기업을 타겟으로 한 펌웨어 해킹

오늘 말씀드릴 주제는 펌웨어 공격에 관한 내용입니다. 사실 애플리케이션이나 운영체제 보안에 대한 부분은 잘 설명드릴 수 있어도 펌웨어 쪽은 잘 모르는 분야이기 때문에, 쉽게 설명드릴 수 있을지 모르겠지만 펌웨어라는 개념에 대해 말씀드리고자 가져와봤습니다. 자.. 그럼 시작해보죠.

​

먼저 펌웨어가 무엇인지에 대해 간단하게 알아보겠습니다. 보통 저희가 처음 컴퓨터를 배울 때는 하드웨어(Hardware)와 소프트웨어(Software)로 나눠서 배우셨을 겁니다. 하드웨어는 CPU, 메모리, 키보드, 모니터 등.. 눈에 보이는 것으로 배웠을테고, 소프트웨어는 물리적으로 존재하지 않고 하드웨어에서 저장되면서 실행되는 프로그램들로 배웠었죠. 덧붙여서 하드웨어와 소프트웨어 사이에 인터페이스를 운영체제라고 배웠을 겁니다.

​

그럼 펌웨어는 무엇인가 하면 소프트웨어와 하드웨어의 특성을 모두 가지고 있는 놈이라 보면 됩니다. '아니 소프트웨어면 소프트웨어지, 하드웨어이면서 소프트웨어의 특성을 가지고 있는 놈은 뭐람..' 이렇게 생각하실 수 있겠는데요. 자세한 설명에 앞서서 펌웨어랑 가장 관련이 있는 임베디드(Embedded, 내장형) 시스템에 대해서 말씀드리도록 하겠습니다.

 

우리가 흔히 쓰는 개인 컴퓨터(Personal Computer, PC)는 다양한 목적으로 쓰이죠. 다목적 또는 범용 시스템이라고 볼 수 있습니다. 그에 반해 임베디드는 PC처럼 다양한 목적이 아닌 특수한 목적(=한 가지 일)을 가진 시스템이라고 보시면 됩니다. 예를 들어서 일반적인 가전에 해당하는 세탁기, 에어컨부터 시작해서 프린터, 심지어는 엘레베이터에 들어가는 모든 것들이 임베디드 시스템이라고 생각하시면 될 것 같습니다.

​

그래서 임베디드와 펌웨어의 관계를 정리하면, 한 가지 일을 하는 임베디드 시스템을 구현할 소프트웨어가 펌웨어다..라고 정리하시면 무리가 없을 듯 한데요. 여기서 우리가 가장 쉽게 볼 수 있는게 컴퓨터를 키면 볼 수 있는 BIOS(Basic Input, Output System)죠. 그럼 요 놈의 BIOS는 우리가 사용하는 PC를 키면 나오는 놈인데 그럼 이게 펌웨어면 다목적 시스템에서 사용되는거 아냐?라고 반문하실 수 있겠지만, CPU라는 하나의 하드웨어 관점에서 보면 이해하실 수 있을텐데요.

 

이 CPU에 있는 BIOS가 하는 일은 하드디스크에서 MBR에 저장된 부팅 정보를 읽어오는 부트스트랩(BootStrap) 수행이라는 관점으로 보면, 충분히 BIOS가 한 가지의 목적을 가지고 시스템을 실행시키는 펌웨어로 보이지 않을까요? 지금 설명드리는 MBR이니 부트스트랩이니 어려운 말들이 이해가 안가시면, 다른거 다 제쳐놓고 그냥 'BIOS가 대표적인 펌웨어인데 CPU에 있는 BIOS가 운영체제를 실행시켜준다'정도로만 생각하시고 넘어가면 될 것 같습니다. 이는 기회가 된다면 추후에 또 다뤄보도록 하죠.

​

그래서 펌웨어 개념 하나 설명한다고 임베디드 시스템이니 BIOS이 여러 개념을 말씀드렸지만, 내용이 어려우시면 이것만 생각하시면 됩니다. 펌웨어는 하드웨어와 소프트웨어의 특성을 모두 가지고 있는데, 하드웨어 내부에 저장소를 두고 하드웨어를 제어할 수 있는 소프트웨어를 넣어두었고 보통 한 가지 일을 담당한다. 사실 저 같은 아마추어가 설명한 내용을 전문가들이 보시면 정말 많은 지적을 하실 수 있겠지만.. 그래도 어디 가서 펌웨어가 뭐야?라고 할 때 대답하기 위해선 이 정도만 아셔도 괜찮을 거라고 생각합니다.

​

그래서 위의 개념을 바탕으로 인용한 기사의 내용을 설명드려보죠. 이전에 해킹이나 침해사고가 일어나면 문제가 되었던 부분들은 보통 다 애플리케이션이나 운영체제의 취약점이 원인이였습니다. 최근에는 소프트웨어 개발 단계부터 해킹을 해서 악성코드를 배포하는 공급망 공격(Supply Chain Attack)도 자주 나오는데 이건 나중에 언급하도록 하겠습니다. 그래서 애플리케이션이나 운영체제까지는 기업들에서 어떻게든 보안을 강화시켜놨는데 펌웨어 쪽은 여러모로 미흡한 것이 사실입니다.

 

원래 보안이라는게 댐에서 구멍이 나는게 해킹이라고 치면.. 댐에 구멍이 나서 구멍난 쪽을 막고 보수 공사했더니 다른 쪽에서 뚫리고 또 이걸 막고 반복하는 과정이죠.그래서 해커들이 여태까지 댐의 운영체제라는 위치에 구멍을 내고 이 구멍을 넓히려다 안되겠다 싶었던지, 다른 구멍을 내기 위해 위치를 옮긴건데 그 위치가 펌웨어 쪽이다.. 라고 생각하시면 될 것 같습니다.

 

이미 해커들 사이에서 펌웨어 공격에 대한 인기가 높아졌는데, 이게 왜 인기가 있지라고 하니.. 보통 펌웨어에는 크리덴셜(기밀 정보)와 복호화 키 같은 민감한 정보들이 저장되어 있기 때문인데요. 일례로 '하드웨어에서 이 펌웨어에 복호화 키를 두고 데이터 무결성 검사를 위해 해시값 비교를 한다면.. 그리고 무결성 검사를 통과하지 못하면 아예 시스템이 실행되지 않도록 했는데, 이 복호화 키를 해킹해서 데이터를 조작할 수 있다면..?' 뭐 이런 시나리오가 가능한 겁니다.

 

기업들을 겨냥한 펌웨어 공격, 갈수록 인기가 높아지고 있다

 

아직까지는 우리가 흔히 아는 백신과 같은 탐지 솔루션들이 펌웨어에는 전혀 접근할 수 없기에, 이런 공격을 막아내는 건 기업들에게 까다로운 일인건 맞습니다. 기업들이 펌웨어 보안에 대해서 전체적인 프로세스를 전혀 갖추고 있지 않고, 대부분이 취약점 스캔이나 위협 탐지에 많은 시간을 할애하고 있기 때문에, 펌웨어 공격에 당했을 때 더 큰 손해를 입을 수 있음에도 불구하고.. 시장에서 펌웨어 보안이라는 필요가 생겨나고 기업들이 투자를 하기 전까진 대처를 하기 힘들 것이다..라는게 위의 기사의 요지 입니다. 그러면 오늘 말씀드릴 내용은 여기까지구요. 이만 줄이도록 하겠습니다. 감사합니다.