해외 테크 매체 Ars테크니카에 따르면, 사이버 보안 기업 이셋(ESET) 연구팀이 씽크패드(ThinkPads), 요가슬림(Yoga Slims), 아이디어패드(IdeaPads) 등 레노버 기기 25종에서 해커 세력이 악성 펌웨어 설치 시 악용할 수 있는 보안 취약점을 발견했다.
연구팀이 발견한 취약점은 레노버 기기에서 UEFI 보안 부트 프로세스를 비활성화하고, 제출되지 않은 UEFI 앱이나 부트로더를 실행할 위험성을 지녔다. 모두 기기에 백도어를 설치하는 과정에 악용할 수 있는 것으로 확인됐다.
통합 확장 펌웨어 인터페이스를 칭하는 UEFI는 컴퓨터 기기 펌웨어를 운영체제와 연결하는 역할을 한다. 최신 기기를 켰을 때 실행되는 첫 번째 코드로, 보안 체인의 첫 번째 링크 역할을 한다. UEFI는 마더보드의 플래시 칩에 있어, 악성 펌웨어 감염 여부 감지와 제거가 어렵다.
연구팀은 레노버 기기에서 발견한 취약점을 CVE-2022-3430와 CVE-2022-3431, CVE-2022-3432로 칭했다. 세 가지 취약점 모두 운영체제에서 UEFI 보안 부트를 비활성화하거나 공장 초기화 보안 부트 데이터베이스를 복원할 수 있다. 보안 부팅은 데이터베이스를 사용하여 메커니즘을 허용하고 거부하며, DBX 데이터베이스로 거부된 키 암호화 해시를 저장한다.
연구팀은 “펌웨어 요소를 운영체제에서부터 변경하는 것은 드물다. 대부분 펌웨어 설정이나 BIOS를 변경하려면, 부팅 시 삭제 버튼을 충돌시켜 설정에 진입한 뒤 변경 작업을 실행해야 한다. 운영체제에서부터 변경하는 것은 매우 이례적이면서도 주목할 만한 문제점이다”라고 설명했다.
악성 UEFI 앱 실행 의도로 UEFI 보안 부트를 비활성화는 사례가 드문 이유는 암호화된 서명이 필요하기 때문이다.
반면, 공장 초기화 DBX 복구 작업은 해커 세력이 취약점을 포함한 부트로더를 실행하는 데 이용할 수 있다. 지난 8월, 보안 기업 이클립시엄(Eclypsium) 연구팀이 보안 부트를 우회해 해커 세력이 권한 강화에 악용할 보안 문제를 포함한 소프트웨어 드라이버 3개를 발견했다.
또, 이셋 연구팀은 CVE-2022-3430와 CVE-2022-3431, CVE-2022-3432 모두 다양한 부팅 옵션에 저장할 수 있는 비휘발성 메모리(NVRAM) 변수를 강화하면서 사이버 공격에 악용할 수 있다고 전했다. 연구팀은 레노버가 제조 과정에만 사용하려 한 드라이버를 장착한 노트북을 실수로 출하한 것이 취약점 발생 원인이라고 진단했다.
한편, 레노버는 CVE-2022-3430와 CVE-2022-3431 패치 작업을 진행했으나 CVE-2022-3432의 패치는 배포하지 않을 예정이다. 이에, 레노버는 “아이디어패드 Y700-14ISK를 더는 지원하지 않으며, 단종될 예정이기 때문”이라고 전했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
