C대학 서버를 관리하고 있는 김정호씨(가명)는 매년 연말 정신없이 바쁘다. 이는 종강이 되면 전산실 PC에 온갖 바이러스와 애드웨어가 가득하기 때문이다. 이에 김씨는 주기적으로 PC를 포맷하는 방식으로 관리를 해왔다.
 
그럼에도 불구하고 최근 학교 전산망에 바이러스가 돌면서 김씨는 난감한 상황이 발생했다. 결국 김씨는 학교측에 네트워크 부팅 솔루션 설치를 요구하고 비로소 안심하게 된다.
 
하지만 최근 연구에 따르면 이런 네트워크 부팅 솔루션도 바이러스 유포가 가능하다는 지적이 나왔다.
 
BoB 4기 오원찬, 김민지, 조승현씨는 기존 폐쇄망에서 사용하는 PXE (Preboot Execution Environment)를 이용 공격자에게 노출되기 쉬운 상황을 연출해 연구를 진행했다.
 
PXE는 네트워크 인터페이스를 통해 네트워크에 접속한 장치들을 구성하고 부팅한다. 이때 사용자가 다운로드 받는 이미지에 따라 OS를 설치하거나 펌웨어 업그레이드 등의 다양한 기능을 할 수 있다.
 
이들은 PXE 부팅 과정에서 서버와 클라이언트 간의 세션 하이재킹(Session Hijacking)을 통해, 사용자가 서버로부터 다운받는 이미지를 공격자가 바꿔치기 하는 방식으로 진행했는데 이렇게 되면 서버에 아무런 영향을 끼치지 않으며, 로그 또한 남지 않는다.
 
이는 사용자의 부팅 이미지를 공격자가 원하는 것으로 바꿀 수 있기 때문에, 단순히 네트워크 장비를 무력화시킬 수 있을 뿐만 아니라 좀비 PC로 감염 및 개인 정보의 탈취가 가능하다고 밝혔다.
 
또한 이미지 부팅 시, 공격 프로그램을 자동으로 실행해 로컬망 안에서 공격이 지속될 수 있음을 알아냈다. 주로 PXE는 PC방과 학교 등에서 많이 사용하고 있어 해킹 사고에 주의해야 한다. 이로 인해 내부망 제어권이 해커에게 넘어갈 수 있고 악성코드 감염과 좀비 PC, 개인정보 유출 사고로 이어질 수 있다. 하지만 문제는 이에 대한 대응방안이 마땅히 없다는 점이다.  

 

 
데일리시큐에서는 이들을 만나 PXE를 통한 해킹이 어떻게 진행되는지 영상에 담았다.
 
 
★정보보안 대표 미디어 데일리시큐!★
 
 
<데일리시큐 장성협 기자> shjang@dailysecu.com