안랩 "부팅 중 악성코드 유포, 치료도 어려워"

일반입력 :2012/09/20 19:34    수정: 2012/09/20 19:40

손경호 기자

PC 부팅 과정에서 악성코드를 실행하는 일명 '루트킷(Rootkit)' 공격에 대한 우려가 커졌다. 백신 탐지가 불가능해 예방이나 치료가 어렵다는 경고다.

20일 서울 삼성동 그랜드인터콘티넨탈 호텔에서 열린 '안랩코어 2012'에서 이상철 안랩 책임연구원은 최근 3~4년 사이에 이슈가 됐던 부트킷이 루트킷 공격으로 진화한데다, 최근 다양한 변종형태로 나오고 있다고 밝혔다.

루트킷은 PC 운영체제(OS)가 실행되기 전부터 공격이 이뤄진다. 백신이 작동할 시간이 없어 탐지나 치료가 어렵다. 때문에 최근 해커들 사이에 빠르게 번지는 해킹 방식 중 하나다.

루트킷은 부팅 중 특정 프로그램을 실행할 수 있는지 확인하기 위해 개발된 '부트킷(Bootkit)'이 진화한 것이다. 겉으로 보기엔 정상적인 윈도 실행파일인 것처럼 가장해 공격이 이뤄지므로 각별한 주의가 필요한 것으로 알려졌다.

이상철 연구원은 이날 직접 루트킷이 실행되는 과정을 설명하며 참관객들의 이해를 도왔다. 그에 따르면 루트킷은 크게 ▲스타터 ▲로더 ▲드라이버 ▲페이로드로 구분된다.

먼저 스타터는 말그대로 부팅 과정에서 악성코드를 주입하는 시작단계다. 마스터부트레코드(MBR)이 감염돼 하드디스크가 부팅관련 내용을 읽을 때 특정한 코드를 실행한다.

그 다음 로더 단계로 넘어가면 자신의 루트킷을 실행할 수 있도록 NT로더나 OS로더에 특정함수나 코드를 주입해 이 내용을 변조한다. 그 뒤에 루트킷 파일을 자연스럽게 로드한다.

세번째로 드라이버 단계는 부트킷에 포함된 루트킷이 실행되면서 자신을 은폐할 수 있는 데이터를 실행한다.

마지막으로는 페이로드로 사용자들이 사용하는 프로세스에 가짜 백신을 다운받거나 해당 PC를 좀비PC로 만든다. 또한 감염 시킨 후에는 반드시 재부팅해야 루트킷이 정상적으로 역할을 수행한다.

이 연구원은 복잡한 일련의 과정에 대해 쉽게 말하면 부팅이 될 때 악성코드를 실행시키고, 마치 악성코드 자체를 마치 정상적인 코드인 양 바꾸는 후킹 기능을 수행한다는 의미라고 설명했다.

문제는 현재 다양한 변종이 등장하고 있다는 점이다. 이 연구원은 러시아에서 꾸준히 루트킷을 만들면, 중국 해커들이 이를 사서 대량화한 뒤에 한국을 대상으로 공격을 시도한다고 말했다.

관련기사

그는 루트킷을 진단하고 치료할 수 있는 솔루션을 개발 중이나 코드 분석하는데만 2개월 이상이 걸릴 정도로 알아내는 일 자체가 어렵다고 말했다. 악성코드를 마치 정상적인 부팅용 코드인 것처럼 위장하는 후킹관련 부분을 제거하는 기술이 생각보다 어렵다는 설명이다.

이상철 연구원은 현재 안랩에서는 부트킷을 치료하기 위한 전용 백신프로그램을 개발 중이라며 내년 경에는 실제 제품을 볼 수 있을 것이라고 밝혔다.