
보안 연구원들이 Linux 기기의 부팅 과정을 감염시킬 수 있는 드문 악성코드를 발견했습니다. 이는 탐지와 제거를 더욱 어렵게 만듭니다.
이 악성코드는 부트킷(bootkit)으로 알려져 있으며, 운영 체제가 로드되기 전에 컴퓨터의 부팅 과정을 감염시키도록 설계되었습니다. 최근 몇 년 동안 보안 연구원들은 PC 부팅 시 사용하는 UEFI를 통해 Windows OS를 겨냥한 부트킷을 발견해 왔습니다.
그러나 이번 수요일, 안티바이러스 제공업체 ESET는 Linux Ubuntu 기기를 대상으로 한 부트킷을 발견했다고 밝혔습니다. 'Bootkitty'로 명명된 이 공격은 Linux의 보안 기능을 비활성화하도록 설계되었으며, 이는 소프트웨어가 변조되지 않았음을 확인하는 역할을 합니다. 이후 시스템 시작 과정에서 두 개의 알 수 없는 실행 파일을 사전 로드하려고 시도합니다.
ESET는 "Bootkitty는 기기의 부팅 과정을 장악하고 운영 체제가 시작되기 전에 악성코드를 실행시켜 공격자가 감염된 기기를 완전히 제어할 수 있도록 한다"고 덧붙였습니다.
ESET는 이달 초 누군가(아마도 개발자)가 VirusTotal에 수상한 파일을 업로드한 것을 통해 Bootkitty를 발견했습니다. VirusTotal은 파일에서 악성코드를 탐지하기 위해 여러 안티바이러스 엔진을 사용하는 온라인 서비스입니다.
다행히도 Bootkitty는 실제 Linux 기기를 성공적으로 감염시킬 수 있는 완전한 공격이 아니라 개념 증명 수준인 것으로 보입니다. 예를 들어, Bootkitty는 기본적으로 UEFI Secure Boot가 활성화된 Linux 기기에서는 실행되지 않습니다. 이 악성코드는 신뢰할 수 있는 서명 기관이 아닌 제작자가 자체 서명한 소프트웨어 인증서를 사용하기 때문입니다.
또한, Bootkitty는 소수의 특정 Linux 설정에서만 완전히 작동할 수 있습니다. ESET는 현재까지 Bootkitty가 실제로 Linux 기기를 감염시킨 증거를 발견하지 못했습니다.
ESET는 "그렇긴 하지만, UEFI 부트킷이 더 이상 Windows 시스템에만 국한되지 않는다는 중요한 메시지를 보여줍니다"라고 강조했습니다.
공격자가 부트킷을 어떻게 유포할지는 불분명하지만, ESET는 "운영 체제를 재설치하면 Bootkitty 부트킷을 시스템에서 효과적으로 제거할 수 있다"고 언급했습니다. ESET의 보안 연구원 Martin Smolár는 또한 다음과 같이 조언했습니다. "이러한 위협으로부터 Linux 시스템을 보호하려면, UEFI Secure Boot가 활성화되어 있는지 확인하고, 시스템 펌웨어, 보안 소프트웨어, 운영 체제, 그리고 UEFI revocations list를 최신 상태로 유지해야 합니다."
※ 퀘이사존 공식 기사가 아닌 해외 뉴스/기사를 번역한 것으로, 퀘이사존 견해와 주관은 포함되어 있지 않습니다. |