암호 입력 단계에서 단순히 엔터 키만 누르면 암호화된 내용을 볼 수 있을뿐더러 사용자가 지정한 암호가 아닌 어떤 문자를 입력하던지 상관없이 암호화가 해제되는 취약점을 내포하고 있어, 이를 노린 해커의 표적이 될 수 있다고 라드바우드대 연구팀은 경고했다.
삼성전자와 마이크론 크루셜 SSD 일부에서 발견된 이 오류의 원인은 드라이브 암호화 키가 비밀번호에 제대로 결속되지 않아서다. 드라이브 암호화 과정에서 입력되는 비밀번호를 통해 암호화 키가 생성되고, 이 암호화 키가 있어야 드라이브 암호화 및 복호화가 가능하다. 그런데 암호화 키와 비밀번호를 연결하는 고리가 없는 제품이 이번 펌웨어 리버스 엔지니어링을 통해 발견된 것이다. 드라이브 암호화 및 복호화에 요구되는 정보(암호화 키와 비밀번호)가 고스란히 SSD 내에 저장되면서 암호가 제 기능을 못했다.
문제의 보안 취약점이 발견된 제품은 마이크론 크루셜 'MX100', 'MX200', 'MX300'과 삼성전자의 휴대용 모델인 'T3', 'T5' 또 2.5인치 타입의 '840 EVO', '850 EVO' 등 7개 모델이다. 다른 제조사 SSD의 경우에도 높음 내지 최대 같은 특정 보안 설정값에서 비슷한 취약점에 노출될 가능성이 있다고 대학 연구팀은 지적했다.
삼성전자는 이번 보안 취약점과 관련된 정보를 홈페이지에 공개하고 내장 SSD의 경우 시스템과 호환되는 베라크립트 같은 암호화 소프트웨어 설치를, 휴대용 SSD 제품은 펌웨어 업데이트를 권장했다.
마이크론 측은 크루셜 공식 커뮤니티를 통해 "마이크론은 현재 이 문제점을 인지하고 있다."면서 "MX100, MX200 두 모델은 펌웨어 업데이트를 마쳤고, MX300의 경우 11월 13일 업로드 예정"이라고 밝혔다. 실질적인 펌웨어 다운로드 및 패치 작업 여부는 13일 이후 알 수 있을 것으로 보인다.
제품 리뷰를 원하는 분은 sun@thegear.kr 로 문의주세요.
저작권자 © 더기어(TheGEAR) 무단전재 및 재배포 금지
[리뷰전문 유튜브 채널 더기어TV]
저작권자 © 더기어(TheGEAR) 무단전재 및 재배포 금지
이 기사를 공유합니다
ABOUT AUTHOR