2023년 보안 기업 Binarly는 Acer, Dell, Gigabyte, Intel, Supermicro 등 주요 제조업체들의 200여 대 장치 모델이 2022년 말 GitHub에서 유출된 Secure Boot 키를 여전히 사용하고 있다고 밝혔습니다. 이 유출로 누구나 다운로드한 키로 Secure Boot 보안을 우회할 수 있어 심각한 보안 우려가 제기되었습니다.
또한 300여 개 이상의 다른 모델이 American Megatrends, Inc.(AMI)가 UEFI 펌웨어 커스터마이징을 위해 제공한 '출하하지 마시오' 또는 '신뢰하지 마시오' 레이블의 21개 플랫폼 키를 사용하고 있는 것으로 나타났습니다. 이처럼 유출된 키가 광범위하게 사용되고 있는 것은 업계 전반의 암호화 키 관리에 심각한 문제가 있음을 보여줍니다. AMI와 협력한 많은 제조업체들이 이 키에 대한 접근권을 가지고 있기 때문입니다.
Binarly의 CEO Alex Matrosov는 이 상황을 한 아파트 건물에서 모두가 같은 열쇠를 사용하는 것에 비유하며, 단일 유출된 키가 전체 생태계에 미치는 위험을 강조했습니다. 이 문제는 PKfail(Platform Key fail)로 명명되었으며, 암호화 자료 관리 미흡, 테스트용 키의 제품 펌웨어 사용, 제품군 전반의 키 교체 부재 등 공급망 보안의 심각한 결함을 드러냈습니다.
개별 사용자는 제조업체의 BIOS 업데이트 없이는 이 취약점을 해결할 수 없습니다. 펌웨어 보안 전문가 H.D.는 제조업체들이 여전히 부적절한 키 관리 관행으로 인해 Secure Boot를 제대로 다루지 못하고 있다고 지적하며, UEFI 공급망 문제가 2016년부터 지속되고 있다고 비판했습니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.