보안전문업체 바이널리가 지난 주 영국 런던서 열린 보안 컨퍼런스 '블랙햇 유럽 2023'에서 PC 제조사들이 부팅 시 자사 로고가 나타나게 표시하는 펌웨어 코드 내에 숨은 보안 취약점 '로고페일(LogoFAIL)'이 발견되었다고 공개했습니다.
이 보안 취약점은 CVE-2023-5058로 분류되었는데 시큐어부터, 인텔 부트가드 등을 우회해 제조사의 로고 그림 파일 이외의 다른 파일을 PC에 불러 올 수 있는 문제가 있다고 하는군요.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5058
이 문제는 인사이드, AMI, 피닉스 테크놀로지스 등의 펌웨어 업체로부터 펌웨어를 제공 받아 PC에 탑재한 에이서, 인텔, 레노버 등 주요 메이저 글로벌 PC 제조사들이 모두 영향을 받는다고 합니다. 다시 말해 이건 PC 제조사들의 문제가 아니라 이들 펌웨어 제조사들의 로고 표시 코드 자체에 문제점이 있다는 이야기 입니다. 그러다보니 이를 가져다 이용하는 대부분의 업체들이 영향권에 있게 되는거죠.
이에 따라 이들 업체에서 해담 문제점을 수정한 펌웨어를 배포할 예정이라고 하는데 이거야 원 불안해서리 ...
그리고 이 문제는 인텔이나 AMD 같은 x86용 프로세서 탑재 PC는 물론이고 퀄컴의 스냅드래곤이나 미디어텍의 콤파니오 같은 Arm 기반 프로세서 PC에서도 모두 같은 영향을 받는다고 하니 참고하시기 바랍니다.
12월 6일 기준으로 이 문제에 영향을 받는 PC는 에이서가 139종이고, 인텔이 51종, 레노버가 241종 등 총 430여종에 달한다고 합니다. 주로 2021년까지 출시된 제품들이 이 문제의 영향권에 있다고 하니 참고하시기 바랍니다.
앞으로 이 문제와 관련된 제품들이 더 늘어날 가능성이 있다고 하니 관련 정보를 주의해 살펴보실 필요가 있으실거 같고 델은 영향이 없다는거 같네요.
대
포
