시큐어부트의 위협, 암호화 키 관리 실패가 초래한 보안 문제

최근 보안 업체 바이널리가 사이버 보안 커뮤니티와 일반 사용자들에게 큰 경각심을 불러일으키는 경고를 발했습니다. 그 주된 내용은 바로 PC 보안 기능 중 하나인 **'시큐어부트(Secure Boot)'**의 심각한 취약점입니다. 바이널리는 **PK페일(PKFail)**이라는 이름으로 이 문제를 지적하며, 이를 통해 악성코드로 변조된 부팅 프로그램이 일부 PC에서 정상적으로 작동할 수 있는 가능성을 밝혔습니다. 이번 글에서는 시큐어부트의 기능과 최근 밝혀진 문제에 대해 자세히 살펴보겠습니다.

시큐어부트(Secure Boot)란?

시큐어부트는 PC의 보안 기능 중 하나로, 제조사가 허가한 암호화 키를 사용해 부팅 프로세스를 검증합니다. PC를 켜면, 메인보드에 저장된 UEFI(통합 확장 펌웨어 인터페이스) 펌웨어가 운영체제 로딩을 위한 파일을 읽어들입니다. 이때, 파일이 올바른 암호화 키로 서명되지 않았다면, 시큐어부트는 해당 파일의 로딩을 차단합니다. 이 과정은 악성코드나 변조된 소프트웨어가 부팅 과정에서 실행되는 것을 방지하는 데 중요한 역할을 합니다.

문제의 핵심: 암호화 키 유출

문제는 암호화 키의 유출에 있습니다. 바이널리에 따르면, 미국의 펌웨어 공급 업체인 AMI에서 관리하던 암호화 키가 유출되었습니다. 이 암호화 키는 본래 테스트 용도로만 사용되어야 하며, AMI는 이를 '신뢰할 수 없음' 카테고리로 분류해왔습니다. 그러나 일부 PC 제조사들은 제품 출시 과정에서 이 문제를 간과하고, 암호화 키를 새로운 것으로 교체하는 작업을 게을리했습니다.

이로 인해 악성코드 제작자들이 유출된 암호화 키를 활용하여 자신들의 악성코드를 서명하고, 정상적인 보안 소프트웨어의 감시를 우회할 수 있게 되었습니다. 이는 특히 PC의 보안 소프트웨어가 이 악성코드를 탐지하지 못하게 만들어, 사용자 데이터와 네트워크를 위험에 처하게 합니다.

주요 제조사와 제품의 영향

바이널리는 이 문제로 인해 전 세계 주요 PC 제조사들의 제품이 영향을 받고 있다고 보고했습니다. 에이서, 델 테크놀로지스, 기가바이트, HP, 인텔, 레노버, 슈퍼마이크로 등 813개 제품에서 암호화 키 문제가 발견되었으며, 이는 x86 프로세서뿐만 아니라 ARM 프로세서 기반의 PC에서도 나타났습니다. 특히, 델 테크놀로지스는 바이널리와 협력하여 XPS 8960 데스크톱PC에서 취약한 암호화 키를 찾아내고 적절한 조치를 취했습니다.

PK페일 웹사이트와 해결책

바이널리는 PK페일이라는 웹사이트를 개설하여 사용자들이 자신의 펌웨어 파일에 포함된 암호화 키 노출 여부를 직접 확인할 수 있도록 하고 있습니다. 이 웹사이트에 펌웨어 파일을 업로드하면, 문제가 되는 암호화 키의 포함 여부를 쉽게 확인할 수 있습니다. 하지만 이 취약점은 물리적으로 PC에 접근해야만 악용할 수 있기 때문에, 일반 사용자들이 취약점을 악용하기는 어렵습니다. 그럼에도 불구하고, 최신 펌웨어 업데이트를 적용하고 장시간 자리를 비울 때 암호 등의 보안 조치를 철저히 하는 것이 중요합니다.

 

시큐어부트(Secure Boot) 기능을 최신 상태로 유지하는 것은 주로 펌웨어(Firmware) 및 BIOS/UEFI 업데이트를 통해 이루어집니다. 시큐어부트는 시스템의 부팅 과정에서 운영체제와 드라이버의 무결성을 확인하는 보안 기능이기 때문에, 이 기능을 최신 상태로 유지하는 것이 중요합니다.
아래는 시큐어부트 관련 업데이트 및 설치 방법에 대한 단계별 안내입니다.

1. 시스템 정보 확인

우선, 시큐어부트가 활성화되어 있는지 확인합니다.

• Windows:
  1. 시작 버튼 클릭: 화면 왼쪽 하단의 Windows 아이콘을 클릭합니다.
  2. 설정 열기: 톱니바퀴 모양의 아이콘을 클릭하여 설정 메뉴를 엽니다.
  3. 시스템 정보 열기: "시스템" -> "정보"를 클릭합니다.
  4. 시스템 요약 확인: "시스템 요약"에서 "UEFI 펌웨어 설정"을 확인하고, 시큐어부트가 활성화되어 있는지 확인합니다.

2. 제조사 웹사이트에서 펌웨어 업데이트 다운로드

1. 제조사 웹사이트 방문: PC나 메인보드 제조사의 공식 웹사이트에 방문합니다. (예: Dell, HP, ASUS, MSI, Gigabyte 등)
2. 지원 페이지 찾기: "지원" 또는 "드라이버 및 다운로드" 섹션을 찾습니다.
3. 모델 선택: 자신의 PC나 메인보드 모델을 선택합니다.
4. 펌웨어 업데이트 다운로드: 최신 BIOS/UEFI 펌웨어 업데이트 파일을 다운로드합니다. 이 파일에는 시큐어부트와 관련된 최신 보안 패치가 포함되어 있을 수 있습니다.

3. BIOS/UEFI 업데이트 방법

주의: BIOS/UEFI 업데이트는 시스템에 중요한 영향을 미칠 수 있으므로, 정확한 절차를 따르고 업데이트 중 전원 차단을 피해야 합니다.

1. 업데이트 준비:
   • 다운로드한 펌웨어 업데이트 파일을 USB 드라이브에 복사합니다.
   • USB 드라이브는 FAT32 포맷이어야 합니다.
2. PC 재부팅:
   • PC를 재부팅하고, BIOS/UEFI 설정 화면에 들어갑니다. (일반적으로 부팅 시 F2, Delete, Esc 등의 키를 눌러 진입)
3. BIOS/UEFI 설정:
   • BIOS/UEFI 설정에서 "펌웨어 업데이트" 또는 "BIOS 업데이트" 메뉴를 찾습니다.
   • USB 드라이브에 저장된 업데이트 파일을 선택합니다.
4. 업데이트 실행:
   • 업데이트를 시작하고, 지침에 따라 시스템을 재부팅합니다. 업데이트가 완료되면 시스템이 자동으로 재부팅됩니다.
5. 시큐어부트 활성화 확인:
   • BIOS/UEFI 설정에서 시큐어부트 옵션이 여전히 활성화되어 있는지 확인합니다. (필요 시, 활성화 여부를 체크하고 설정을 저장)

결론

시큐어부트는 본래 매우 중요한 보안 기능이지만, 암호화 키의 유출과 관리 실패로 인해 그 역할을 다하지 못하고 있습니다. 바이널리의 경고는 모든 PC 제조사와 사용자가 암호화 키 관리의 중요성을 다시 한 번 인식하고, 적절한 보안 조치를 취할 필요가 있음을 일깨우고 있습니다. 최신 보안 패치와 업데이트를 통해 이러한 보안 문제를 미리 예방하는 것이 가장 좋은 해결책입니다.