"PC 부팅시 로고 표시 기능에 보안 취약점 숨었다"

보안업체 바이널리 '블랙햇 유럽 2023'서 발표 "주요 PC 제조사 제품에 영향"

홈&모바일입력 :2023/12/11 15:42

PC 부팅시 제조사 로고를 표시하는 펌웨어 내 코드에 숨은 보안 취약점이 드러났다. 보안 소프트웨어의 감시를 벗어나 원래 표시해야 하는 로고 그림파일 이외에 다른 파일을 PC에 불러올 수 있다는 사실이 밝혀졌다.

보안업체 바이널리는 지난 주 영국 런던에서 진행된 보안 컨퍼런스 '블랙햇 유럽 2023'에 이 문제를 공개하고 '로고페일'(LogoFAIL, CVE-2023-5058)이라는 이름을 붙였다.

PC 부팅시 로고를 표시하는 펌웨어 기능에서 보안 취약점 '로고페일'이 발견됐다. (사진=바이널리)

바이널리는 "이 취약점은 시큐어부트, 인텔 부트가드 등을 우회할 수 있다"고 설명했다.

해당 문제는 인사이드(Insyde), AMI, 피닉스 테크놀로지스 등 업체에서 펌웨어를 공급받아 PC에 탑재한 에이서, 인텔, 레노버 등 전세계 주요 제조사 PC에 모두 영향을 미친다. 이들 업체는 해당 문제를 수정한 펌웨어를 소비자에 배포할 예정이다.

■ 펌웨어 내 그림 파일 표시 기능에 '맹점'

PC의 전원을 켜면 펌웨어가 프로세서나 메모리 등 자체 진단을 마친 후 '드라이버 실행 환경'(DXE)을 이용해 윈도나 리눅스, 크롬OS 등 운영체제 부팅 과정에 진입한다.

주요 제조사가 만든 완제PC는 운영체제 로딩 직전 JPEG, PNG, GIF로 저장된 제조사 로고를 표시하는 기능을 갖췄다. 조립PC를 구성하는 메인보드 중 일부 제조사 제품도 부팅시 원하는 사진이나 그림파일을 표시할 수 있는 소프트웨어를 제공한다.

주요 PC 제조사의 부팅 시 로고 표시 기능 예시. (자료=바이널리)

이 로고는 하드디스크 드라이브나 SSD 내부의 영역인 'EFI 시스템 파티션'에 저장된다. 문제는 이 영역에 저장된 파일은 시큐어부트, 인텔 부트가드 등 펌웨어 위·변조를 감시하는 각종 기능의 사각지대에 있다는 점이다.

따라서 펌웨어 저장공간 안에 담긴 파일을 읽어오는 과정에서 아무런 체크를 하지 않으며, 그림 파일을 가장한 악성코드를 숨겨도 이를 알아챌 수 없다.

■ 바이널리 "시판 PC에서 '로고페일' 작동 성공"

바이널리는 2021년 출시된 레노버 업무용 PC '씽크센터 M70s 2세대'를 이용해 로고페일 작동 과정을 시연한 영상도 함께 공개했다.

바이널리가 '로고페일' 시연에 이용한 레노버 씽크센터 M70s 2세대. (사진=바이널리)

해당 PC는 인텔 11세대 코어 프로세서(타이거레이크)와 올 6월에 공개된 바이오스를 탑재했고 윈도11이 기본 설치됐다.

윈도11 부팅 후 각종 명령어를 입력할 수 있는 '파워셸'에서 파이썬으로 만든 코드를 실행하자 PC가 자동으로 재부팅됐다. 그러나 제조사(레노버) 로고가 아닌 엉뚱한 로고가 표시됐고 바탕화면에 문서 파일 하나가 자동으로 생성됐다.

바이널리의 '로고페일' 검증용 코드 실행 결과. 제조사 로고 대신 엉뚱한 로고가 표시됐다. (사진=바이널리)

바이널리는 "'로고페일'은 프로세서나 운영체제, 보안 소프트웨어 감시망을 모두 벗어난다. 또 운영체제를 재설치해도 EFI 시스템 파티션 파일은 그대로 남아 있어 악성코드 제거도 어렵다"고 설명했다.

■ x86·Arm PC 모두 해당...주요 제조사 PC에 영향

로고페일은 인텔·AMD 등 x86 프로세서 뿐만 아니라 퀄컴(스냅드래곤), 미디어텍(콤파니오) 등 Arm 기반 프로세서 PC에도 모두 영향을 주는 취약점이다.

바이널리는 "AMI, 인사이드, 피닉스 테크놀로지스 등 PC용 펌웨어 공급사의 로고 표시 코드에 문제점이 있으며 이를 탑재한 완제PC에도 로고페일이 숨어있다"고 설명했다.

인텔이 올 상반기까지 직접 생산해 공급했던 미니 PC 중 일부 제품도 로고페일 영향을 받았다. 사진은 2020년 출시된 고스트 캐년. (사진=인텔)

6일 현재 영향을 받은 PC는 에이서(139종), 인텔(51종), 레노버(241종) 등 총 430종이며 이는 앞으로 더 늘어날 수 있다. 주로 2021년까지 출시된 제품들이며 이중 일부 제품은 국내에도 공급됐다.

바이널리는 "델테크놀로지스 등 제조사는 펌웨어 변조를 막아 로고페일을 이용한 공격이 불가능하다. 인텔 프로세서를 탑재한 맥 컴퓨터 역시 부팅시 로고를 표시하지만 이는 그림 파일이 아닌 코드로 구성되어 이번 문제점과 무관하다"고 밝혔다.

■ 레노버 등 주요 제조사, 취약점 개선 펌웨어 공급 예정

보안 취약점이 발견되면 일정 기간 공개를 미루는 것이 관례다. 관련된 소프트웨어와 하드웨어 제조사가 이에 대처할 수 있는 업데이트나 패치 등을 마련해 추가 피해를 막기 위해서다.

그러나 피닉스 테크놀로지스는 바이널리 정식 발표일(12/7) 전인 지난 11월 28일 이를 먼저 공개했다 논란이 일자 이를 비공개로 돌리기도 했다.

로고페일 영향을 받은 씽크패드 X1 카본 11세대. 내년 2월 보안 업데이트가 공급될 예정이다. (사진=레노버)

AMI, 인사이드, 피닉스 테크놀로지스 등 주요 펌웨어 제조사는 보안 문제를 해결한 새 펌웨어를 주요 PC 제조사에 공급할 예정이다. 주요 PC 제조사도 PC용 새 펌웨어를 공급할 예정이다.

관련기사

가장 많은 제품이 영향을 받은 레노버는 데스크톱PC, 노트북, 워크스테이션용 펌웨어를 늦어도 내년 2월까지 제공할 예정이다. 인텔은 "AMI 펌웨어를 탑재한 미니PC 'NUC' 일부 제품에서 권한 상승 문제가 발견됐다"고 밝히고 "이르면 올해 말, 늦어도 내년 1분기 초에 업데이트를 제공할 것"이라고 설명했다.