Firmware에 해당하는글 2


바이러스 등 악성코드가 컴퓨터 하드웨어에 물리적인 손상을 가할 수 있는가. 이는 정보보안 분야에서 가장 널리 퍼진 동시에 터무니없다고 여겨지는 미신으로 이러한 이중적 속성으로 인해 오래도록 지속되고 있다. 20세기 후반에는 바이러스로 인해 CRT 모니터에 잘못된 신호가 전송되어 컴퓨터의 하드웨어가 구성요소가 타 버렸다든지 또는 맬웨어로 인해 하드디스크 드라이브가 격하게 진동하여 드라이브가 결국 파괴됐다든지 아니면 플로피 드라이브에 오버클럭이 걸려 과열이 발생했다든지 하는 식의 이야기가 퍼졌던 적이 있다. 이런 미신들은 안티바이러스 업체들에 의해 해체됐다. 물론 이들 중 몇몇의 경우 이론적으로는 나름 일리가 없진 않으나 컴퓨터에 내장된 보호기능으로 인해 이러한 사고는 발생할 여지가 없다.


하지만 하드웨어를 물리적으로 손상시키는 경우에 준하는 사례도 없진 않으며 그 사례로 1999년의 이른바 체르노빌 악성코드로 알려진 Win95.CIH 바이러스를 생각할 수 있다. Win95.CIH는 수천 대의 기기를 감염시켰으며 하드드라이브와 마더보드 BIOS 칩의 데이터를 손상시켰으며 이에 따라 일부 감염 기기들은 부팅 프로그램 손상으로 인해 작동 자체가 불가능해졌다. 이는 결국 BIOS 칩을 교체하고 데이터를 다시 입력해야 하는 결과로 이어지기도 했다. 사실 이 사례는 컴퓨터에 대한 물리적 타격은 아니다. 이러한 감염이 발생한 경우 마더보드는 몇 차례 조작을 가하고 나면 다시 사용 가능한 상태로 되돌릴 수 있다. 물론 이 문제는 가정에서 간단히 해결할 수 있는 수준은 아니며 별도의 특수 장비를 필요로 한다. 그렇지만 오늘날에는 문제가 훨씬 복잡한데 그 이유는 다음과 같다.


우선 오늘날 모든 독립 하드웨어는 재작성 가능한 마이크로프로그램과 함께 제작되며 이러한 프로그램은 둘 이상인 경우도 있다. 이들 마이크로프로그램은 수 년에 걸쳐 진화하여 오늘날에는 상당히 복잡한 소프트웨어가 됐으며 이는 결과적으로 공격가능성을 발생시켰다. 이 때 공격이 성공한다면 그 결과는 복구 불가능한 경우도 있다. 카스퍼스키 연구진은 Equation 사이버스파이 캠페인을 분석하는 과정에서 다양한 하드드라이브 모델의 마이크로프로그램 코드에 주입된 스파이웨어 모듈을 조사한 바 있다. 이들 맬웨어는 감염대상 디스크를 완전히 장악하는 데 사용됐으며 포맷으로도 제거 불가능했다.


실제로 펌웨어는 일반적인 툴로는 변경이 어려우며 그 자체로 업데이트하는 속성을 가지고 있다. 펌웨어를 본래 위치에서 변경시키려면 상당한 노력이 필요하다. 물론 특수 장비가 구비된 상태라면 어떤 마이크로프로그램이든 변경할 수 있지만 실제로는 이 정도 수준으로 드라이브라면 비용 측면에서 그냥 폐기하는 게 합리적이다. 이를 과연 물리적 피해로 볼 수 있을지에 대해서는 논란이 있을 수 있지만 하드웨어기반 취약점에 대한 사례가 계속하여 발생하고 있음은 분명하다.


그리고 '컴퓨터'의 정의 자체도 이제는 애매해졌다. 예컨대 현대 자동차는 어떤 면에서는 컴퓨터에 해당하며 본질적으로 바퀴 달린 커넥티드 컴퓨터라고 할 수 있다. 따라서 원격 해킹이나 침투에 노출될 수 있으며 실제로 Cherokee Jeep 차량에 대한 원격 해킹과정을 공개 시연된 바 있다. 물론 이 해킹에 어떤 바이러스가 사용되지는 않았으나 이는 자동차가 도로를 벗어나도록 하는 해킹 공격도 가능함을 의미한다. 이 또한 어떻게 보면 물리적 타격이라고 할 수 있겠다.


결국 바이러스가 컴퓨터 하드웨어를 물리적으로 손상시킬 수 있는지에 대한 대답은 '그렇다'라고 할 수 있겠으나 이는 '손상', '바이러스', '컴퓨터' 등의 용어를 어떻게 정의하느냐에 따라 달라지는 문제라고 할 수 있겠다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Vladislav Biryukov, Fact or Fiction: can a virus actually damage PC hardware?, 9. 15. 2015.

https://usblog.kaspersky.com/fact-or-fiction-virus-damaging-hardware/5976/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 4. 16:29



가정용 라우터는 보안이 취약한 편이며 허술하게 제작된 수많은 라우터들이 사이버공격에 노출된 실정이다. 가정용 라우터는 스마트폰 시장처럼 여러 제조업체들이 수많은 종류의 기기를 대규모로 제작하지만 이들 기기에 대한 업데이트 등 후속조치가 철저하지 못하며 이 때문에 공격에 쉽게 노출될 수 있다. 여기에서는 라우터 보안 결함이 야기할 수 있는 문제와 이를 확인하는 방법을 소개한다.

 

공격자는 사용자 라우터의 DNS 서버 설정을 변경하여 사용자 접속을 악성 DNS 서버로 이동시키는 수법을 자주 사용한다. 사용자가 예를 들어 은행 웹사이트에 접속하고자 할 경우 위와 같이 정상적인 DNS가 아닌 악성 DNS 서버를 거친다면 원래 은행이 아닌 피싱 사이트로 접속하게 된다. 이 때 주소창에는 여전히 정상적인 은행 URL이 적혀 있을 수 있다.

 

라우터 해킹 과정에는 많은 경우 사이트 간 요청 조작(cross-site request forgery, CSRF) 수법이 쓰인다. 공격자가 웹페이지에 악성 자바스크립트를 첨부시키면 이 자바스크립트가 라우터 웹기반 관리페이지를 열어 설정을 변경한다. 해당 자바스크립트가 사용자 로컬네트워크 내부의 기기에서 작동하는 한 그 로컬네트워크 내부에서만 접근 가능한 라우터 웹인터페이스에 접근할 수 있기 때문이다. 몇몇 라우터의 경우 원격관리 인터페이스가 초기 사용자이름과 암호를 통해 작동되는 상태일 수도 있으며 봇은 인터넷을 통해 이런 라우터를 검색하여 접속할 수 있다. 한편 상당수 라우터에서 발견되는 UPnP 취약점 악용 등 다른 방식의 취약점악용 가능성도 존재한다.

 

공격자가 이렇게 DNS 서버 악용에 성공했다면 이를 광고주입, 검색결과 조작, 악성코드 방문다운로드(drive-by download) 유도 등에 활용한다. 있다. 광고주입과정을 살펴보면 구글분석기(Google Analytics)를 비롯하여 거의 모든 웹사이트가 사용하는 각종 스크립트를 수집하여 해당 접속을 광고주입 스크립트를 제공하는 서버로 변경시킬 수 있다.

 

DNS 요청시간이 비정상적으로 지연될 경우 이는 라우터 감염의 징후로 볼 수 있다. 또한 위와 같이 피싱 사이트에 접속된 경우 HTTPS 암호화가 표시되지 않은 경우라면 이 역시 위험하다는 신호다. 또한 SSL 제거(SSL striping) 수법은 전송 중인 데이터의 암호화를 제거해 버릴 수도 있다. 물론 악성 DNS 서버는 모든 요청에 일일이 응답하지는 않으며 대부분의 요청을 시간초과 처리하여 요청자에 대한 본래 ISP의 기본 DNS 서버로 접속을 이동시키지만 일부 요청이라도 자체적으로 별도 입력된 악성 URL로 이동시킨다는 것이 문제다.

 

 

확인방법 및 조치

라우터의 웹기반 인터페이스에 접속하면 라우터의 설정 현황을 확인할 수 있다. 라우터 사용자이름과 암호를 통해 접속하여 DNS 설정을 확인한다. 만약 설정이 자동(automatic)으로 돼 있다면 DNS 요청이 기본 ISP를 경유하기 때문에 염려하지 않아도 된다. 반대로 수동(manual) 상태로 돼 있으며 별도의 DNS 서버가 입력된 상태라면 문제가 될 수 있다. DNS 서버 변경은 라우터 해킹의 징후로 볼 수 있기 때문이다. 물론 별도의 DNS 서버가 구글 DNS(8.8.8.8, 8.8.4.4) 또는 OpenDNS(208.67.222.222, 208.67.220.220)처럼 건실한 DNS 서버라면 문제가 안 되지만 이렇게 잘 알려진 DNS 서버가 아닌 생소한 서버 주소가 보인다면 맬웨어가 주소를 변경했을 가능성이 있으며 이를 확실히 하려면 해당 주소를 웹에서 검색해 보면 된다. 만약 주소가 0.0.0.0인 경우는 공백으로 처리되어 DNS 설정이 자동으로 이루어지기 때문에 문제가 없다. 전문가들은 이러한 확인이 주기적으로 해 주는 게 좋다고 한다.



 

위와 같이 확인한 결과 악성 DNS로 설정된 경우라면 ISP로부터 자동으로 DNS를 받도록 설정하거나 구글 DNS와 같이 신뢰할 수 있는 DNS 주소를 입력하면 된다. 또는 라우터 설정을 완전히 초기화하는 방법도 있다.


 

 

라우터 보안 강화 방법

펌웨어 업데이트 라우터 펌웨어는 항상 최신으로 유지돼야 한다. 만약 라우터에 펌웨어 자동업데이트 기능이 있다면 이를 사용하는 방법이 제일 좋지만 라우터 대부분은 이러한 자동업데이트 기능을 가지고 있지 않다.

원격접속 해제 라우터 웹기반 관리페이지에 대한 원격접속을 차단한다.

암호 변경 라우터 웹기반 관리페이지 비밀번호를 변경하여 초기 비밀번호 단계에서 뚫리는 일이 없도록 한다.

UPnP 기능 해제 UPnP는 그 자체로 취약성이 있으며 라우터 자체 UPnP에 문제가 없더라도 로컬네트워크 어딘가에 맬웨어가 있다면 UPnP를 사용하여 DNS 서버를 변경시킬 수 있다. UPnP는 로컬 네트워크 내부에서 발신되는 요청은 전부 신뢰하기 때문이다.

 

한편 DNSSEC 기능은 본래 도메인 접속에 대한 추가 보안대책이지만 이 경우에는 큰 효용이 없다. 실제로 클라이언트PC는 설정된 DNS 서버를 신뢰하는 데 그칠 뿐이다. 악성 DNS 서버의 입장에서는 자기네 DNS 기록이 DNSSEC에 등록되지 않았다고 주장하거나 IP주소가 진정하다고 주장하면 그만이다.


 

 

 

Chris Hoffman, How to Check Your Router for Malware, 8. 31. 2015.

http://www.howtogeek.com/227384/how-to-check-your-router-for-malware/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 23. 14:06

위로가기