두고 한참을 지켜볼 수도 있습니다. 원하는 것이 뭐냐에 따라 공격 시간은 달라질 수 있습니다. 심지어 최종 페이로드의 발동 시간을 예약하거나, 원격에서 실행시킬 수도 있습니다.”

결국 공격자의 의도가 관건이다. “최대한의 피해를 가하고자 한다면 곧바로 눈에 띄는 공격을 하기보다 시간을 오래 들여서 꼼꼼하게 감염시키겠죠. 성급하게 서버 한 대 마비시키면 방비가 들어가게 되니까요. 최대한 많은 서버를 한 번에 마비시키는 걸 택할 겁니다.” 그렇게 공격자의 의도를 담은 공격이 진행되고나면 BMC를 통해 서버를 리부팅시킨다. 그 서버는 사용 불가능 상태가 된다.

어떻게 대비해야 하는가
현존하는 보안 툴들로는 이 공격을 막기가 쉽지 않다. “펌웨어나 하드웨어를 전문으로 하는 방어법이 그리 많지 않기 때문이다. 그렇다고 불가능한 건 아닙니다. 제일 먼저는 최초의 침해 공격을 막는 것이 중요합니다. 최초의 침투와 침해를 막는 건 거의 ‘사이버 위생’ 문제입니다. 크리덴셜을 보호하고, 다중 인증을 적용하며, 업데이트를 빠르게 진행하는 등의 기본 사항을 지키는 것이죠.”

하지만 모든 게 완벽할 수는 없다. 지킨다고 지켜도 어디선가 구멍이 나올 수밖에 없다는 것이다. “그런 경우 시스템 내 여러 요소들의 무결성을 평가할 수 있는 능력이 관건이 됩니다. 정상의 상태를 평소부터 인지함으로써, 비정상 현상을 빠르게 파악할 수 있어야 한다는 겁니다.”

또한 루카이즈는 “업데이트의 중요성”을 거듭 강조했다. “보통 소프트웨어나 OS 업데이트에 대해서는 잘 알고 있습니다. 여러 전문가 칼럼에서도 반복해서 언급되죠. 그러나 펌웨어 업데이트는 관심을 받지 못하고 있습니다. 보안 담당자들은 펌웨어들에 대한 스캔과 모니터링도 실시해 이상 현상이 발견됐을 때, 즉각 조치를 취할 수 있어야 합니다.”