Home > 전체기사

UEFI 펌웨어에 숨어 있는 새 멀웨어, 문바운스 발견돼

  |  입력 : 2022-01-21 16:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
OS가 켜지기도 전에 발동되는 멀웨어가 발견됐다. UEFI 펌웨어에 숨어 있기 때문에 OS보다 먼저 실행되며, OS의 소프트웨어로는 잡기가 힘들다. 이 교묘하고 수준 높은 공격의 배후에는 중국 해커들이 있는 것으로 추정된다.

[보안뉴스 문가용 기자] 펌웨어 기반의 룻키트는 해킹 도구로서 그리 보편화 되어 있지는 않다. 하지만 인기가 분명히 오르고는 있다. 피해자 입장에서 탐지가 쉽지 않고, 지우는 것도 쉽지 않으며, 따라서 공격자가 공격을 상당 기간 지속할 수 있기 때문이다. 공격의 난이도가 높은 만큼 얻는 것 또한 많다.

[이미지 = utoimage]


보안 업체 카스퍼스키(Kaspersky)는 최근 UEFI 펌웨어 깊숙한 곳에 숨겨진 위협을 하나 발견했다. 이 위협은 일종의 임플란트로, 이름은 문바운스(MoonBounce)라고 한다. 감염된 컴퓨터의 머더보드 내 SPI 플래시 스토리지에서 기능을 발휘하기 때문에 하드디스크에 흔적이 남지 않는다. 그러니 피해자가 뭔가 이상한 걸 눈치 채고 하드디스크를 포맷해도 사라지지 않는다.

문바운스는 플래시 스토리지에 숨어 있다가 멀웨어를 추가로 설치 및 작동시키는 기능을 가지고 있다. 카스퍼스키는 이러한 상황과, 문바운스가 실제로 다운로드 한 추가 악성 멀웨어들을 분석했을 때 APT41 혹은 윈티(Winnti)라고 하는 중국 해킹 그룹이 배후에 있을 가능성이 매우 높다는 결론을 얻었다고 한다. 카스퍼스키가 이 캠페인을 발견하고 피해 당사자들에게 사실을 알린 건 2021년 말의 일이었다.

“일단 처음에는 저희 고객들에게만 이 캠페인에 대해 알렸습니다만, 추적을 계속 진행하면서 대중에게 공개가 되어야 할 문제라는 데에 의견이 모아졌습니다.” 카스퍼스키의 연구 및 분석 팀의 마크 레흐틱(Mark Lechtik)의 설명이다. “보안 담당자들이 UEFI 펌웨어를 겨냥한 공격에 대해 좀 더 상세히 알 필요가 있다고 생각했기 때문입니다. 이런 공격이 점점 늘어나고 있거든요.”

UEFI 펌웨어는 컴퓨터 시동이 걸리고 OS가 부팅될 때 사용되는 요소다. 컴퓨터는 이 펌웨어에 저장된 정보를 사용해 OS를 활성화시키는데, 펌웨어에 누군가 미리 악성 코드를 주입해 둔다면 OS가 부팅되기 전에 해당 코드가 실행될 수 있다. OS보다 먼저 발동되는 악성 코드는 공격자들에게 있어 커다란 힘이 된다. OS에 설치된 보안 솔루션으로는 탐지가 안 되고(대부분의 솔루션은 OS에 설치된다), 따라서 은밀한 공격을 긴 기간 이어갈 수 있기 때문이다.

펌웨어를 겨냥한 룻키트를 제일 먼저 발견한 건 보안 업체 이셋(ESET)이다. 2018년의 일이었고, 이 룻키트의 이름은 로잭스(LoJax)였다. 문바운스와 마찬가지로 로잭스도 UEFI 펌웨어 내 SPI 플래시 스토리지에 숨어 있었다. 당시 로잭스는 러시아의 APT 단체인 세드닛(Sednit)이 동유럽의 정부 기관들을 공격하는 데 사용되고 있었다.

그 후 로잭스와 비슷한 룻키트가 하나 둘 출현하기 시작했다. SPI 플래시 내에서 작동하는 악성 임플란트로는 문바운스가 세 번째다. 물론 아직 발견되지 않은 룻키트가 더 있을 가능성도 배제할 수는 없다. 참고로 문바우스 전에 나타난 건 위에서 언급한 로잭스와 모자이크리그레서(MosaicRegressor)다. 후자는 카스퍼스키가 2020년 발견했다. 모자이크리그레서도 정부 기관을 공격하는 데 주로 사용됐는데, 아시아, 유럽, 아프리카의 외교 조직들이 주요 표적이었다.

SPI 플래시 드라이브가 아니라 EFI 시스템 파티션(ESP)이라고 불리는 부분에 탑재된 UEFI 요소들 속에 숨겨진 멀웨어도 존재한다. 이 ESP는 주로 컴퓨터 하드드라이브에 위치해 있다. ESP에 숨겨진 멀웨어 혹은 룻키트의 예로는 핀스파이(FinSpy)가 있다. 고도의 난독화 기술이 적용된 멀웨어로, 지난 9월에 카스퍼스키가 발견했다. 10월에는 이셋이 이에스펙터(ESPectre)라는 두 번째 ESP 멀웨어를 발견하기도 했다.

현존하는 UEFI 펌웨어 멀웨어가 크게 두 종류로 나뉜다는 뜻인데, 전문가들에 의하면 ESP에 숨어 있는 멀웨어보다 SPI 플래시를 공략한 멀웨어가 탐지하기 훨씬 어렵다고 한다. 하드디스크에 파일이 남느냐 안 남느냐가 결정적인 차이로 작용한다. 게다가 이 차이 때문에 제거 난이도도 달라진다. ESP 멀웨어는 하드드라이브 포맷으로 삭제가 가능하다고 한다.

순수하게 임플란트로만 봤을 때, 로잭스와 모자이크리그레서에 비해 문바운스는 훨씬 수준이 높다고 한다. 부팅 과정을 메모리 내에서만 변경시키기 때문이다. “멀웨어가 OS 내에서 활성화될 만큼만 부팅 시퀀스를 바꿉니다. 그런 미묘함 때문에 탐지는 더더욱 어려운 일이 되죠. 확실히 이전 UEFI 멀웨어보다 수준이 높아졌습니다.”

UEFI 멀웨어로 실제 공격 캠페인을 벌였다는 건 APT41이 UEFI 부팅 시퀀스에 대해서만이 아니라, 이 UEFI 펌웨어를 각 제조사 및 개발사들마다 어떤 방식과 특성을 가지고 자신들의 제품에 구축하는지에 대해서도 높은 이해도를 가지고 있다는 것을 뜻한다고 레흐틱은 설명한다. 거기에다가 펌웨어가 설치될 하드웨어에 대한 이해도도 상당 수준에 이르렀을 거라는 것도 쉽게 추측이 가능하다.

펌웨어를 겨냥한 공격은 꾸준히 증가하고 있다. 2021년의 조사에 의하면 83%의 조직들이 최소 한 번 이상의 펌웨어 공격에 당한 적이 있다고 한다. 이 때문에 칩셋 제조사들과 하드웨어 및 OS 제조사들의 제품 설계와 기획을 바꾸기도 했을 정도다. 그러면서 등장한 것 중 대표적인 것이 ‘시큐어부트(Secure Boot)’이다. 컴퓨터가 신뢰할 수 있는 요소들만으로 OS 부팅을 완료하도록 하는 것을 말한다. 인텔의 ‘부트가드(Boot Guard)’도 대표적인 사례 중 하나다.

하지만 문바운스와 같은 멀웨어가 펌웨어에 숨어 있다면 시큐어부트 같은 보안 기능은 무용지물이 된다고 레흐틱은 설명한다. “기존의 시큐어부트는 부팅이 진행될 때 펌웨어 레벨의 요소들까지도 검사하고 승인하지 않습니다. 문바운스는 설명한 것처럼 미묘한 변경만 조금 가하는데, 그렇기 때문에 시큐어부트에서 검사하는 요소들을 전혀 건드리지 않습니다.” 하지만 부트가드와 TPM 모듈(하드웨어 보안 모듈 중 하나)로는 문바운스를 탐지하는 게 가능하다고 레흐틱은 덧붙였다.

3줄 요약
1. 문바운스, 새롭게 발견된 UEFI 펌웨어용 멀웨어.
2. UEFI 펌웨어를 공략했을 때 공격자가 얻는 이득이 상당히 큼.
3. 펌웨어 직접 노리는 공격자들의 움직임 점점 증가하는 추세.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)