“엔터프라이즈 서버의 안전이 달렸다” 사례로 보는 BMC 보안의 중요성

주 운영체제가 응답하지 않는 상황에서도 원격으로 서버를 관리하고 모니터링하는 기능은 엔터프라이즈 IT 관리자에게 필수적이다. 모든 서버 제조업체는 OS와 서버의 나머지 부분과 떨어져서 따로 실행되는 펌웨어 BMC(baseboard management controllers)로 이런 기능을 제공한다. 따라서 BMC를 적절히 보호하지 않을 경우 매우 끈질기고 탐지하기 어려운 루트킷이 유입되는 경로가 될 수 있다. 
 

지난 몇 년 동안 여러 보안 연구원은 다양한 서버 제조업체가 구현한 BMC에서 취약점을 찾아 입증했으며, 실제로 공격자가 이런 취약점을 이용한 사례도 있다. 대표적인 최근 사례는 이란의 한 사이버보안 업체가 발견한 것으로, 휴렛 패커드 엔터프라이즈(HPE) 8/9세대 서버를 대상으로 작동하는 악성 BMC 임플란트인 iLO블리드(iLOBleed)다. 이 외에도 몇 년 동안 비슷한 공격이 여러 차례 발생했다.

펌웨어 보안업체 이클립시움(Eclypsium)에 따르면, 7,799대의 HPE iLO(HPE’s Integrated Lights-Out) 서버 BMC가 인터넷에 노출됐다. 대부분은 최신 버전의 펌웨어가 아닌 것으로 조사됐다. 2019년 슈퍼마이크로(Supermicro) 서버의 BMC 구현에서 다른 취약점이 발견됐을 당시에는 90여 개국에 위치한 4만 7,000대 이상의 슈퍼마이크로 BMC가 공개적으로 노출됐다. 인터넷에서 공격할 수 있는 BMC 인터페이스의 수는 모든 서버 업체를 통틀어 수만 대에서 수십만 대에 이를 것으로 추정된다.

이클립시움 연구팀은 iLO블리드에 대한 보고서를 발표한 이후 “BMC 취약점은 매우 흔하지만 업데이트에서 간과하는 경우가 많다. 취약점과 잘못된 구성은 공급망 초기 단계, 즉 기업이 서버 소유권을 넘겨받기 전에 유입될 수 있다. 공급망 문제는 BMC 구축 후에도 발생한다. 취약한 업데이트, 또는 공격자가 솔루션 업체의 업데이트 프로세스를 침해하는 경우가 있기 때문이다. 결과적으로 많은 기업 서버가 공격 시 피해가 큰 취약점을 많이 보유하고 있으며, 공격자는 적극적으로 이 같은 장치를 이용하고 있다”라고 설명했다.

서버를 조작할 수 있는 iLO블리드 임플란트

HPE의 iLO 기술은 15년 전부터 HPE 서버에 존재했다. 전용 네트워크 컨트롤러와 RAM, 플래시 스토리지를 갖춘 ARM 칩으로 구현된다. 펌웨어에는 서버의 주 운영체제와 별개로 실행되는 전용 운영체제가 탑재된다. 모든 BMC가 그렇듯이 HPE iLO도 기본적으로 주 컴퓨터, 즉 서버 자체를 제어하기 위해 설계한 하나의 작은 컴퓨터다.
 
관리자는 BMC의 전용 네트워크 포트를 통해 제공되는 웹 기반 관리 패널 또는 표준화된 IPMI(Intelligent Platform Management Interface) 프로토콜로 BMC와 통신하는 툴에서 iLO에 액세스한다. 관리자는 iLO를 사용해 서버를 켜거나 끄고 다양한 하드웨어 및 펌웨어 설정을 조정하며, 시스템 콘솔에 액세스하고 CD/DVD 이미지를 원격으로 연결해 주 운영체제를 재설치하거나 하드웨어 및 소프트웨어 센서를 모니터링하고 바이오스/UEFI 업데이트도 배포할 수 있다.
 
iLO블리드 임플란트는 APT(Advanced Persistent Threat) 공격 그룹이 만든 것으로 추정되며 최소 2020년부터 사용되고 있다. CVE-2018-7078 및 CVE-2018-7113과 같은 알려진 취약점을 이용해 iLO 펌웨어에 새로운 악성 모듈을 주입하고 디스크 지우기 기능을 추가하는 것으로 알려졌다.
 
이 루트킷은 한번 설치되면 펌웨어 업그레이드 시도를 차단하고, 새로운 버전이 성공적으로 설치되었다고 보고해 관리자를 속인다. 하지만 펌웨어가 업그레이드되지 않았음을 확인하는 몇 가지 방법이 있다. 예를 들어 최신 버전의 로그인 화면은 이전과 약간 달라야 하는데, 이전과 같다면 펌웨어 상에서 최신 버전이라고 나온다 해도 업데이트가 차단됐다는 의미다.

공격자가 호스트 운영체제에 대한 루트(관리자) 권한을 얻는 경우에도 펌웨어 플래시가 가능하므로 iLO 펌웨어를 감염시킬 수 있다. 서버의 iLO 펌웨어에 알려진 취약점이 없다면, 펌웨어를 취약한 버전으로 다운그레이드할 수도 있다. 10세대에서는 펌웨어 설정으로 다운그레이드 공격을 차단할 수 있지만, 이 기능은 기본적으로 활성화 상태가 아니며 이전 세대에서는 제공되지 않는다.

이클립시움 연구팀은 “공격자는 BMC 기능을 다양한 방법으로 악용할 수 있다. iLO블리드는 BMC를 사용해 서버 디스크 내용을 지울 수 있다는 것을 입증했다. 공격자는 손쉽게 데이터를 훔치고 부가적인 페이로드를 설치하고 서버를 조작하거나 완전히 비활성화할 수도 있다. 또 한 가지 중요한 점은 물리적 서버가 침해되는 경우에는 워크로드뿐만 아니라 전체 클라우드가 위험에 처할 수 있다는 것이다”라고 말했다.

과거의 BMC 공격 사례

2016년에는 마이크로소프트 연구팀이 인텔의 AMT(Active Management Technology) SOL(Serial-over-LAN)을 사용해 비밀 통신 채널을 설정해서 파일을 전송한 ‘플래티넘(PLATINUM)’이라는 APT 그룹의 활동을 보고했다. AMT는 인텔 ME(Management Engine)의 구성요소로, 대부분의 인텔 데스크톱 및 서버 CPU에 존재하는 BMC와 비슷한 솔루션이다. 일반적으로 방화벽 및 네트워크 모니터링 툴은 AMT SOL 또는 IPMI 트래픽을 검사하도록 구성되지 않으므로 플래티넘과 같은 공격자들이 탐지를 피할 가능성이 높다.
 
2018년에는 블리핑컴퓨터(BleepingComputer)가 정글섹(JungleSec)이라는 랜섬웨어 프로그램을 사용한 리눅스 서버 공격을 발견했다. 피해 기업에 따르면, 이 랜섬웨어는 안전하지 않은 IPMI 인터페이스를 통해 제조업체의 기본 인증 정보를 사용해서 배포됐다. 2020년에는 한 보안 연구원이 침투 테스트 중에 기업의 오픈스택 클라우드에 있는 안전하지 않은 BMC 인터페이스를 사용해서 가상화된 서버를 장악한 사례가 있다.

이클립시움 연구진은 “iLO블리드는 BMC 펌웨어 보안뿐만 아니라 전반적인 펌웨어 보안의 중요성을 명확하게 보여주는 사례다. 현재 많은 기업이 전체 자산과 작업에 대한 보안을 독립적으로 평가하고 확인할 필요성을 규정하는 제로 트러스트를 도입했다. 그러나 정작 디바이스의 가장 기본적인 코드에는 제로 트러스트 개념이 적용되지 않는 경우가 대부분이다”라고 지적했다.

 
BMC 공격에 대처하는 방법

내장형이든 확장 카드를 통해 추가된 형태든 IPMI 인터페이스에 대한 표준적인 보안 조치는 인터넷, 혹은 기업의 주 네트워크에 직접 노출하지 않는 것이다. BMC는 관리를 위해 격리된 자체 네트워크 세그먼트에 위치해야 한다. 이 세그먼트에 대한 액세스는 VLAN, 방화벽, VPN과 같은 보안 기술을 사용해 제한할 수 있다.

기업은 주기적으로 서버 제조업체에 BMC 펌웨어 업데이트를 확인하고, 보유한 모든 핵심 자산의 펌웨어에서 발견된 CVE를 추적해야 한다. 펌웨어 버전 추적과 취약점 스캔에 신경 쓰지 않으면, 기업 네트워크에 큰 사각지대가 발생하고 iLO블리드와 같은 로우레벨 루트킷이 공격자에게 은밀하고 강력한 침투 경로를 제공하게 된다.

HPE 10세대/iLO5 서버처럼 BMC 펌웨어에 이전 버전의 펌웨어 배포(다운그레이드)를 차단하는 옵션이 있는 경우, 다운그레이드 차단 설정을 반드시 활성화해야 한다. 또한 디지털 서명 확인과 같은 다른 펌웨어 보안 기능 역시 활성화해야 한다.

아울러 기업은 BMC 인터페이스와 관리자 패널 접속을 위한 기본 관리 인증 정보를 변경하고, 트래픽 암호화 및 인증과 같은 보안 기능을 항상 사용하도록 설정해야 한다.

마지막으로, 많은 BMC는 서버 변경을 모니터링하고 레드피시(Redfish)와 같은 사양 또는 기타 XML 인터페이스를 사용해 기록할 수 있는 로깅 기능을 제공한다. 기업은 이러한 로그를 주기적으로 감사해서 승인되지 않은 변경이 있는지 확인해야 한다.

editor@itworld.co.kr