AMI ‘MegaRAC’ BMC 펌웨어 취약점에 ‘전지구적 공포’
BMC에 숨은 심각도 10 ‘CVE-2024-54085’ 취약점 확인
BMC 악용, 지구촌 데이터센터 장악, 조작 등 치명적 훼손 우려
서버업체 AMD, ARM, 후지쯔, 기가바이트, 화웨이, 퀄컴 등 ‘비상’
[애플경제 엄정원 기자] 데이터센터가 널리 보급되면서 특히 글로벌 빅테크들이 널리 서버에 사용하는 AMI사의 ‘MegaRAC’ BMC 펌웨어가 심각한 취약점이 다수 있는 것으로 알려졌다. 이는 특히 한꺼번에 수 천대의 지구상 서버들을 마비시키거나, 장악할 수도 있어 경각심을 불러 일으키고 있다.
AMI사의 MegaRAC는 현재 AMD, ARM, 후지쯔, 기가바이트, 슈퍼마이크로, 퀄컴 ㄷ으의 서버에 사용되고 있다. 자칫 이들 글로벌 기업들의 서버가 훼손될 경우 상상키 힘든 전지구적 재앙을 불러 일으킬 수도 있다.
“상상키 힘든 전지구적 재앙” 우려
미국 사이버보안 및 인프라 보안국(CISA)이 이를 확인, 발표한 직후 각국 언론과 전문가들은 큰 관심을 보이며 긴장하고 있다. 이에 따르면 이미 일부 해커들은 그 심각한 취약점을 악용하기 위한 시도를 하고 있다. 만약 그런 공격이 수천 대의 서버를 완전히 제어할 수 있다는 우려다. 특히 다수는 데이터센터 내에서 치명적 공격을 퍼부을 수도 있다.
MegaRAC에 숨어있는 ‘CVE-2024-54085’ 취약점은 그야말로 ‘심각도’ 10점 만점에 10점이다. 문제는 MegaRAC이 널리 사용되는 펌웨어 패키지란 점이다. 이는 전원이 공급되지 않거나 운영 체제가 작동하지 않을 때에도 대규모 서버에 원격으로 접근하고 관리할 수 있도록 한다. 특히 ‘베이스보드 관리 컨트롤러’(BMC)라고 하는 마더보드 장착형 마이크로컨트롤러를 통해 데이터센터 내 서버를 강력 통제한다.
관리자는 BMC를 사용, 운영 체제를 재설치하고, 앱을 설치 또는 수정하고, 많은 경우 서버를 켜지 않은 상태에서도 많은 수의 서버에 대한 구성을 변경하기도 한다. 그러므로 만약 어느 한 군데라도 BMC가 뚫리면, 공격자들은 내부 네트워크로 파고들어 다른 모든 BMC를 뚫고 들어갈 수도 있다.
BMC에 간단한 웹 요청 전송 수법, ‘인증 회피’
이 취약점은 또 HTTP를 통해 취약한 BMC 장치에 간단한 웹 요청을 전송하는 수법으로 인증을 우회할 수 있게 한다. 보안 회사 이클립시엄(Eclypsium)사가 이를 발견하면서 처음으로 세상에 알려졌다.
공개된 취약점에는 원격 공격자가 인증 없이 관리자 계정을 생성할 수 있도록 하는 ‘개념 증명(PoC)’ 익스플로잇 코드가 포함되어 있었다. 다만 공개 당시에 이 취약점이 실제로 악용되고 있다는 보고는 없었다.
지난 26일 CISA도 이를 공식적으로 확인, 취약점 ‘CVE-2024-54085’를 실제 환경에서 악용될 수 있는 것으로 알려진 취약점 목록에 추가했다. 해당 공지에는 더 이상의 세부 정보는 아직 공개되지 않았다.
이를 처음 발견한 ‘이클립시엄’ 연구원들은 다시 이메일을 통해 “이를 악용하는 사례가 앞으로 광범위하게 발생할 수 있다”고 경고했다. 이에 따르면 공격자는 여러 BMC 악용 사례를 연쇄적으로 실행, 악성 코드를 BMC 펌웨어에 직접 심어 악성 코드의 존재를 탐지하기 매우 어렵게 만든다. OS를 재설치하거나, 디스크 교체 후에도 악성 코드가 살아남을 수 있도록 할 수 있다.
해커들은 또 이를 OS 하위에서 작동함으로써 엔드포인트 보호 시스템이나, 로깅, 대부분의 기존 보안 도구를 회피할 수 있다. 또한 BMC에 접속, 주 운영 체제의 상태와 관계없이 원격으로 서버의 전원을 켜거나 끄고, 재부팅하거나, 이미지를 재구성할 수 있다. 말 그대로 데이터센터 전체를 망가뜨리며 ‘분탕질’을 하는 셈이다.
뿐만 아니다. 이들은 원격 관리에 사용되는 자격 증명을 포함, 시스템에 저장된 자격 증명을 스크래핑하고, BMC를 네트워크 내에서 오히혀 수평 이동을 위한 발판으로 악용할 수도 있다. 실제로 BMC는 흔하 시스템 메모리와 네트워크 인터페이스에 접근할 수 있다. 공격자가 이를 통해 민감한 데이터를 스니핑하거나 탐지되지 않고 정보를 유출할 수 있다.
BMC 접근 권한을 가진 공격자는 의도적으로 펌웨어를 손상시켜 서버를 부팅할 수 없게 만들고 심각한 운영 중단을 초래할 수도 있다.
‘중국’ 배후 의심…MegaRAC 제품 ‘Redfish’ 인터페이스도 문제
현재 진행 중인 공격에 대한 자세한 내용은 공개되지 않았기 때문에 어떤 조직이 배후에 있는지는 불분명하다. ‘이클립시움’은 다만 “가장 유력한 범인은 중국 정부를 위해 활동하는 간첩 조직일 수도 있다”는 정도로만 유추했다. 이 회사가 일단 추측한 5개의 특정 APT 조직은 모두 펌웨어 취약점을 악용하거나, 특정 대상에 지속적으로 접근한 전력이 있다.
또 취약한 AMI MegaRAC 장치 제품군이 ‘Redfish’라는 인터페이스를 사용하는 것도 문제라는 지적이다. 이러한 제품을 사용하는 것으로 알려진 서버 제조업체는 그야말로 글로벌 기업들이다. AMD나, 암페어 컴퓨팅, ASRock, ARM, 후지쯔, 기가바이트, 화웨이, 엔비디아, 슈퍼마이크로, 퀄컴 등이다. 이들 서버 공급업체 중 일부는 자사 제품에 대한 패치를 배포했지만, 일부에 그치고 있는 실정이다.
이에 보안 전문가들은 “취약점 악용으로 인한 피해를 고려할 때, 관리자는 모든 BMC(서버 관리 콘솔)를 검사해서 취약하지 않은지 확인해야 한다”면서 “서버 제조업체마다 제품 특성이 다양하므로, 네트워크 노출이 의심되는 경우 관리자는 제조업체에 반드시 문의해야 한다”고 조언했다.