지난 몇 년 동안 랜섬웨어 위협은 지속적으로 진화했다. 브라우저 내에서 운영체제 부트로더로 활동 범위를 넓히는가 싶더니 컴퓨터의 하드웨어 구성 요소를 구동하는 저수준 펌웨어에서 동작하는 랜섬웨어도 등장했다.
올해 초 보안 업체 사일런스(Cylance)의 연구팀은 최신 바이오스인 마더보드의 UEFI(Unified Extensible Firmware Interface) 내부에서 실행되는 랜섬웨어 개념 증명을 시연했던 바 있다. 이 팀은 지난 31일 블랙 햇 아시아 보안 컨퍼런스에서 대만의 컴퓨터 제조업체인 기가바이트 테크놀로지의 초소형 PC 두 가지 모델의 펌웨어 취약점을 악용하는
랜섬웨어 공격법을 공개했다.
시연 모델은 기가바이트 미니PC 베어본(BRIX) 플랫폼인 GB-BSi7H-6500 및 GB-BXi7-5775이었다. 설명에 따르면 이들 모델의 UEFI에 내장된 랜섬웨어는 공격자가 OS에 접근 할 수 있는 저수준 소프트웨어를 실행할 수 있게 해준다. CPU의 특수 작동 모드인 SMM(System Management Mode)에서 권한을 상승시킴으로써 악의적인 코드를 실행할 수 있도록 하는 방법을 통해서다.
UEFI 취약점을 악용하는 공격법은 예전에도 소개된 바 있다. 이 공격 방법은 운영체제가 재설치될지라도 시스템을 다시 감염시킬 수 있기 때문에 공격자에게 그 유용성이 높다. 특히 UEFI 루트킷(다른 악성 코드 및 그 활동을 숨길 수 있는 악의적인 코드)는 사이버 공격이나 감시 작업에 이상적이다. 실제로 이탈리아의 감시 소프트웨어 업체인 해킹 팀(Hacking Team)은 여러 국가의 법 집행 기관과 정부 고객에게 UEFI 루트킷을 판매했던 것으로 알려졌다. 또 위키리크스가 최근 폭로한 문서에 따르면 미 CIA는 맥 컴퓨터에 UEFI ‘삽입물’을 보유하고 있었다.
한편 카네기 멜론 대학 (Carnegie Mellon University)의 CERT 코디네이션 센터에 따르면 기가바이트는 GB-BSi7H-6500 용 펌웨어 업데이트를 이달 중 배포할 예정이지만 GB-BXi7-5775 패치는 발표하지 않을 예정이다. 후자의 경우 제품 생명 주기가 이미 종료됐다는 판단에서다.
희소식도 있다. UEFI 취약점이 그리 범용적이지 않다는 점이다. 펌웨어/바이오스 공급 업체가 다수이며 이들이 컴퓨터 제조업체에 제공한 UEFI 레퍼런스는 각 제조사에 의해 변경되기 때문이다. 즉 현대 컴퓨터의 펌웨어에는 모델과 제조사에 따라 다양하게 파편화가 이뤄져 있는 상태다. 한 제조업체의 특정 마더보드 UEFI 취약점이 다른 업체의 제품은 물론 동일한 업체의 제품에서도 작동하지 않을 가능성이 높은 셈이다. ciokr@idg.co.kr