[요약]: 소프트웨어와 하드웨어를 통한 해킹 공격은 드물지 않으나, 소프트웨어와 하드웨어 중간에 존재하는 '펌웨어' 요소에 대해서는 아직 알려진 부분이 많지 않아서 공격자들이 관심을 가지기 전에 미리 보안 강화를 해야한다는 내용이다, 10~15년 전만 해도 펌웨어를 공격할 수 있는 건 국가 정보 기관들 뿐일 만큼 어려운 작업이었으나, 이미 현재 매우 쉬운 일이 되었다. 다크웹만 하더라도 펌웨어 공격을 쉽게 만들어주는 온갖 도구들이 존재한다고 한다.
[용어 정리]:
1. 펌웨어: 펌웨어는 소프트웨어와 하드웨어의 중간에 해당하는 것이며 소프트웨어를 하드웨어화한 것이라고 할 수 있다. 즉, 고정도가 높고, 시스템의 효율을 높이기 위해 ROM(read-only memory)에 넣은 기본적인 프로그램이나 데이터. 마이크로컴퓨터에서는 거의 모든 프로그램이 ROM 상에 기재되어 있기 때문에 프로그램이 들어 있는 ROM을 가리키는 경우가 많다.
2. 머더보드: CPU와 주기억장치 및 주변 장치 접속을 위한 소켓을 탑재한 기판. 계산기의 주요 구성 요소를 상호 접속하기 위한 기판으로, 메인 보드라고도 한다. 입출력 장치나 외부 기억장치는 머더보드에 직접 혹은 확장 보드를 장착하여 접속한다. 때문에 머더보드의 외형에 몇 가지 규격이 존재한다.
3. npm: npm(노드 패키지 매니저/Node Package Manager)은 자바스크립트 프로그래밍 언어를 위한 패키지 관리자이다. 자바스크립트 런타임 환경 Node.js의 기본 패키지 관리자이다. 명령 줄 클라이언트(npm), 그리고 공개 패키지와 지불 방식의 개인 패키지의 온라인 데이터베이스(npm 레지스트리)로 이루어져 있다. 이 레지스트리는 클라이언트를 통해 접근되며 사용 가능한 패키지들은 npm 웹사이트를 통해 찾아보고 검색할 수 있다. 패키지 관리자와 레지스트리는 npm사에 의해 관리된다.
4. 오픈소스: 오픈소스 소프트웨어, OSS라고도 한다. 소프트웨어의 설계도에 해당하는 소스코드를 인터넷 등을 통하여 무상으로 공개하여 누구나 그 소프트웨어를 개량하고, 이것을 재배포할 수 있도록 하는 것 또는 그런 소프트웨어를 말한다.
소스코드를 알면 그 소프트웨어와 비슷한 것을 만들거나 그 소프트웨어에서 이용하고 있는 기술을 간단히 전용할 수 있다. 이 때문에 기업 등에서는 자사에서 개발한 소프트웨어의 소스코드를 극비로 하고 있으며, 이를 다른 사람에게 제공할 때는 사용료(라이선스료)를 받는 경우가 많다.
이에 대하여 오픈소스의 개념은, 소스코드를 공개하여 유용한 기술을 공유함으로써 전세계의 누구나가 자유롭게 소프트웨어의 개발·개량에 참여할 수 있게 하는 것이 우수한 소프트웨어를 만드는 데 도움이 된다는 생각에 바탕을 두고 있다.
5. 호스트: 인터넷 네트워크에 접속되어 다른 인터넷 호스트와 통신 할 수 있는 컴퓨터를 말한다. 호스트는 패킷의 원천지이기도 하고 목적지이기도 하다. 호스트는 클라이언트이기도 하고 서버이기도 하다. 인터넷 네트워크에서 호스트는 인터넷 이름과 인터넷 주소에 의해 식별된다.
[느낀 점]: 펌웨어를 중심으로 한 보안 강화 전략을 수립하고 적용하기 위해서는 보안 산업 종사자 모두가 관심을 가져야한다고 생각한다. 어떤 펌웨어들이 실행되고 있는지 정확하게 파악하기 위해 많은 노력이 필요하기 때문이다.
미리 설계의 오류를 막을 순 없었을까에 대한 문제는 신제품 개발 속도 경쟁과 관련이 있다고 한다. 보안 취약점 발견을 위해서는 시간을 많이 투자하여 테스트하고 안정화시켜야하는데, 이 부분이 부족했기 때문이다. 이는 모든 과학 기술 개발에 관련된 문제라고 생각한다. 소비자를 생각하여 좀 더 나은 점검 시스템을 갖췄으면 좋겠다.
[기사 선정 이유]: 며칠 전, 노트북의 펌웨어를 업데이트하라는 문구를 보았는데, 기사의 제목을 보고 펌웨어가 무엇인지, 보안에서는 왜 중요한지 알고 싶어졌다.
[링크]:
차기 사이버 전장, 어쩌면 모든 곳에 존재하는 펌웨어가 될 지도
지난 12월 보안 전문가들은 ‘메이저’라고 할 만한 기업들이 운영하는 서버에서 다섯 가지 취약점을 발견했다. 화웨이, 퀄컴, 엔비디아, AMD, 델, HP 등과 같은 브랜드들이 사용하는 서버들이었다
www.boannews.com
'컴퓨터 & 보안 이모저모 > 보안 이슈 스크랩' 카테고리의 다른 글
| 네트워크 관리자들이 필수적으로 갖추어야 할 6가지 스킬 (0) | 2023.06.26 |
|---|---|
| 한미동맹의 사이버안보 협력, 사이버 우산과 공동 위기관리 성과 거뒀다 (0) | 2023.06.26 |
| 세계적인 관심 받고 있는 북한의 APT 단체 킴수키, 어떻게 막아야 하나 (0) | 2023.06.26 |
| 3CX 침해 사건, 북한의 라자루스 개입된 거대 공급망 공격 사건? (0) | 2023.06.26 |
| 중국의 레드골프 해킹 그룹, 키플러그 백도어를 윈도/리눅스에 심어 (0) | 2023.06.26 |