악성 UEFI를 활용한 공격...지속성 확보에 도움 되고 탐지도 어렵지만 고난이도
북한의 외교 기관 및 관련 단체들 노린 악성 UEFI...중국의 해킹 그룹 윈티 의심돼

[보안뉴스 문가용 기자] 외교관들과 NGO들을 노리는 멀웨어 프레임워크인 모자익리그레서(MosaicRegressor)가 새롭게 발견됐다. 이를 발견하고 분석한 보안 업체 카스퍼스키(Kaspersky)에 의하면 중국의 해킹 그룹인 윈티(Winnti)의 흔적이 보인다고 한다. 또한 피해자들은 예외 없이 북한과 관련이 있는 조직들이었다는 것도 공개됐다.


공격자들이 멀웨어를 심기 위해 보낸 악성 이메일에는 SFX 압축 파일이 첨부되어 있었는데, 전부가 북한과 관련된 내용을 담고 있는 문서인 것처럼 위장되어 있었다. 압축 파일 내에는 진짜 문서들과 멀웨어가 심긴 문서들이 섞여 있었고, 피해자가 압축 파일을 열면 전부 자동으로 열리는 것으로 나타났다. 즉 진짜 문서들이 화면에 나타나 시선을 끄는 동안 뒤에서 악성 파일이 작동을 한다는 것이다.

카스퍼스키가 제일 먼저 발견한 건 악성 UEFI 펌웨어 이미지들이었다. 정상 UEFI 펌웨어에 몇 가지 악성 모듈이 첨가되어 있었던 것이다. “피해자의 시스템에 멀웨어를 드롭시키는 기능을 가진 모듈들이었고, 이 멀웨어를 추적해 보니 모자익리그레서라는 프레임워크가 나왔습니다.”

먼저 UEFI는 저준위 플랫폼 펌웨어의 운영과 구조를 담당하는 일종의 펌웨어로, OS 로딩과 같은 역할을 맡고 있다. 또한 OS가 이미 시작되어 운영되고 있을 땐 펌웨어 업데이트의 책임을 지기도 한다. 카스퍼스키는 “그래서 여기에 멀웨어를 저장하면 지속적인 공격을 할 수 있게 된다”고 설명한다. “고급 공격자라면 UEFI를 조작함으로써 악성코드를 안정적으로 실행시킬 방법을 찾게 되어 있습니다.”

분석을 심층적으로 진행하니 악성 펌웨어 이미지들에서 총 네 가지 요소들이 발견됐다.
1) DXE(드라이버 실행 환경) 드라이버 2개(Ntfs/SmmInterfaceBase)
2) UEFI 애플리케이션 2개
이 요소들 전부 2015년 해킹팀(HackingTeam) 유출 사건 당시 공개된 벡터EDK(VectorEDK) 소스코드에 기반을 두고 있는 것으로 밝혀졌다. 발동될 경우 악성 실행파일인 IntelUpdate.exe가 피해자의 시작 프로그램 폴더에 등록된다. 피해자가 윈도를 켤 때마다 멀웨어가 실행되도록 꾸민 것이다.

그러나 공격자들이 애초에 원 UEFI 펌웨어를 악성 UEFI 펌웨어로 바꿔치기하는 방법에 대해서는 아직 밝혀진 바가 없다. 카스퍼스키는 1) 물리적 접근과 악성 USB를 활용한 해킹, 2) 업데이트 과정에 개입하여 원격에서 해킹이라는 가능성을 염두에 두고 있다.

모자익리그레서 프레임워크
그러면 IntelUpdate.exe는 어떤 기능을 발휘할까? 실행될 경우 새로운 멀웨어를 언패킹하는데, 이는 일종의 다운로더로 이전까지 한 번도 발견된 적이 없는 것이라고 한다. 하지만 카스퍼스키는 코드 핑거프린트를 사용해 이 다운로더가 광범위한 모듈형 프레임워크인 모자익리그레서의 일부라는 것을 알아내는 데에 성공했다.

문제의 모자익리그레서 프레임워크는 “정찰과 데이터 수집을 목적으로 하고 있다”고 하며, “다운로더, 중간 로더, 공격 페이로드 등으로 구성되어 있다”고 한다. 다운로더는 주로 중간 로더들을 심는 역할을 하며, 중간 로더들은 실제 공격에 활용될 페이로드들을 가져와 피해자의 시스템에 심는다. 카스퍼스키는 현재까지 소수의 페이로드들만을 확보한 상태로, 아직 다른 것들이 더 있을 수 있다는 가능성을 염두에 두고 추적을 진행 중에 있다고 한다.

모자익리그레서는 모듈 방식으로 구성되어 있다. 그렇기 때문에 공격자들이 필요한 것만 골라 사용할 수 있고, 그렇기에 모자익리그레서라는 전체 프레임워크가 통으로 모습을 드러내는 경우가 드물다. 분석가와 보안 전문가들의 추적이 힘들어지게 된다. 공격도 맞춤형으로 진행할 수 있다.

이 모자익리그레서의 배후 세력으로 중국의 해커들이 꼽히고 있다. 그 이유는 다음과 같다.
1) 시스템 정보 로그 내 특정 문자열에서 유니코드 문자가 발견됐는데, 중국어와 한국어 코드 페이지를 번역한 것으로 보인다.
2) 샘플의 파일 중 일부의 언어 식별자가 2050(zh-CN)으로 맞춰져 있었다.
3) 중국 해커들이 즐겨 사용하는 OLE2 객체 빌더가 활용됐다.
4) C&C 주소 한 개가 과거 윈티 그룹의 공격 때 활용된 바 있다.

카스퍼스키는 “UEFI 펌웨어를 악성으로 변질시켜 공격한다는 건, 실제 현장에서 발견하기 매우 어렵고 힘든 것”이라며 “공격 실행 난이도도 높고, 탐지 난이도도 높기 때문”이라고 설명한다. 즉, 대단히 고급 기술과 넉넉한 자원을 가진 자들만이 할 수 있는 공격이라는 것이다. 윈티는 중국 정부의 지원을 받는 단체로 알려져 있다.

또한 카스퍼스키는 “앞으로 UEFI는 계속해서 APT 공격자들의 관심사가 될 것”이라고 경고하기도 했다. “공격이 어렵다는 것이 정설이었기 때문에 사실상 크게 관심이 없었던 분야입니다. 하지만 이번에 UEFI가 실제 공격에도 활용될 수 있다는 게 증명이 됐습니다. 앞으로 더 많은 공격자들이 이리로 눈길을 돌릴 겁니다.”

3줄 요약
1. 북한 외교 단체 및 인사들을 노린 해킹 캠페인 발견됨.
2. 악성 UEFI를 활용한 공격이라는 것이 가장 눈에 띄는 특징임.
3. 공격 배후에는 중국 정부가 있을 가능성이 매우 높아 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>