US CISA, 주요 컴퓨터 구성 요소 개선 촉구

거버넌스 및 위험 관리 , 패치 관리

미국 연방 정부는 작년에 발견된 강력한 부트킷으로 인해 영구 악성 코드 감염에 대한 우려가 높아진 이후 컴퓨터 제조업체에 장치를 부팅하는 펌웨어 아키텍처의 보안을 개선할 것을 촉구했습니다.

참조: 라이브 웹 세미나 | Unmasking Pegasus: 위협 파악 및 디지털 방어 강화

사이버 보안 및 인프라 보안 기관은 목요일 통합 확장 가능 펌웨어 인터페이스(Unified Extensible Firmware Interface) 뒤의 표준 개발자들에게 패치 배포, 코딩 및 로깅 방식을 개선하기 위한 조치를 촉구했습니다.

UEFI는 UEFI 포럼에서 게시한 컴퓨터 전원을 켤 때 하드웨어 초기화에 대한 업계 표준입니다. 대변인은 포럼에 아무런 코멘트가 없다고 말했습니다.

이 요청은 해킹 포럼에서 5,000달러에 판매되는 강력한 부트킷인 BlackLotus로 알려진 악성 코드가 발견된 이후에 나온 것으로, 지난 6월 미국 국가안보국(NSA)은 Windows 시스템 관리자에게 이러한 위협에 대해 경고했습니다.

BlackLotus는 Windows 운영 체제가 제어권을 갖기 전에 발생하는 부팅 프로세스를 해커가 감염시키지 못하도록 보호하기 위한 Microsoft 보안 기능을 우회합니다. 맬웨어가 UEFI 소프트웨어를 감염시키면 시스템에 대한 완전한 제어권을 얻을 수 있습니다. 부트로더 감염은 감지하기 어려우며 BlackLotus에 감염된 모든 컴퓨터는 완전히 이미지를 다시 만들고 폐기해야 합니다.

Microsoft는 BlackLotus를 방해하기 위해 여러 패치를 출시했지만 NSA는 패치가 맬웨어로부터 시스템을 강화하기 위한 첫 번째 단계일 뿐이라고 말했습니다(NSA 문제 해결 지침 for BlackLotus 맬웨어 참조).

"UEFI 부트킷은 OS 부팅 프로세스를 완전히 제어할 수 있어 다양한 OS 보안 메커니즘을 비활성화하고 초기 OS 시작 단계에서 자체 커널 모드 또는 사용자 모드 페이로드를 배포할 수 있는 매우 강력한 위협입니다."라고 악성코드인 Martin Smolár는 말했습니다. Eset의 분석가는 3월 1일 BlackLotus를 공개한 보고서에서 밝혔습니다. "이를 통해 그들은 매우 은밀하게 높은 권한을 가지고 활동할 수 있습니다."

마이크로소프트는 BlackLotus가 보안 보호를 우회하기 위해 활용하는 취약한 부트로더 버전을 폐지하기 위한 수정을 단계적으로 진행하고 있지만 내년 1분기까지는 출시가 완료될 것으로 예상하지 않는다고 밝혔습니다. 측정된 속도의 한 가지 이유는 백업 이미지와 같은 오래된 부팅 가능한 미디어를 사용할 수 없게 되기 때문이라고 Microsoft는 말했습니다.

CISA는 또한 모든 UEFI 개발자가 업데이트를 위한 전용 공개 키 인프라를 구현할 것을 권장합니다. CISA 관계자는 Dark Reading에 Microsoft가 여러 파일에 서명하기 위해 단일 키를 사용함으로써 BlackLotus에 대한 Windows 컴퓨팅 패치가 훨씬 더 어려워졌다고 말했습니다.

또한 기관에서는 UEFI 구성 요소에 대한 소프트웨어 BOM과 관리자가 이벤트 로그를 수집할 수 있는 더 나은 기본 UEFI 기능을 권장합니다.