정용환 기자
메인보드에 직접 감염시켜 운영체제 재설치나 HDD, SSD 교환 등 대처법을 무효화하는 멀웨어 문바운스(MoonBounce)가 발견됐다. 러시아 인터넷 보안 기업인 카스퍼스키랩(Kaspersky)에 따르면 문바운스는 중국 정부 계열 해커 집단인 APT41과 관련이 있다.
일반 컴퓨터 바이러스는 HDD, SSD의 EFI 시스템 파티션이라는 OS 부트 로더와 커널 이미지, 드라이버 등이 저장된 부트용 파티션에 감염된다. 하지만 새로 발견된 문바운스는 메인보드 메모리에 감염된다는 특징을 갖고 있다. 카스퍼스키랩에 따르면 메인보드 메모리에 감염되는 바이러스 유형은 로작스(LoJax), 모자이크리그레서(MosaicRegressor)에 이어 역사상 3번째 예다.
이런 특징 때문에 문바운스는 복잡한 절차를 거쳐 메인보드 메모리를 리셋하거나 메인보드 자체를 교체하지 않는 한 운영체제나 하드디스크를 아무리 바꿔도 남아 있다. 하드디스크 내에 흔적이 남지 않아 검출도 곤란하다.
카스퍼스키랩이 문바운스를 발견한 건 운송 서비스 기업 네트워크에서다. 이 네트워크상에서 발견된 다른 악성코드로부터 카스퍼스키랩은 중국 정부 관여가 의심되는 해커 집단 APT41 범행이라고 판단하고 있다.
카스퍼스키랩은 UEFI 펌웨어를 정기 업데이트하는 것 외에도 부트가드와 TPM 모듈 활성화를촉구하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
