4년간 숨었던 PC 보안 취약점, 게임사가 발견

최근 4년동안 출시된 거의 모든 데스크톱 PC용 메인보드 펌웨어에 심각한 보안 취약점이 숨어 있었다는 사실이 최근 드러났다.

PC가 보안 위협에 무방비로 노출된 부팅 초기 단계는 윈도 등 PC 운영체제 자체 보안 기능은 물론 보안 소프트웨어도 전혀 작동하지 않기 때문에 공격을 미리 탐지하거나 차단할 수 없다.

이번에 발견된 보안 취약점은 PC 부팅 초기 단계에서 메모리 접근을 통제하는 방어 장치가 제대로 켜지지 않는다는 것이다. 이 경우 메모리를 공격하도록 설계된 USB 기기 등이 아무런 제한 없이 PC 메모리의 거의 모든 영역에 접근할 수 있다.

특이한 점은 이 문제를 발견한 곳이 보안업체가 아니라는 것이다. ‘리그오브레전드’, ‘발로란트’ 등 게임 개발사로 잘 알려진 라이엇게임즈는 메모리 조작을 악용하는 핵·치트 프로그램을 방어하는 과정에서 이 문제를 찾아냈다.

현대 메인보드, IOMMU로 메모리 접근 통제

모든 PC용 메인보드는 그래픽카드나 PCI 익스프레스 확장 카드가 바로 메모리에 접근해 필요한 내용을 읽고 쓸 수 있는 직접메모리접근(DMA) 기능을 내장했다. 프로세서를 거칠 때보다 지연 시간을 줄이고 처리 속도는 높일 수 있기 때문이다.

그러나 DMA 기능에는 한 가지 문제도 숨어있다. 필요한 기능과 관계 없는 다른 메모리 영역을 엿보거나 고쳐 쓸 수 있기 때문이다. 해킹이나 키로깅 등 악성코드도 메모리 영역을 넘보는 문제에서 발생한다.

메인보드는 이를 막기 위해 주요 기기와 메모리 사이에 입출력메모리관리장치(IOMMU)를 둔다. DMA 기능의 장점인 지연 시간 감소는 얻으면서 접근할 수 있는 메모리 영역을 통제해 악용 여지를 막는다.

PC의 전원이 켜지면 메인보드 내 플래시메모리에 저장된 UEFI 펌웨어가 작동되며 IOMMU를 먼저 활성화한다. IOMMU가 제대로 활성화되지 않으면 메모리 공격을 막을 수 있는 방법이 없다.

꼭 필요한 보안 절차 거치지 않는 구현상의 문제 발견

DMA 기능은 메모리에 직접 접근할 수 있다는 특성 때문에 게임 능력치를 조작하고 밸런스를 깨뜨리는 핵이나 치트 프로그램에도 종종 악용된다.

닉 피터슨과 모하메드 알샤리피 등 라이엇게임즈의 두 보안 전문가는 DMA 관련 보안조치를 조사하던 중 일부 메인보드의 펌웨어 구현에 문제가 있다는 사실을 발견했다.

원래대로라면 IOMMU가 작동한 뒤에야 DMA 기능이 활성화돼야 한다. 그러나 IOMMU가 제대로 작동하지 않아도 DMA가 작동하는 문제가 있었다.

PC가 맨 처음 켜진 상태에서는 연결된 모든 기기가 아무런 제약 없이 메모리에 접근할 수 있는 가장 취약한 상황에 놓인다.

전원이 켜지면 자동으로 작동하도록 설계된 USB 저장장치에 악성코드를 심어 운영체제나 보안 소프트웨어의 감시가 미치지 못하는 사각지대에서 키보드 입력 내용이나 접속한 웹사이트를 빼돌리는 것도 충분히 가능하다.

최근 4년간 출시된 PC용 메인보드에 영향

이번에 발견된 취약점은 최근 4년간 출시된 거의 모든 인텔·AMD 프로세서용 메인보드에 영향을 미친다.

인텔 플랫폼은 2021년 하반기 12세대 코어 프로세서(엘더레이크)와 함께 등장한 인텔 600 시리즈를 시작으로 지난 해 하반기 코어 울트라 시리즈2(애로우레이크)를 지원하는 인텔 800 시리즈 칩셋 메인보드까지 대상이다.

AMD 플랫폼은 2022년 하반기 등장한 600 시리즈, 지난 해 하반기 출시된 800 시리즈, 2023년 하반기 출시된 라이젠 스레드리퍼용 TRX50 시리즈 메인보드 등이 해당된다.

주요 메인보드 제조사, 취약점 패치 펌웨어 공개

이 문제를 발견한 라이엇게임즈 관계자들은 주요 메인보드 제조사가 위치한 대만의 보안 조직인 컴퓨터 긴급비상 대응팀(CERT)에 이를 알리고 대응책을 마련하도록 요청했다.

라이엇게임즈는 5대5 전술 슈팅 게임인 '발로란트'를 대상으로 한 치트 프로그램이 이번 취약점을 악용할 수 있다고 보고, 향후 게임 실행 시 적절한 조치를 취하지 않은 PC에서는 게임 실행을 막을 예정이다.

관련기사