HP CEO: 프린터에서 타사 잉크를 차단하면 바이러스와 싸울 수 있습니다

지난 목요일, HP CEO 엔리케 로레스(Enrique Lores)는 사용자가 타사 잉크를 프린터에 장착할 때 프린터가 벽돌이 되는 논란의 여지가 있는 관행에 대해 언급했습니다. 그는 CNBC TV 와의 인터뷰에서 “우리는 카트리지에 바이러스가 포함될 수 있다는 것을 확인했습니다. 카트리지를 통해 [바이러스는] 프린터로 이동하고 [그런 다음] 프린터에서 네트워크로 이동할 수 있습니다.”

이 무서운 시나리오는 이번 달에 Dynamic Security 시스템에 대한 또 다른 소송으로 타격을 입은 HP가 이 시스템을 프린터에 배포하려고 고집하는 이유를 설명하는 데 도움이 될 수 있습니다.

Dynamic Security는 HP 칩이나 HP 전자 회로가 없는 잉크 카트리지가 설치된 경우 HP 프린터의 작동을 중지합니다. HP는 이러한 잉크 카트리지가 장착된 프린터의 인쇄를 차단하는 펌웨어 업데이트를 발표했으며 , 이로 인해 집단 소송 인증을 요구하는 위의 소송( PDF )이 발생했습니다. 소송은 HP 프린터 고객이 2022년 말과 2023년 초에 출시된 프린터 펌웨어 업데이트로 인해 프린터 기능이 작동하지 않을 수 있다는 사실을 알지 못했다고 주장합니다 . 소송에서는 HP가 HP 칩 없이 잉크 카트리지를 차단하는 프린터 업데이트를 발행하지 못하도록 금전적 손해 배상과 금지 명령을 구하고 있습니다.

하지만 해킹된 잉크 카트리지가 실제로 걱정해야 할 문제입니까?

조사를 위해 Ars Technica 수석 보안 편집자 Dan Goodin에게 문의했습니다. 그는 카트리지를 사용하여 프린터를 감염시킬 수 있는 실제 공격에 대해 전혀 알지 못했다고 말했습니다.

Goodin은 또한 Mastodon에게 질문을 던졌고 임베디드 장치 해킹에 대한 전문 지식을 갖춘 사이버 보안 전문가들은 확실히 회의적이었습니다.

Graham Sutherland/Polynomial on Mastodon의 또 다른 논평자는 잉크 카트리지에서 광범위하게 사용되는 플래시 메모리의 한 형태인 SPD(직렬 존재 감지) 전기적으로 지울 수 있는 프로그래밍 가능 읽기 전용 메모리(EEPROM)에 대해 다음과 같이 말했습니다.

나는 메모리 DIMM의 SPD EEPROM에 데이터를 숨기는 것(그리고 유사한 헛소리를 위해 마이크로컨트롤러로 교체하는 것)을 포함하여 정말로 이상한 하드웨어 작업을 본 적이 있고 수행했습니다. 실험실 환경은 물론이고 선택된 정치적 행위자가 아닌 기업이나 개인에게 영향을 미치는 모든 규모에서는 말할 것도 없습니다.

HP의 증거

당연히 Lores의 주장은 HP가 지원하는 연구에서 나온 것입니다. 이 회사의 버그 현상금 프로그램은 Bugcrowd의 연구원들에게 잉크 카트리지를 사이버 위협으로 사용할 수 있는지 확인하는 임무를 부여했습니다. HP는 프린터와 통신하는 데 사용되는 잉크 카트리지 마이크로컨트롤러 칩이 공격의 진입로가 될 수 있다고 주장했습니다.

연구 회사인 Actionable Intelligence의 2022년 기사 에 자세히 설명된 바와 같이 , 프로그램의 연구원은 타사 잉크 카트리지를 통해 프린터를 해킹하는 방법을 찾았습니다. 연구원은 HP 카트리지를 사용하여 동일한 해킹을 수행할 수 없는 것으로 알려졌습니다.

당시 HP의 인쇄 보안 수석 기술 전문가인 Shivaun Albright는 다음과 같이 말했습니다.

연구원은 카트리지와 프린터 사이의 직렬 인터페이스에서 취약점을 발견했습니다. 본질적으로 그들은 버퍼 오버플로를 발견했습니다. 여기서는 충분히 테스트하거나 검증하지 않았을 수 있는 인터페이스가 있고 해커가 해당 특정 버퍼의 경계를 넘어 메모리로 오버플로될 수 있었습니다. 그리고 이를 통해 장치에 코드를 삽입할 수 있는 기능이 제공됩니다.

Albright는 카트리지가 제거된 후에도 악성 코드가 “프린터 메모리에 남아 있었다”고 덧붙였습니다.

HP는 이러한 해킹이 실제로 발생했다는 증거가 없다는 점을 인정합니다. 그러나 타사 잉크 카트리지에 사용되는 칩은 재프로그래밍이 가능하기 때문에(Actionable Intelligence에 따르면 “코드는 현장에서 재설정 도구를 통해 바로 수정 가능”) 보안 수준이 낮다고 회사는 말합니다. 이 칩은 프로그래밍이 가능해 펌웨어 업데이트 후에도 프린터에서 계속 작동할 수 있다고 합니다.

HP는 또한 특히 ISO/IEC 인증을 받은 자체 공급망 보안과 비교하여 타사 잉크 회사의 공급망 보안에 의문을 제기합니다 .

따라서 HP는 카트리지를 해킹할 수 있는 이론적 방법을 찾았으며 회사가 이러한 위험을 식별하기 위해 버그 포상금을 발행하는 것이 합리적입니다. 그러나 이 위협에 대한 솔루션은 위협이 있을 수 있음을 보여주기 전에 발표되었습니다. HP는 2020년에 버그 바운티 프로그램에 잉크 카트리지 보안 교육을 추가했으며, 위 연구는 2022년에 발표되었습니다. HP는 표면적으로는 몇 년 후 존재한다는 것을 증명하려고 했던 문제를 해결하기 위해 2016년에 Dynamic Security를 ​​사용하기 시작했습니다.

또한 사이버 보안 전문가들은 Ars가 그러한 위협이 존재하더라도 일반적으로 유명 피해자를 표적으로 삼는 데 사용되는 높은 수준의 리소스와 기술이 필요하다고 말했습니다. 현실적으로 대다수의 개인 소비자와 기업은 잉크 카트리지가 자신의 컴퓨터를 해킹하는 데 사용되는 것에 대해 심각한 우려를 해서는 안 됩니다.