[보안] 리눅스 - 부트로더 보안

부트로더 보안: 시스템의 첫 번째 방어선

리눅스와 같은 운영체제는 컴퓨터를 시작할 때 여러 단계의 부팅 과정을 거치며 실행됩니다.

그 중 부트로더(bootloader)는 매우 중요한 역할을 합니다.

부트로더는 운영체제가 설치된 디스크에서 운영체제를 메모리에 로드하는 프로그램입니다.

따라서 부트로더가 제대로 보안되지 않으면 시스템 전체가 위험에 처할 수 있습니다.

 

이번 글에서는 부트로더의 역할과 보안의 중요성을 살펴보고, 부트로더가 리눅스 실행 과정에서 어떻게 작동하는지에 대해 알아보겠습니다.

---

부트로더의 역할과 리눅스 부팅 과정

리눅스 시스템이 부팅되기까지는 여러 단계가 존재하며, 부트로더는 이 과정에서 중요한 역할을 합니다.

리눅스 시스템의 부팅 과정을 단계별로 설명하면 다음과 같습니다.

1. 전원 ON: 사용자가 컴퓨터의 전원을 켜면 하드웨어가 초기화됩니다.
2. 하드웨어 초기화(BIOS): 하드웨어를 관리하는 BIOS(Basic Input/Output System)가 로드됩니다. BIOS는 하드웨어가 제대로 동작하는지 점검하고, 부트 가능한 장치를 찾습니다.
3. 부트로더 실행(GRUB): BIOS가 끝나면 GRUB(Grand Unified Bootloader)와 같은 부트로더가 실행됩니다. GRUB는 여러 운영체제 중 어떤 것을 부팅할지 선택하고, 선택된 운영체제를 메모리에 로드합니다.
4. 커널 실행: 부트로더가 선택한 커널이 실행됩니다. 커널은 운영체제의 핵심 부분으로, 하드웨어와 소프트웨어 간의 상호작용을 담당합니다.
5. Runlevel에 따른 프로그램 실행: 커널이 실행되면, 시스템의 런레벨(runlevel)에 따라 필요한 데몬과 서비스들이 실행됩니다.

---

부트로더 보안의 중요성

부트로더는 운영체제를 로드하는 첫 번째 단계이기 때문에, 부트로더가 손상되거나 공격을 받으면 시스템 전체가 위협받을 수 있습니다.

해커는 부트로더에 악성 코드를 삽입하여 커널을 수정하거나, 악의적인 운영체제를 로드함으로써 시스템을 장악할 수 있습니다.

부트로더 보안이 중요한 이유는 다음과 같습니다.

1. 운영체제 제어: 부트로더가 안전하지 않으면 해커는 부팅 과정에서 시스템을 장악할 수 있습니다. 이는 운영체제를 완전히 제어할 수 있다는 의미입니다.
2. 비인가 접근: 부트로더에 접근하여 비밀번호 없이도 시스템에 로그인할 수 있는 백도어를 만들 수 있습니다.
3. 데이터 유출: 부트로더를 통해 악성 코드를 주입하여 시스템 내 중요한 데이터를 유출할 수 있습니다.
4. 무결성 파괴: 시스템의 커널이나 주요 파일들을 변경하여 시스템의 무결성을 파괴할 수 있습니다.

이렇듯 부트로더의 보안은 시스템 보안의 첫 번째 단계이며, 이를 보호하지 않으면 나머지 보안 장치들이 무력해질 수 있습니다.

---

부트로더 보안을 강화하는 방법

부트로더 보안을 강화하는 방법은 여러 가지가 있으며, 대표적인 방법으로는 비밀번호 설정, 암호화, 디지털 서명 등을 들 수 있습니다.

1. 부트로더 비밀번호 설정

부트로더에 비밀번호를 설정하면, 부팅 시 비밀번호를 입력해야만 부트로더 메뉴에 접근할 수 있습니다. 이를 통해 부트로더를 무단으로 변경하는 것을 방지할 수 있습니다. GRUB에서는 다음과 같은 방법으로 비밀번호를 설정할 수 있습니다.

sudo grub2-setpassword

이 명령어를 통해 GRUB에 비밀번호를 설정하고, 부트로더에 접근하려는 시도 시 비밀번호 입력을 요구합니다.

2. 커널과 부트로더 파일의 암호화

부트로더가 커널을 로드할 때, 커널 파일을 암호화하여 외부 공격자가 이를 읽거나 수정하는 것을 방지할 수 있습니다.

이를 위해 리눅스에서는 LUKS(Linux Unified Key Setup)와 같은 암호화 기술을 사용할 수 있습니다.

3. 디지털 서명

부트로더와 커널 파일에 디지털 서명을 적용하면, 파일의 무결성을 검증할 수 있습니다.

서명이 올바르지 않은 경우 부팅이 중단되므로, 악성 코드가 삽입된 커널이 실행되는 것을 방지할 수 있습니다.

이를 위해 Secure Boot와 같은 기술을 사용할 수 있습니다.

4. Secure Boot 사용

Secure Boot는 UEFI(통합 확장 가능 펌웨어 인터페이스)의 기능으로, 부팅 시 부트로더와 운영체제에 디지털 서명을 요구하여 부팅 파일의 무결성을 보장합니다. Secure Boot가 활성화된 시스템은 서명되지 않은 부트로더나 커널을 실행하지 않습니다.

---

리눅스 실행 과정에서의 부트로더 역할

리눅스 실행 과정에서 부트로더는 BIOS와 커널 사이의 중요한 연결 고리입니다.

부트로더는 커널을 메모리에 로드하여 운영체제를 실행할 준비를 합니다.

부트로더가 없다면 운영체제가 실행되지 않으며, 시스템이 정상적으로 동작할 수 없습니다.

 

다음은 리눅스 부팅 과정에서 부트로더가 어떻게 실행되는지에 대한 세부 설명입니다.

1. BIOS 종료 후 부트로더 실행: BIOS가 하드웨어를 점검한 후 부트로더를 실행합니다.
2. GRUB 메뉴에서 운영체제 선택: GRUB와 같은 부트로더는 여러 운영체제를 지원하며, 사용자가 선택한 운영체제를 메모리에 로드합니다. 기본적으로 GRUB는 설정 파일(/boot/grub/grub.cfg)에 따라 부팅 항목을 설정합니다.
3. 커널 로드: 부트로더는 선택된 커널을 메모리에 로드하고, 커널이 시스템 하드웨어와 상호작용하여 시스템을 초기화합니다.
4. 시스템 데몬 실행: 커널이 초기화되면 런레벨(runlevel)에 따라 필요한 데몬과 서비스를 시작합니다. 이로써 시스템이 정상적으로 동작하게 됩니다.

---

부트로더와 리눅스 보안의 관계

부트로더는 리눅스 보안에서 매우 중요한 역할을 합니다.

부트로더가 공격을 당하면 시스템 전체가 위협받을 수 있기 때문에, 부트로더의 보안은 시스템 보안을 지키는 첫 번째 방어선이라고 할 수 있습니다.

비밀번호 설정, 파일 암호화, 디지털 서명과 같은 방법을 통해 부트로더 보안을 강화해야 하며,

특히 서버나 중요한 데이터를 다루는 시스템에서는 부트로더 보안 설정이 필수적입니다.

부트로더 보안이 제대로 이루어지면, 시스템이 안정적으로 운영되며 외부 공격으로부터 중요한 정보를 보호할 수 있습니다.

 

[상세] 부트로더 보안 설정하기

리눅스에서 가장 많이 사용되는 부트로더는 GRUB(GRand Unified Bootloader)이며, GRUB의 보안을 설정하는 방법은 비밀번호 설정, GRUB 설정 파일 보호, Secure Boot 활성화 등이 있습니다.

다음은 GRUB 부트로더 보안을 설정하는 주요 방법들을 상세하게 단계별로 설명한 것입니다.

 

1. GRUB에 비밀번호 설정하기

GRUB에 비밀번호를 설정하면, 부팅 시 부트로더 메뉴를 수정하거나 운영체제 선택을 하려는 시도 시 비밀번호를 입력해야만 가능합니다. 이는 악의적인 사용자가 부트로더를 변경하여 시스템에 접근하는 것을 방지하는 기본적인 보안 설정입니다.

단계별 설정 방법:

1) grub2-mkpasswd-pbkdf2 명령어를 사용하여 비밀번호 해시 생성

GRUB에 사용할 비밀번호를 해시 형태로 생성합니다.

sudo grub2-mkpasswd-pbkdf2

명령어를 실행하면 비밀번호를 입력하라는 메시지가 나타납니다.

비밀번호를 입력하면, 비밀번호의 해시 값이 출력됩니다. 이 해시 값을 복사해 둡니다.

 

2) GRUB 설정 파일 편집

sudo nano /etc/grub.d/40_custom

파일 맨 위에 아래와 같이 비밀번호 설정을 추가합니다.

password_pbkdf2 뒤에는 사용자 이름과 이전에 생성한 비밀번호 해시를 입력합니다.

set superusers="root" password_pbkdf2 root 비밀번호_해시값

GRUB 설정 파일을 편집하여 해시된 비밀번호를 추가해야 합니다.

GRUB 설정 파일은 보통 /etc/grub.d/40_custom에 위치합니다.

 

3) GRUB 설정 업데이트

GRUB 설정 파일을 수정한 후에는 GRUB 설정을 다시 생성해야 합니다.

아래 명령어를 사용하여 변경사항을 반영합니다.

sudo grub2-mkconfig -o /boot/grub2/grub.cfg

 

4) 재부팅 후 비밀번호 확인

시스템을 재부팅한 후, GRUB 메뉴에 접근하려고 하면 비밀번호를 입력하라는 메시지가 나타날 것입니다.

---

2. GRUB 설정 파일 보호하기

GRUB 설정 파일은 /boot/grub2/grub.cfg에 저장됩니다. 이 파일이 무단으로 수정되지 않도록 권한을 제한하는 것이 중요합니다.

기본적으로 이 파일은 root 사용자만 수정할 수 있도록 설정되어 있어야 합니다.

설정 방법:

1) 파일 권한 확인 및 설정

이 명령어는 grub.cfg 파일의 읽기 및 쓰기 권한을 root 사용자에게만 허용하는 것입니다.

아래 명령어를 사용하여 grub.cfg 파일의 권한을 확인하고 root 사용자만 수정할 수 있도록 설정합니다.

sudo chmod 600 /boot/grub2/grub.cfg

 

 

2) 파일 소유권 확인 및 설정

파일의 소유자가 root인지 확인하고, 만약 root가 아닌 경우 아래 명령어로 소유권을 root로 변경할 수 있습니다.

sudo chown root:root /boot/grub2/grub.cfg

---

3. Secure Boot 활성화하기

Secure Boot는 UEFI(통합 확장 가능 펌웨어 인터페이스) 기능 중 하나로, 시스템 부팅 시 부트로더, 커널 등이 디지털 서명되었는지 확인하여 서명되지 않은 소프트웨어가 부팅되지 않도록 방지합니다. 이는 부트로더 보안을 강화하는 데 중요한 역할을 합니다.

단계별 설정 방법:

1) UEFI BIOS에서 Secure Boot 활성화

컴퓨터 부팅 시 F2, Del, F10 등 BIOS 설정으로 들어가는 키를 눌러 BIOS에 진입합니다.

BIOS 메뉴에서 Security 또는 Boot 섹션에서 Secure Boot를 활성화합니다.

설정 후 저장하고 종료하여 시스템을 재부팅합니다.

대부분의 컴퓨터는 BIOS 설정에서 Secure Boot 기능을 지원합니다.

먼저, 컴퓨터를 재부팅한 후 BIOS 설정에 진입하여 Secure Boot 옵션을 활성화합니다.

 

2) GRUB과 커널에 디지털 서명 적용이 작업은 복잡할 수 있으며, 다음과 같은 도구와 절차를 따릅니다:

- 커스텀 키 생성: sbsign와 같은 도구를 사용하여 GRUB과 커널에 서명합니다.

- 서명된 바이너리를 UEFI에 등록: mokutil 도구를 사용하여 서명된 키를 시스템에 등록합니다.

Secure Boot는 GRUB 부트로더와 리눅스 커널에 디지털 서명이 적용되어 있어야만 정상적으로 부팅을 허용합니다.

따라서, 커널과 GRUB에 서명을 적용해야 합니다.

 

4. LUKS 암호화를 통한 커널 및 파티션 보호

LUKS(Linux Unified Key Setup)는 리눅스에서 사용하는 디스크 암호화 방식으로, 부팅 시 커널과 관련된 데이터를 포함한 디스크 파티션을 암호화할 수 있습니다. 이를 통해 부트로더가 로드하는 파일들을 암호화하여 보호할 수 있습니다.

단계별 설정 방법:

1) LUKS 설치

대부분의 리눅스 배포판에서는 LUKS가 기본적으로 설치되어 있지만, 설치되지 않은 경우 아래 명령어로 설치할 수 있습니다.

sudo apt install cryptsetup

 

2) 디스크 파티션 암호화

경고 메시지가 뜨면 "YES"라고 입력하고, 암호를 설정합니다.

파티션을 선택하여 암호화를 진행할 수 있습니다. 아래 예시는 /dev/sda1 파티션을 암호화하는 과정입니다.

sudo cryptsetup luksFormat /dev/sda1

 

3) 암호화된 파티션 마운트

암호를 입력한 후에 파티션을 사용할 수 있게 됩니다.

암호화된 파티션을 마운트하려면 아래 명령어를 사용합니다.

sudo cryptsetup luksOpen /dev/sda1 encrypted_partition

 

5. GRUB 환경에서 lock 명령어 사용하기

GRUB 설정 파일에서 특정 메뉴 항목에 대해 lock 명령어를 추가하면, 해당 항목을 선택하려 할 때 비밀번호 입력을 요구합니다. 이를 통해 중요한 커널이나 복구 모드에 접근하려는 시도를 차단할 수 있습니다.

설정 방법:

1) GRUB 설정 파일 편집

원하는 메뉴 항목에 lock 명령을 추가합니다.

sudo nano /etc/grub.d/40_custom

아래와 같이 40_custom 파일을 편집하여 특정 메뉴 항목에 lock 명령을 추가합니다.

menuentry 'Ubuntu' { set root=(hd0,1) linux /vmlinuz root=/dev/sda1 initrd /initrd.img lock }

 

2) GRUB 설정 업데이트

편집이 끝난 후 GRUB 설정을 다시 적용합니다.

sudo grub2-mkconfig -o /boot/grub2/grub.cfg

이제 Ubuntu 항목을 선택하려고 할 때 비밀번호를 입력해야만 부팅이 가능합니다.