이석원 기자
기가바이트 메인보드에 윈도에 임의 실행 파일을 설치 가능하게 하는 결함이 존재하는 게 판명됐다. 결함은 200개 이상 모델에서 확인됐으며 빠른 펌웨어 업데이트가 권장되고 있다.
이 결함을 발견한 건 보안 기업인 이클립시움(Eclypsium)이다. 이클립시움에 따르면 자동 검지 시스템에 의해 기가바이트 메인보드를 탑재한 PC에서 윈도 기동 프로세스 중 실행 가능 파일을 기입하는 움직임이 검출됐다고 한다. 상세 분석을 통해 200개가 넘는 모델에서 실행 파일을 쓸 수 있다는 게 밝혀졌다.
결함이 존재하는 메인보드 내 UEFI 펌웨어에는 GUID 볼륨(AEB1671D-019C-4B3B-BA-00-35-A2-E6-28-04-36)이 존재하고 있으며 볼륨 내에는 실행 파일(8ccbee6f7858ac6b92ce23594c9 5971b2.bin)이 저장됐다. UEFI 내에 존재하는 실행 파일은 윈도 기동 프로세스 중 자동 기입(%SystemRoot%\system32\GigabyteUpdateService.exe)해 윈도 서비스로 실행되는 상태였다고 한다.
이 업데이트 시스템은 여러 사이트(http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4, https://mb .download.gigabyte.com/FileList/Swhttp/LiveUpdate4, https://software-nas/Swhttp/LiveUpdate4) 중 하나에 액세스해 실행 파일을 다운로드, 실행하도록 설계됐다. 이 중 한 곳(http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4)은 간단하게 변조가 가능한 상태지만 업데이트 시스템에 검증 기능이 실장되어 있지 않기 때문에 공격자가 악의적 파일을 쉽게 실행할 수 있는 상태가 발생했다.
이클립시움이 공개한 메인보드 목록에는 여러 칩셋(Intel Z790, Intel B760, Intel Z690, Intel B660, Intel H610, AMD X670, AMD B650, AMD X570, AMD B550)을 채택한 메인보드 200개 이상 모델이 기재되어 있다. 이번에 발견된 결함은 UEFI 펌웨어 내에 존재하기 때문에 윈도를 재설치해도 위협을 방지할 수 없다. 이런 이유로 이클립시움은 영향을 받는 메인보드 소유자에게 조치를 권하고 있다. 펌웨어를 최신 버전으로 업데이트하고 UEFI에서 기능(APP Center Download & Install)을 비활성화해야 한다. 또 위에서 연결되는 3개 주소를 차단해야 한다.
또 실행 파일이 저장된 볼륨(AEB1671D-019C-4B3B-BA-00-35-A2-E6-28-04-36)이 에즈락 메인보드(X670E Pro RS)에도 포함되어 있다는 보고도 있다. 따라서 기가바이트 외 제조업체 메인보드에도 유사 위험이 있을 수 있다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
정용환 기자
