2019년, 한 보안 연구원이 로지텍 Unifying 수신기에 관련된 세 가지 잠재적인 취약점을 로지텍에 알렸습니다. 로지텍은 그때부터 그와 소통하여 그의 주장을 평가하고 필요에 따라 문제를 해결했습니다.
먼저, 이러한 연구가 통제된 환경에서 실시되었다는 것을 알려드리고 싶습니다. 취약점에는 표적의 컴퓨터 또는 장치에 대한 근접성이나 물리적 접근뿐만 아니라 특별한 장비와 기술이 필요합니다.
자신의 개인 정보 보호에 대해 우려하는 사람이라면 아래의 자주 묻는 질문에 나온 컴퓨팅 보안 방법에 주목하고 이를 적용해야 합니다.
펌웨어 업데이트를 통해 취약점 중 하나가 해결되었습니다. 최신 버전은 여기에서 다운로드할 수 있습니다.
로지텍은 고객의 개인 정보 보호를 중요하게 생각하며, 이러한 발견은 제품을 지속적으로 개선하는 데 도움이 됩니다.
질문: 보안 연구원이 보고한 취약점은 무엇인가요?
답변: 세 가지 잠재적인 취약점이 보고되었습니다. 그중 두 가지는 로지텍 장치와 로지텍 Unifying USB 수신기 사이의 통신을 보호하는 암호화 키 추출과 관련됩니다. 세 번째는 장치와 USB 수신기 사이의 키 스트로크 인젝션 장벽 극복과 관련됩니다.
이를 복제하려는 사람은 전문 지식과 특수 장비가 필요하며 10m 범위 안에 있어야 합니다. 복제 시도자는 누군가가 Unifying 수신기에 장치를 다시 페어링하는 몇 초 사이를 노리거나 표적의 장치 또는 컴퓨터에 물리적으로 접근해야 합니다.
질문: 로지텍 제품 사용 시 개인 정보를 지키려면 어떻게 해야 하나요?
답변: 컴퓨터와 로지텍 제품 사용 시 기본적인 원칙을 적용하면 개인 정보를 보호할 수 있습니다.
우선 가장 중요한 것은 일반적인 사무실이나 가정 내의 상식적인 보안 방법을 따르고, 낯선 사람이 컴퓨터 또는 입력 장치에 접근하거나 손대지 않게 하는 것입니다.
두 번째로, 로지텍의 모든 Unifying 장치는 무선 수신기가 생산되었을 때 보안 페어링되며 그 후로 페어링이 필요하지 않습니다. 하지만 하나의 USB 수신기에 2~4번째 장치를 페어링할 수 있는 기능은 로지텍의 Unifying 무선 기술의 장점 중 하나이므로, 로지텍은 소프트웨어를 통해 이를 지원합니다. Unifying 수신기에 장치를 페어링해야 하는 경우, 그 과정에서 적절한 장비와 기술을 갖고 있으며 컴퓨터에 물리적으로 가까이 있는 해커가 암호화 키를 “알아챌” 수 있습니다. 따라서 이 간단한 절차는 10m/30피트 안에 수상한 활동이 없는 것이 확실한 경우에만 실시해야 합니다.
참고: 장치가 작동을 멈춘 경우, 이는 USB 수신기 페어링이 중단되었기 때문이 아닙니다. 따라서 문제 해결 시 다시 페어링할 필요가 없습니다.
질문: 이 보고 내용에 해당하는 로지텍 제품은 무엇인가요?
답변: 로지텍 Unifying 무선 프로토콜을 이용하는 마우스 및 키보드입니다. Unifying 제품은 무선 USB 수신기 위의 작은 주황색 로고로 식별할 수 있습니다. 6개의 돌출부를 가진 모양을 확인하세요. Spotlight 프레젠테이션 리모컨과 R500 프리젠터도 해당됩니다.
또한 로지텍의 Lightspeed 게이밍 제품 또한 암호화 키 추출 취약성 문제에 해당됩니다.
질문: 펌웨어 업그레이드 시 이를 예방할 수 있나요? 어떻게 해야 합니까?
답변: 취약점 중 두 가지(일명 CVE-2019-13053 및 CVE-2019-13052)는 공격자가 활용하기 어려우며 위의 컴퓨터 개인 정보 보호 가이드라인을 적용하는 것만으로도 효율적인 예방이 가능합니다. 다른 Unifying 장치의 상호 운용성에 부정적인 영향이 발생할 수 있기 때문에 로지텍은 펌웨어 업데이트로 이를 해결하지 않을 것입니다.
하지만 로지텍은 보안을 아주 중요하게 생각하며, 로지텍의 고객이 무선 Unifying USB 수신기를 최신 펌웨어로 업데이트하는 것을 권장합니다. 2019년 8월에 릴리스된 펌웨어 업데이트로 세 번째 취약점(일명 CVE-2019-13054/55)을 해결할 수 있습니다. 여기에서 최신 펌웨어 버전을 다운로드하세요.
PC & Mac 사용자: 여기에서 간단한 업데이트 도구를 다운로드할 수 있습니다.
Linux 사용자: Linux 벤더 펌웨어 서비스(https://fwupd.org/)를 통해 업데이트된 펌웨어를 배포할 예정입니다.
기업 고객은 다음 주소에서 PC용 중앙 배포 도구를 다운로드할 수 있습니다.
스크립트 DFU 도구 다운로드
FAQ(자주 묻는 질문)
이 섹션에 사용할 수있는 제품이 없습니다