인텔 중앙처리장치(CPU) 원격제어기능 액티브매니지먼트테크놀로지(AMT)에서 공격자에게 컴퓨터 로그인을 건너뛰고 무단 정보 유출과 시스템 제어를 허용해버리는 보안결함이 발견됐다.
이번 인텔 AMT 보안결함은 올해 초 공개된, 1995년 이후 출시된 상당수 인텔CPU 하드웨어에서 발견된 보안결함인 스펙터(Spectre) 및 멜트다운(Meltdown)과는 무관하다.
미국 지디넷은 12일(현지시간) 핀란드 보안소프트웨어업체 F시큐어의 연구원이 밝힌 정보를 바탕으로 해커가 주인이 자리를 비운 몇 분만에 노트북의 제어권을 빼앗을 수 있게 만드는 보안구멍이 AMT에서 발견됐다고 보도했다. [☞원문보기]
인텔 AMT는 관리자가 컴퓨터의 운영체제(OS)가 동작하지 않는 상황에서 원격으로 컴퓨터에 접근해 제어할 수 있게 만들어주는 기능이다. 이 기능을 지원하는 컴퓨터는 전원과 네트워크만 제공되면 원격관리를 통해 조치를 받을 수 있다. 인텔이 2000년 중반이후 소개한 v프로(vPro)를 활성화한 인텔 코어프로세서 또는 일부 서버용 CPU 제온 프로세서에 탑재돼 있다. 모든 인텔CPU가 v프로를 지원하거나 AMT를 사용하는 건 아니다.
![](https://image.zdnet.co.kr/2018/01/14/imc_QGXqB4cltR85zjqE.jpg)
F시큐어가 발견한 인텔 AMT 보안취약점은 어떤 영향을 줄까. 해당 CPU기반 컴퓨터가 다른 어떤 보안 결함이 없는 상태에서 몇 분만에 바이오스의 패스워드, 신뢰플랫폼모듈(TPM) 개인인증번호(PIN), 비트로커 및 로그인 계정 확인절차를 뚫고 지나갈 수 있게 만든다.
F시큐어 수석 보안컨설턴트 해리 신토넨은 "이 공격은 거짓말처럼 간단히 동작하면서, 잠재적으로 믿기 어려울만큼 파괴적"이라며 "광범위한 보안조치를 취한 상황이더라도 이 취약점은 로컬 영역에서 공격자가 개인의 업무용 노트북을 완전히 제어할 수 있게 만든다"고 말했다.
보도에 따르면 AMT 취약점을 악용한 공격은 최초 실행할 때 시스템에 물리적으로 접근해야만 가능하지만, 이를 실행하는 데 걸리는 시간이 '몇 분' 수준으로 짧기 때문에, 사용자가 잠시 또는 한동안 방치한 노트북같은 컴퓨터를 노리면 쉽게 성공할 수 있다.
바이오스 패스워드는 일반적으로 허가받지 않은 사용자가 기기를 구동시키거나 로레벨 구성을 변경하지 못하게 막는데, 이게 AMT 바이오스 확장기능을 통해 접근하는 시도를 막지는 못한다.
![](https://image.zdnet.co.kr/2018/01/14/imc_va7YVZ2wWdvNnbzp.jpg)
따라서 이를 이용하는 공격자는 시스템의 기본 패스워드가 변경되지 않았을 경우 AMT를 재설정하고 원격으로 취약점을 악용할 수 있게 된다. 이후 공격자는 기본 패스워드를 바꾸고, 원격접근을 활성화하고, AMT의 옵트인 사용자 설정을 '없음(none)'으로 지정할 수 있다.
이렇게 하면 해당 기기 사용자가 알아차리거나 그의 입력을 요구하는 과정 없이 원격으로 접근할 수 있게 된다. 다만 이론적으로는 외부에서 이 기기로 공격자가 구축한 클라이언트 초기화 원격접근(CIRA) 서버를 통해 들어가는 로컬네트워크를 감시할 수 있다.
컴퓨터에 물리적으로 접근해야 한다는 제약은 피싱(phising) 이메일을 보내서 누르도록 유도하는 원격 공격보다 성공하기 까다로운 제약이다. 하지만 특정 표적을 해킹하려는 숙련된 공격자가 잠시 원하는 기기를 다룰 시간을 얻는 시나리오를 조율하는 건 불가능하지 않다.
신토넨은 "기본적으로 공격자 한 명이 (표적 기기를 가진 인물의) 주의를 분산시미고 다른 사람은 그의 노트북에 간단히 접근할 수 있다"며 "이 공격에 많은 시간이 걸리지 않아, 1분도 채 안 되는 시간에 전체 작업이 완료될 수 있다"고 설명했다.
![](https://image.zdnet.co.kr/2018/01/14/imc_5gdXKH7YQIb9e9Co.jpg)
F시큐어 측은 이런 유형의 공격에 당하지 않으려면 AMT를 위해 강력한 패스워드를 사용하도록 요구하는 시스템프로비저닝을 수행하고 만일 어떤 패스워드든 알지 못하는 값으로 설정돼 있다면 이런 유형의 공격을 의심해야 한다고 조언했다.
F시큐어는 또 일반 사용자들에게 보안상 안전하지 않은 장소에서 절대로 자신의 노트북을 감시하지 않은 채 방치하지 말라고 덧붙였다. 그리고 AMT 관련 패스워드를 기본값으로 놔둔 채 제품을 출시해 공격을 허용하도록 만든 제조사들에게 이런 문제를 제보했다.
관련기사
- 인텔, CPU보안패치 성능저하 예상했다2018.01.14
- "인텔, 선 없는 PC 시대 앞당긴다"2018.01.14
- 카세야, '죽음의 블루스크린'도 원격관리OK2018.01.14
- 시트릭스, 젠클라이언트2 출시…인텔 코어 vPro 지원2018.01.14
인텔 측은 "인텔 매니지먼트엔진 바이오스 확장(MEBx)을 보호하도록 시스템을 구성하지 않은 일부 제조사에게 해당 사실로 주의를 환기시켜 준 보안연구 커뮤니티에 감사를 표한다"고 밝혔다.
이어 "우리는 2015년에 관련된 최선의 구성 가이드를 발간해 2017년 11월에 개정했으며, OEM이 그들 시스템 보안 수준을 최대로 구성할 것을 촉구한다"면서 "최상의 구성에는 최소한도 접근권한, 펌웨어 및 보안 소프트웨어와 운영체제 최신으로 유지 등이 포함된다"고 덧붙였다.
![](https://image.zdnet.co.kr/2018/01/14/imc_rmO4YfemGeo583ix.jpg)