2024-03-29 05:25 (금)
애플 맥 EFI 펌웨어에 보안취약점 존재…멀웨어 공격에 노출
상태바
애플 맥 EFI 펌웨어에 보안취약점 존재…멀웨어 공격에 노출
  • hsk 기자
  • 승인 2017.10.02 12:47
이 기사를 공유합니다

“EFI 펌웨어 업데이트, OS 또는 보안 업데이트와 함께 제공되고 적용되어야”

MAC-2.jpg
애플 맥에서의 사전 부팅 소프트웨어가 구형이기 때문에 결과적으로 멀웨어 공격의 위험이 존재한다는 새로운 연구 결과가 나왔다. Duo Security가 발표한 7만3천개의 맥을 분석한 결과, 오래된 펌웨어로 인해 사용자가 모르는 사이 정교한 멀웨어 기반 공격에 노출되었다는 사실이 밝혀졌다.

평균적으로, 분석된 엔터프라이즈 환경에서 사용된 실제 7만3천여 대 맥 중 4.2%가 하드웨어 모델, OS 버전, 그리고 EFI(Extensible Firmware Interface) 버전에 기반해 본래 실행해야 하는 것과는 다른 EFI 버전을 실행하고 있는 것으로 드러났다.

또한 아이맥 모델(2015년 버전, 21.5인치)은 2천190대 중 941대인 43%가 구버전의 안전하지 않은 펌웨어를 사용하고 있었다. 2016년 말에 나온 세 종류의 13인치 맥북 프로는 25~35%의 편차를 보였다. 2011년 초에 나온 두 종류의 맥북 프로는 12~15%가 구형 EFI 펌웨어 버전을 사용하는 것으로 드러났다.

예상된 EFI 펌웨어 버전의 차이는 OS 버전에 따라서도 크게 다른 것으로 나타났다. macOS 10.12(Sierra)가 가장 높은 10%의 이탈률을 보였고 그 다음으로는 10.11(El Capita)이 3.4%. 10.10(Yosemite)이 2.1%를 달성했다.

연구 결과에 따르면 맥 사용자들은 OS와 애플리케이션 측면에서는 최신이지만 EFI 펌웨어 측면에서는 오래된 시스템을 운용할 수 있어 취약점에 쉽게 노출될 수 있다고 한다. 분석된 7만 여 대의 맥 중 4.6%에 달하는 3천400대가 애플에서 지원하는 소프트웨어 보안 업데이트를 지속적으로 받지만 EFI 펌웨어 업데이트는 받지 못한 것으로 나타났다.

Duo Security가 분석한 버전 10.10~10.12의 OS X/macOS 생애 주기 동안 어떠한 EFI 펌웨어 업데이트를 받은 적이 없지만 OS와 소프트웨어에 대한 업데이트는 지속적으로 받아왔다. 연구원들은 이러한 업데이트 격차를 지적했다. 그들은 “이러한 격차는 OS 업데이트와 함께 최신 버전의 EFI 업데이트가 자동으로 설치되어야 한다는 점을 고려할 때 매우 놀랍다.”고 언급했다.

펌웨어 보안 결함으로 인해 사용자들은 ‘썬더스트라이크(Thunderstrike)’ 취약점에 노출될 수 있다. 본래 NSA가 개발했고 WikiLeaks의 Vault7 데이터 덤프에서 유출된 이 공격은 오래된 펌웨어에 기반한다.

애플의 업데이트에 대한 추가 분석이 많은 주목을 받았는데, 이는 10.10과 10.11에 대한 2017-001 보안 업데이트에 2016-003(10.11)과 2016-007(10.10)에서 배포된 EFI 바이너리 버전보다 오래된 43개 버전의 EFI 바이너리들이 잘못 포함되었기 때문이다. 이는 OS 보안 업데이트에 잘못된 버전의 EFI 펌웨어가 제공되어 QA가 실패했음을 드러낸다.

Duo는 이에 대해 무언가가 번들로 제공되는 EFI 펌웨어 업데이트 설치 방식에 영향을 미쳤고, 이 때문에 이전 EFI 버전을 실행하는 시스템으로 돌아간 것으로 추측하고 있다.

문제의 또다른 원인은 애플 시스템의 EFI 펌웨어 보안 상태에 대한 가시성이 거의 없다는 것이다. EFI 펌웨어가 펌웨어 패치에 얼마나 오랫동안 지원되어 왔는지에 대한 공식적인 타임라인이나, 더 이상 펌웨어 업데이트를 받지 않거나 앞으로 소프트웨어 보안 업데이트를 받을 시스템 목록이 존재하지 않는다. 일부 경우에는 엔터프라이즈 패치 배포 도구 또한 이슈가 될 수 있다.

관리자의 잘못으로 펌웨어 보안 갭이 발생할 수도 있다. 맥 시스템 관리자는 EFI 펌웨어 업데이트의 중요성을 너무 자주 무시하거나, 이전 배포 문제로 인해 EFI 펌웨어 업데이트를 적극적으로 제거하기도 한다.

EFI 펌웨어 업데이트를 적용하는 절차는 IT 지원 직원이 수동으로 상호작용해야 하는 수고로운 과정을 거쳐야 하고, 이 때문에 많은 맥 시스템 관리자들은 OS 또는 보안 업데이트와 함께 EFI 펌웨어 업데이트를 제거하거나 비활성화한 후 필요에 따라서만 처리하기로 결정하기도 한다. 따라서 연구원들은 EFI 펌웨어 업데이트가 OS 또는 보안 업데이트와 함께 제공되고 적용되어야 한다고 주장하고 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★