보안 구멍 인텔CPU 펌웨어 안 쓰는 PC 출시

델 등 일부 OEM 제조사, ME 비활성화 옵션 제공

컴퓨팅입력 :2017/12/05 10:52    수정: 2017/12/05 10:52

인텔 중앙처리장치(CPU) 펌웨어에서 심각한 보안취약점이 발견되자, 일부 PC 제조사들이 그 기술을 쓰지 않는 제품을 내놓기로 했다.

앞서 보안전문업체 포지티브테크놀로지에서 ME 펌웨어의 보안취약점을 발견해 인텔에 알렸고, 인텔은 조사를 통해 ME에만 4건의 취약점이 존재한다고 인정했다. 인텔은 다른 CPU 펌웨어인 서버플랫폼서비스(SPS)와 신뢰실행엔진(TXE)까지 합해 8건의 취약점을 확인했다. [☞관련기사]

ME는 인텔 CPU를 탑재한 PC와 서버 컴퓨터를 원격 관리할 수 있게 해주는 펌웨어다. ME는 미닉스(Minix)라는 오픈소스 운영체제(OS) 개조 소프트웨어로 구현됐지만, ME의 소스코드와 구성요소는 거의 밝혀지지 않았다. 게다가 일반 사용자는 문제가 생겨도, 사용을 원치 않아도 ME 펌웨어 동작을 끄거나 제거할 수 없다.

컴퓨터 프로세서, CPU [사진=Pixabay]

이런 ME 펌웨어에서 취약점이 발견됐다는 건 어떤 의미일까. 이 취약점을 공격하면 해당 PC와 서버는 전원이 꺼진 상태에서조차 피해를 당할 수 있다. OS 수준에서 ME 동작은 안 보이기 때문에 그마저 알아차릴 수 없다. 외신들은 ME의 보안 구멍이 '수백만대 컴퓨터'에 영향을 줄 것으로 추산했다.

■문제는 인텔, 사후책임은 OEM

물론 인텔은 취약점이 발견된 CPU 목록과 문제가 해결된 펌웨어 버전 업데이트를 마련했다. ME 펌웨어 영향을 받는 CPU만 꼽아 봐도 6~8세대 코어 프로세서 제품군, 6~7세대 X시리즈 코어 프로세서 제품군, 제온E3-1200 v5 및 v6 제품군, 제온 스케일러블 제품군, 제온W 제품군을 포함한다.

8가지 취약점을 포함한 인텔 ME, SPS, TXE 펌웨어를 탑재한 인텔 CPU 제품군 목록 표.

하지만 인텔은 대다수 최종 사용자를 위한 소프트웨어 패치는 서버 및 PC OEM 제조사 몫으로 남겨 뒀다. 물론 일부 OEM 제조사는 인텔이 제공한 펌웨어 업데이트를 사용해 PC와 서버 제품 사용자를 위한 소프트웨어 패치 개발 및 배포에 나섰다. 그러나 제조사 지원을 받지 못하는 제품 사용자에겐 별 대책이 없다.

크고 작은 PC제조사가 ME 펌웨어 비활성화 제품을 공급하기로 한 배경은 여기에 있다. 간단히 말해 최근 ME 펌웨어 보안취약점이 확인돼 인텔과 제조사의 대응이 이어졌지만, 비슷한 일이 얼마든지 재발할 수 있다. OEM 제조사에겐 추가 보안문제 대응 부담이 크기 때문에 잠재적으로 취약한 ME를 끄는 게 안전한 대안이 될 수 있다.

■인텔PC OEM 제조사, ME 비활성화 펌웨어 제공 시작

미국 지디넷은 4일(현지시간) 컴퓨터 제조사 델(Dell), 퓨어리즘(Purism), 시스템76(system76), 3곳이 인텔 CPU의 보안에 매우 취약한 '매니지먼트엔진(ME)'을 비활성화(disabled)한 컴퓨터를 공급하기로 결정했다고 보도했다. [☞원문보기]

보도에 따르면 리눅스PC 제조사 시스템76은 인텔 6~8세대 코어 프로세서를 탑재한 우분투 기반 노트북 제품에서 ME를 비활성화하는 펌웨어 업데이트를 선보였다. [☞원문보기]

퓨어리즘도 코어부트(coreboot) 펌웨어 기반 노트북 제품을 위한 ME 비활성화하는 펌웨어를 선보였다.

델은 래티튜드14 러기드 노트북, 래티튜드15 E5570 노트북, 래티튜드12 러기드 태블릿, 3종의 기기를 위해 ME 펌웨어 동작을 해제하는 패치를 만들고 있다. 델 홈페이지에선 인텔 v프로를 지원하면서 ME를 끈 제품 구매도 가능하다.

■인텔 "ME는 주류 제품 기능에 필요…비활성화 권장 안 해"

관련기사

인텔은 ME 비활성화를 권장하지 않는다. 회사측은 "ME는 보안부팅, 이중요소인증, 시스템복구, 엔터프라이즈 디바이스 관리같은 기능을 포함한 사용자 지원에 중요한 기능을 제공한다"면서 "(ME 비활성화라는) 구성을 위해서는 대다수 메인스트림 제품에 요구되는 기능을 제거해야 하기때문에, 인텔은 그런 구성을 지원하지 않는다"고 밝혔다.

이상적인 해법은 인텔이 그간 폐쇄적으로 개발, 관리했던 ME 펌웨어 구현을 오픈소스로 개방하는 것이다. 이를 통해 PC와 서버 컴퓨터 사용자가 자신들의 하드웨어에서 뭐가 돌아가는지 알 수 있게 하고, 문제가 생겼을 때 제조사뿐아니라 외부 전문가들도 상황을 파악하고 대응수단 마련에 협력케 할 수 있다.