데스크톱 PC의 케이스를 열어보자. 기가바이트 메인보드가 보이는가? 그렇다면 CPU 쿨러 아래도 확인해보자. 그곳에 장착된 CPU가 인텔 8세대에서 11세대(2017년~2021년) 프로세서라면, BIOS 업데이트가 필요할 수 있다. 하지만 문제는 업데이트가 제공되지 않을 수도 있다는 점이다.

펌웨어 및 하드웨어 보안 업체 바이널리(Binarily)와 카네기멜론대학교 연구팀은 지난 4월 기가바이트에 총 4건의 심각한 펌웨어 취약점을 공개했다. 이들 취약점은 공격자가 기가바이트 메인보드 수백 종에서 시큐어 부트(Secure Boot)를 우회할 수 있게 만든다. 취약한 UEFI(Unified Extensible Firmware Interface, BIOS로도 불림) 버전은 부팅 전 환경에서 악성 코드를 실행을 허용해 윈도우나 다른 OS가 시작되기 훨씬 이전 단계에서 PC를 사실상 장악할 수 있다.

블리핑컴퓨터(BleepingComputer)에 따르면, 약 240종의 인텔 칩셋 기반 기가바이트 메인보드가 이번 취약점의 영향을 받는 아메리칸 메가트렌드(American Megatrends) 펌웨어를 사용하고 있다. 아직 공개되지 않은 다른 제조사 제품도 다수 포함된다. 기가바이트는 지난 6월 BIOS 업데이트를 통해 일부 메인보드에서 문제를 이미 수정했다. 그러나 문제는 다른 PC 상당수는 이미 단종되었거나 서비스 지원이 종료돼 앞으로도 UEFI/BIOS 업데이트가 제공되지 않을 가능성이 높다는 점이다. 말 그대로 해결책이 없는 심각한 보안 위험이 남아 있는 셈이다.

Gigabyte

기가바이트는 취약점이 발견된 시스템 중 어떤 칩셋 모델이 패치됐는지 명시한 보안 공지를 발표했다. 그러나 그중 절반가량은 이미 EOL(End Of Life) 상태로, 기가바이트는 해당 모델 사용자에게 “FAE(Field Application Engineer)에게 문의하라”라는 안내만 제공하고 있다. 참고로 FAE는 하드웨어 구매 및 설치 이후, 고도의 기술 지원을 제공하는 현장 기술 엔지니어로, 일종의 기술 영업 담당자에 가깝다. 쉽게 말해, 일반 사용자에게는 현실적인 지원책이라고 보기 어렵다.

소매점에서 기가바이트 메인보드를 직접 구매했거나, 기가바이트 메인보드가 탑재된 완제품 PC를 시스템 통합업체에서 구입했다면, FAE 같은 기술 담당자는 사실상 없다. 결국 기가바이트가 전하는 메시지는 행간을 읽어보면 새 메인보드, 혹은 새 컴퓨터를 구매하라는 의미다. 이 메시지는 일반 사용자뿐 아니라 기업 고객에게도 적용된다.
dl-itworldkorea@foundryco.com