ESET은 ESET 제품에 컴퓨터 펌웨어를 검사할 수 있는 기능을 추가한 최초의 엔드포인트 보안 벤더입니다. ESET은 2017년 10월에 출시된 ESET UEFI 검사 모듈을 출시한 이후 지금도 ESET 표준 제품에서 이 보안 계층을 제공하는 유일한 주요 벤더입니다.
ESET UEFI 검사 기술의 이점에 대해 살펴 보고, 이 것을 둘러싼 일부 연관성에 대해 명확히 해 보겠습니다.
ESET의 최고 연구 책임자인 Roman Kováč는 몇 가지 질문을 받았습니다.
인터뷰를 읽는 것과 더불어 UEFI와 관련 보안 이슈에 대해 WeLiveSecurity (영문)의 기사를 통해서도 자세히 확인할 수 있습니다.
분명한 건 ESET만이 여전히 엔드포인트 보안 솔루션에 컴퓨터 펌웨어 검사 기능을 제공하는 주요 벤더라는 것입니다. 왜 다른 업체들은 따라하지 않는 걸까요?
저는 경쟁 업체를 대변할 수 없기에 그 질문에 정확히 대답할 수 없지만 당신이 무엇을 생각하고 있을 지 압니다. 다른 업체들이 중요하게 생각하지 않는 틈새의 기능을 개발하는 것이 리소스의 낭비처럼 보일 수 있을 거예요.
하지만 근본적으로 문제를 다루기 위해 우리가 왜 사용자들이 펌웨어를 안전하게 보호하는 것이 필수적이라고 생각하는지 설명해야 할 것 같습니다.
컴퓨터의 펌웨어가 손상되는 것은 매우 심각한 결과를 초래해요. 당연하게도, 공격자가 컴퓨터가 부팅될 때 프로세스의 실행과 방법을 제어할 수 있다면 완벽히 컴퓨터를 제어할 수 있습니다. 그렇게 되면 사이버 공격을 시행하는 극도로 위험한 도구가 될 거예요. 뿐만 아니라 펌웨어를 수정하면 탐지가 어렵고, 운영 체제 재설치, 심지어 하드 디스크 교체와 같은 보안 조치를 행할 수 없게 됩니다.
맞아요, 그 건 잘 알려진 사실입니다. 하지만 이런 공격들은 꽤 드물지 않나요?
음, 위험 관리의 기본 원칙 중 하나를 상기시켜 드려야 할 것 같네요. 위험은 사건 비용과 확률의 함수입니다. 드물게 발생하는 공격도 충격이 크면 상대적으로 위험이 높아지게 마련이죠.
확률적인 부분은 세부적으로 살펴보면 일이 복잡해집니다. 고도로 타겟팅 된 사이버 공격을 생각해 보죠. 네, 보통의 사용자들이 일부 고급 APT 그룹의 조준선 안에 있을 확률은 거의 없을 겁니다. 하지만 당연히 우리 고객들 중에는 APT 그룹의 정기적 타겟이 되는 고객 또한 있습니다.
제가 말하고자 하는 것은 잠재적 피해자들의 유형에 따라 공격받을 가능성이 다르다는 것입니다. 그리고 APT 그룹의 경우, 이런 정교한 공격자들은 전에는 볼 수 없었던 새로운 사이버 무기를 활용할 가능성이 더 높을 거예요.
이런 공격 유형에는 어떤 것들이 있나요?
컴퓨터 펌웨어가 수정되면서 보안과 기능이 손상될 수도 있습니다. 방법에는 여러가지가 있어요.
가장 일반적인 첫 번째 옵션은 컴퓨터 벤더가 원격 진단 또는 서비스를 활성화하기 위해 일부 펌웨어를 수정한 경우입니다. 원칙적으로 서비스를 제공하는 제3자라 하더라도 수정을 하는데에는 아무 이상이 없습니다. 단, 1. 고객이 이런 취약성을 인지하고 2. 어떤 식으로든 잘 못 사용될 수 있는 취약점을 포함하지 않고 3. 기기 소유자가 수정을 완전히 비활성화할 수 있다면 말입니다.
다른 가능성은 공격자가 장치에 직접 접근할 때 수동으로 깜박이는 것입니다. 배송, 수리할 때 조직 내에 악의적 내부인 또는 침입자들이 유발할 수도 있죠.
세 번째 옵션은 펌웨어를 수정하려고 악성코드와 다양한 도구를 사용해 원격으로 공격하는 것입니다.
그렇다면, 그런 도구가 있는 건가요?
그럼요. 악명높은 해킹 팀이 해킹 툴을 이용해 기밀 문서를 대중에 유출했을 때 이미 펌웨어 수정 능력은 널리 알려졌다고 봐야 합니다. 또한 위키리크스 (WikiLeaks)는 도구 중 하나인 UEFI 루트킷을 대중에게 공개했고, 해킹 팀 문서에 있는 내용이 사실임을 증명했습니다. 여기에 더해 UEFI 루트킷 POC가 여러 컨퍼런스에서 발표되었습니다.
하지만, UEFI 루트킷은 자연 발생적으로 생긴 적이 없어서 실제 위협으로 느껴지지 않는데요...
글쎄요, 그 말은 더 이상 사실이 아닙니다. 우리는 UEFI 루트킷을 이용한 조직적 행위를 밝혀냈으며, 미국 워싱턴 레드몬드에서 열리는 블루햇 컨퍼런스에서 연구 결과를 발표했습니다. 이 내용은 WeLiveSecurity에서 확인하실 수 있습니다.
UEFI 스캐너에 대해서는 그런 루트킷이 자연 발생적으로 탐지되었다는 사실만으로도 메모리, 드라이브 뿐만 아니라 컴퓨터 펌웨어를 검사하는 기능이 반드시 필요한 것을 알 수 있습니다.
이 보호 계층이 작동하는 방식에 대해 알려 주시겠어요?
UEFI 스캐너 모듈에서 보고 기능이 활성화된 사용자를 통해서만 수천 건의 탐지 보고서를 받았습니다. 대부분 잠재적으로 안전하지 않은 애플리케이션입니다.
안전하지 않지만 잠재적이기만 하면 그 탐지가 대부분 허위 경보인 것 같아 보이네요...
음, 만약 당신이 잠재적으로 안전하지 않은 애플리케이션으로 탐지된 애플리케이션을 세심히 잘 살피고, 괜찮다고 밝혀낸다고 해서 이 탐지가 허위 경보였다고 말할 수는 없어요.
잠재적으로 안전하지 않은 애플리케이션이 무엇인지 이해하기 위해 신체 검사기기에 검사 대상자가 총을 가지고 있다고 가정해 봅시다. 그 사람이 보안 요원일 경우 검사기의 신호가 허위 경보라고 말할 건가요?
저는 이것이 '잠재적으로 안전하지 않은 애플리케이션'을 잘 보여 주는 예시라고 생각합니다. 이런 애플리케이션은 흔히 괜찮은 애플리케이션이지만 사용자의 PC나 회사 환경에서 사용자가 모르고 동의없이 실행하면 위험이 발생할 수 있습니다. 그런데 ESET 제품의 펌웨어 검사 기술이 중요한 보호막인 이유를 설명할 때 신체 검사기와의 유사점이 도움이 될 수 있습니다. 다시 한번 어떤 유명한 장소에 있는 신체검사기기를 떠올려 보세요. 이 검사기 알람이 매우 드물게 발생한다면 사람들이 총을 소지하고 들어오는지 확인하지 않아도 될까요?
요약하면, 우리는 펌웨어 검사 기술인 ESET UEFI 검사 모듈을 자랑스럽게 생각하며, 보안 솔루션의 중요한 부분이라고 생각합니다.
'ESET NEWS > ARTICLES' 카테고리의 다른 글
재택근무 보안 지침 : 위험, 위협 그리고 회사 정책 (0) | 2020.09.11 |
---|---|
ESET Enterprise Inspector로 기업 네트워크 보호 - 듀크 위협의 찾기 힘든 기술 탐지 (0) | 2020.08.27 |
익스플로잇 키트 (Exploit Kit)와 익스플로잇 차단 (Exploit Blocker)이란? (0) | 2020.08.13 |
DNS 보호를 위한 위협 인텔리전스 데이터 (0) | 2020.08.04 |
EDR (Endpoint Detection and Response = 엔드포인트 탐지 및 대응)솔루션은 무엇이며 중요한 이유 (0) | 2020.07.31 |