파괴형과 루트킷(RootKit)형으로 나눠져 다르게 동작하는 MBR 악성코드

[보안뉴스 민세아] 지난 8일자 본지 ‘감염시 PC 불가능한 MBR 악성코드 국내 유포!’ 기사에 의하면 MBR(Master Boot Record) 악성코드가 DBD(Drive-By-Download) 방식으로 유포돼 감염 PC를 먹통으로 만드는 사례가 있었다.


해당 악성코드에 감염될 경우 악성코드가 MBR을 변조해 부트킷을(BootKit) 심는다. 부트킷이란 하드디스크 부트 섹터를 감염시키는 악성코드를 말한다. 부트 섹터는 PC 부팅 시 가장 먼저 실행되는 부분이다. 이후 악성코드는 감염된 시스템을 재부팅 시키고, C&C(명령제어) 서버로부터 명령을 받아 움직인다.

MBR이란 컴퓨터가 부팅하는 데 필요한 정보를 저장하는 장소로, 처음 컴퓨터의 전원을 켜면 메모리가 MBR의 정보를 읽어와 OS(운영체제)를 띄운다. 때문에 MBR 영역이 훼손되면 컴퓨터가 정상적으로 부팅되지 않는다. MBR 악성코드는 크게 두 가지로 나뉘는데, 파괴형과 루트킷(RootKit) 형이 있다.

파괴형은 MBR 영역의 모든 값을 특정 문자나 랜덤한 쓰레기 값으로 덮어씌워 PC가 정상적으로 부팅될 수 없게 만든다. 루트킷형은 위의 경우처럼 부트킷 등으로 MBR 영역을 감염시켜 감염 PC 부팅시마다 악성코드를 동작시킨다. 루트킷 악성코드는 메모리, 커널, 파일 부트영역을 감염시키는데, 이 중 파일 부트영역을 감염시키는 루트킷을 부트킷이라고 부른다.

MBR 악성코드는 최근 몇년 새 많은 사건에 악용됐다. 지난 2014년 연말을 떠들썩하게 만들었던 소니픽처스 해킹 사건, 한수원 해킹사태, 그리고 2013년 3.20 사이버테러, 같은 해 발생한 6.25 사이버테러 등등. 그 중심에는 MBR 악성코드가 있었다.

전 세계적으로 주목을 받았던 소니픽처스 해킹 사건에서는 0XAAAAAAAA라는 특정 문자열을, 한수원 사태에서는 ‘Who Am I?’라는 문자열을, 국내 주요 방송사 및 금융사 전산망을 마비시킨 3.20 사이버테러에서는 PRINCPES, HASTATI 등의 특정 문자열을 반복적으로 MBR 영역에 덮어씌웠다. 이들은 모두 파괴형 MBR 악성코드였다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>