2022-08-13 13:15 (토)
해커, 인텔AMT 신규 취약점 이용해 랩탑 제어권 획득 가능
상태바
해커, 인텔AMT 신규 취약점 이용해 랩탑 제어권 획득 가능
  • 페소아 기자
  • 승인 2018.01.15 14:56
이 기사를 공유합니다

이 취약점은 최근 발견된 Meltdown, Spectre 보안결함과는 관련 없어

hacker-2300772_640.jpg
인텔의 AMT(Active Management Technology) 원격 액세스 모니터링 및 유지관리 플랫폼의 보안 취약점으로 인해 공격자가 로그인을 우회해 랩탑에 백도어를 설치, 원격 액세스 및 시스템 동작을 가능하게 할 수 있다는 보안기업 연구결과가 나왔다.

인텔 AMT는 인텔 vPro 지원프로세스가 장착된 컴퓨터는 물론 일부 인텔 Xeon 프로세서 기반 시스템에서도 일반적으로 사용된다. F-Secure의 수석 보안 컨설턴트인 해리 신토넷(Harry Sintonen)는 이 취약점을 이용해 해커는 BIOS 암호, TPM 핀, BitLocker 및 로그인 자격증명을 무시할 수 있다고 설명했다.

그는 이 취약점에 대해 공격은 믿을 수 없을 정도로 간단하지만 파괴적인 잠재력을 지니고 있고, 실제로 보안 대책을 방대하게 설정했음에도 불구하고 개인 업무용 랩탑을 완벽하게 장악할 수 있었다고 설명했다.

이 취약점은 최근 발견된 Meltdown, Spectre 보안결함과는 관련이 없다.

AMT 공격을 위해서는 장비에 물리적으로 접근해야하지만, 수행가능 속도로 인해 랩탑을 켜두고 잠시 자리를 비우게 되면 쉽게 공격이 가능하다. 물리적으로 접근해야하기 때문에 피싱메일같은 원격 공격보다 공격이 어렵지만, 숙련된 공격자가 잠깐만 장치를 사용할 수 있는 시간을 만드는 시나리오와 함께라면 특정 타겟에 대한 공격이 불가능한 것은 아니다.

신토넨은 "기본적으로 한 명의 공격자가 혼란을 주고, 다른 한 명의 공격자가 랩톱에 접근하는 방법을 사용할 수 있다. 이 공격에는 많은 시간이 필요하지도 않다. 전체 작업이 완료되는 시간까지 1분이 채 걸리지 않는다"고 설명한다.

BIOS 암호를 설정하면 일반적으로 권한이 없는 사용자가 장치를 부팅하거나 낮은 수준의 변경을 수행하는 것을 방지하지만, AMT BIOS 확장에 대한 액세스를 차단하지 않으므로 기본 암호가 없는 경우 공격자가 AMT를 재구성하고 원격 공격을 가능하게 한다. 거기에서 공격자는 기본 암호를 변경하고 원격 액세스를 활성화하며 AMT 사용자 opt-in을 ‘없음’으로 설정해 사용자에 대한 지식이나 특별한 입력없이 원격 접속을 가능하게 할 수 있다. 이를 위해서는 희생자와 동일한 네트워크에 공격자가 있어야하지만, 공격자가 구축한 클라이언트 초기화 원격 액세스(CIRA) 서버를 통해 로컬 네트워크 외부에서 장치를 모니터링 할 수 있다.

이런 종류의 취약점은 이번이 처음이 아니다. 또다른 연구원들이 이전에 대상장치에 대한 USB 액세스가 필요한 공격을 발견한 적이 있다.

이 유형의 공격에 희생되는 것을 막기 위해 F-Secure는 시스템 프로비저닝에서 AMT에 강력한 암호를 사용해야하고, 암호가 알 수 없는 값으로 설정된 경우 의심스러운 것으로 간주하라고 충고한다. 또한 사용자는 자신의 랩탑을 안전하지 않은 위치에 두어서는 안된다고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★