PC 업계 해킹 후폭풍..."펌웨어 변조 막는 인증서도 유출"

MSI와 웨스턴디지털 등 PC 관련 주요사의 해킹 이후 후폭풍이 거세다. 악성코드를 막기 위한 보안 수단인 '인텔 부트 가드'를 회피할 수 있는 디지털 인증서가 유출되어 PC 업계 전반에 영향을 끼칠 것이라는 우려가 나왔다.

MSI는 지난 4월 초 1.5TB(테라바이트) 분량의 데이터를 도난 당한 뒤 몸값 요구를 거절했고 4월 말부터 제품별 각종 인증서와 바이오스 등을 담은 데이터가 다크 웹에 유통되기 시작했다.

3월 말 해킹 피해를 입은 웨스턴디지털은 자체 생산 NAS(네트워크 저장장치)와 외부 인터넷을 연결하는 마이클라우드 서비스를 약 2주간 중단했다 재개했다. 그러나 추가 조사 결과 자체 운영 온라인 스토어를 이용한 소비자의 고객 정보가 유출된 것으로 드러났다.

■ MSI, 4월 초순 1.5TB 데이터 도난...몸값 요구 거절한 듯

PC 메인보드와 그래픽카드, 메인보드와 노트북, 모니터 등을 생산하는 대만 PC 제조사 MSI(마이크로스타 인터내셔널)는 지난 4월 초 데이터를 탈취해 몸값을 노리는 해커 집단 '머니 메시지'의 공격을 받았다.

머니 메시지는 MSI 본사 네트워크에 침입해 전사적자원관리(ERP) 데이터베이스, 소프트웨어 소스코드, 문서 파일, 암호화 키와 각종 바이오스(BIOS), 펌웨어 등 1.5TB 상당 데이터를 훔치고 몸값으로 400만 달러(약 52억 8천500만원)를 요구했다.

그러나 머니 메시지는 지난 주말부터 MSI에서 빼돌린 각종 자료 등을 다크 웹에 유통하기 시작했다. MSI가 머니 메시지의 몸값 요구에 응하지 않자 보복조치에 나선 것으로 보인다.

다크 웹을 통해 유통된 자료 중 가장 문제가 되는 것은 바로 '인텔 OEM 개인 키'다.

■ 부팅 전 펌웨어 변조 확인하는 'OEM 개인 키'등 유출

인텔 프로세서는 부팅시 바이오스(BIOS)나 펌웨어의 변조 여부를 확인하는 장치인 '부트 가드'를 갖추고 있다. 부트 가드는 각 PC 제조사가 생성한 디지털 인증서인 '인텔 OEM 개인 키'로 서명된 바이오스나 펌웨어만 허용해 해킹 가능성을 줄인다.

머니 메시지가 MSI 해킹 후 유출한 데이터는 펌웨어 서명에 필요한 인증서 57건, 부트 가드용 인증서 166건 등이며 스텔스, 크리에이터, 프레스티지, 레이더 등 노트북 제품에 해당된다.

이들 인증서와 함께 변조된 펌웨어를 만들어 유통시키면 운영체제나 보안 소프트웨어가 감지할 수 없는 상태에서 입력된 키나 저장된 파일을 다른 서버로 빼돌리는 것도 가능하다.

■ MSI "공식 웹사이트에서만 펌웨어 등 다운로드하라"

MSI 역시 이런 사태를 우려해 지난 4월 초순 "공식 웹사이트에서만 바이오스나 펌웨어를 다운로드 하라"고 강조한 바 있다.

펌웨어 보안 관련 업체인 바이날리(Binarly)는 "MSI에서 유출된 인증서는 인텔과 레노버, 슈퍼마이크로 등 다른 기기 제조사에도 영향을 미칠 것"이라고 우려했다.

단 인텔은 "이번 사안에 대해 인지하고 있다. 단 이번에 유출된 인증서 등은 인텔이 아닌 MSI가 생성한 것"이라고 밝혔다. 이미 유출된 인증서를 무효화하는 것은 인텔이 아닌 MSI 책임이다.

■ 웨스턴디지털 "온라인 스토어 DB 일부 유출"

HDD(하드디스크 드라이브)·SSD 등 저장장치(스토리지) 제조사인 웨스턴디지털은 지난 3월 말 허가받지 않은 제3자가 사내 시스템에 침입하는 피해를 겪었다.

웨스턴디지털은 이 사건 여파로 지난 4월 13까지 약 2주간 마이클라우드, 마이클라우드 홈, 마이클라우드 홈 듀오 등 기기에 외부에서 접속할 수 있는 서비스를 일시 중단했다.

관련기사