• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 생태계를 더 위험하게 만드는 골칫거리, 룻키트 2023.07.19

공격자들이 OS를 다양한 방법으로 공략하고 있다. 최근에는 룻키트라는 도구들도 적극 개발되는 중인데, 이 룻키트는 어려운 공격도 쉽게 만들어주는 것이라 대단히 위험하다. 룻키트 관련 동향을 적극 살펴서 방어 전략을 수립해야 한다.

[보안뉴스 문정후 기자] 최근 일부 공격자들이 악성 커널 드라이버들을 서명하는 방법을 개발했고, 이 덕분에 윈도 기반 시스템들에 다양한 방법으로 위협을 가할 수 있게 됐다. 보안 업체 트렌드마이크로(Trend Micro)의 위협 전문가 잠즈 야네자(Jamz Yaneza)는 “공격자들은 온갖 방법들을 동원하여 자신들을 진화시킬 줄 안다는 것이 다시 한 번 증명됐다”고 말한다.

[이미지 = gettyimagesbank]


“공격자들이 정상 인증서를 어떻게 해서든 취득하고서, 그것을 가지고 커널 드라이버를 서명합니다. 그렇게 하면 사실상 대부분의 방어 솔루션들을 무력화시킬 수 있거든요. 인증서와 서명이라는 기본적인 소프트웨어 무결성 확인 장치를 근간에서부터 흔들어놓는 것이며, 일종의 공급망 공격이라고도 볼 수 있습니다.” 야네자의 설명이다. iOS와 맥OS 생태계에서도 비슷한 시도가 있었지만 성공률이 그렇게 높지는 않다고도 야네자는 덧붙였다.

룻키트, 붓키트
트렌드마이크로의 조사 결과 중국의 해킹 단체들이 파이브시스(FiveSys)라는 룻키트의 배후에 있었고, 이 룻키트를 활용했을 때 공격자들은 코드 서명을 자유자재로 할 수 있었던 것으로 밝혀졌다. 최근에는 한 악성 다운로더를 활용하기 위한 목적으로 파이브시스를 통해 악성 드라이버에 서명하는 공격자들의 흔적이 발견되기도 했었다. 공격자들이 이렇게 빼앗아가거나 도용하고 있는 인증서와 서명은 아직도 유효한 것이 대부분으로, 원 발행인 측에서 폐지를 해야만 하는데 아직 그러지 못하고 있는 경우가 상당히 많은 것으로 조사되기도 했다.

서명과 인증서를 훔쳐서 멀웨어 공격에 활용하는 사례는 이전부터 꾸준히 있어 왔다. 2021년 10월에도 보안 업체 비트디펜더(Bitdefender)는 마이크로소프트의 서명을 활용하는 룻키트를 발견했다고 발표했었다. 당시의 룻키트 역시 파이브시스였다.

윈도 시큐어 부트(Windows Secure Boot)를 우회하는 룻키트도 최근 등장했었다. 이름은 블랙로터스(BlackLotus)였고, 개발자들이 다크웹에서 직접 광고하면서 세상에 알려졌다. 보안 업체 이셋(ESET)이 블랙로터스 샘플을 분석해 정말로 윈도 시큐어 부트를 우회하는 기능이 있음을 확인할 수 있었다. 이렇게 부팅 층위에까지 영향력을 미치는 룻키트는 붓키트(bootkit)라고도 불린다. OS가 로딩되기 전 부팅 단계에서 공격을 실시하는 건 꽤나 ‘고급 해킹 스킬’에 속한다. 하지만 이셋의 멀웨어 분석가 마틴 스몰라(Martin Smolar)는 “그 상식도 조금 있으면 뒤집어질 수 있다”고 경고한다.

“붓키트의 등장 때문이죠. 룻키트나 붓키트는 악성 행위를 쉽게 만들어주는 도구들입니다. 다크웹에서 돈만 주면 구할 수 있고, 이런 공격 도구 판매자들도 다크웹에서 적극 홍보하기 때문에 찾는 것도 어렵지 않습니다. 서명을 위조하거나 도용하게 해주는 룻키트, 부팅 단계에서부터 공격을 하게 해주는 붓키트가 출현하고 있다는 건 어려운 고급 공격이 보편화될 수 있다는 징조이며, 따라서 반드시 주목해야 할 흐름입니다.”

룻키트와 게임
그런데 현재까지 나타나는 룻키트의 활동은 게임과 어느 정도 연관성이 있는 것으로 보여 흥미롭다. 블랙로터스의 경우, 공격자들은 주로 게임 서버를 공략하는 데 활용했다. 또 다른 룻키트인 넷필터(NetFilter) 역시 게임들의 보안 장치들을 우회하기 위해 디지털 인증서를 악용하는 모습을 보였었다. “그렇다고 게임과 관련 없는 기업들이 마음을 놓을 수 있는 단계는 아닙니다. 어쩌면 현재까지 게임 업계에서만 이런 룻키트들이 발견된 것일 수도 있기 때문이죠.” 야네자의 설명이다.

“공격자들이 게임 산업을 노리는 데에는 이유가 있습니다. 합법 도박이라는 산업의 시장 규모는 2500억 달러라고 알려져 있습니다. 비디오 게임 산업은 4000억 달러를 넘고요. 공격자들이 가져갈 게 많다는 뜻이 되겠죠. 게임이나 도박이나 사기를 막기 위한 장치들을 다양하게 개발하고 활용하기도 하는데, 이 때문에 ‘우리는 안전하다’는 느낌을 잘못 심어주기도 합니다. 안전하다고 스스로 믿는 순간 뚫리기 좋은 표적이 되는데 말이죠.”

룻키트를 잡아내려면 성능 좋은 EDR 소프트웨어를 갖춰야 한다고 야네자는 말한다. “미리 방비하는 게 가장 좋은 방어법입니다. 룻키트는 일단 설치 되고 나면 커다란 골칫거리가 되거든요. 설치 후에는 제거나 방어도 까다롭습니다. 하지만 설치되는 걸 막지 못했을 때 필요한 것은 행동을 분석하여 수상한 것들을 찾아내는 탐지 기술입니다. 행동 기반 탐지 기술이 있어야 룻키트 이후의 공격들을 막을 수 있어요.”

글 : 로버트 레모스(Robert Lemos), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>