이석원 기자UEFI는 기존 바이오스로 바뀌는 소프트웨어 인터페이스 사양으로 운영체제가 부팅하기 전에 변조되지 않았는지 확인하는 보안 부팅(Secure Boot)이라는 프로토콜이 규정되어 있다. 사이버 보안 기업인 ESET 연구팀은 해커가 윈도11 보안 보호를 우회해 멀웨어를 설치하고 취약한 PC를 완전히 제어할 수 있다는 블랙로터스(BlackLotus)라는 부트 키트를 5,000달러에 판매하고 있다고 보고했다.
연구팀은 블랙로터스라는 UEFI 부팅 키트가 보안에 중요한 기능인 UEFI 보안 부팅을 우회해 취약한 PC를 완전히 제어할 수 있다고 밝혔다. UEFI 보안 부팅(UEFI Secure Boot)은 시스템이 신뢰할 수 있는 소프트웨어와 펌웨어로만 부팅되도록 설계된 프로토콜. 운영체제 부팅 전 멀웨어 실행으로 인한 감염과 악성 운영체제 로딩을 방지할 수 있지만 블랙로터스는 컴퓨터 부팅 프로세스에 감염되어 이 보안 부팅을 무시하는 멀웨어라고 한다.
블랙로터스는 2021년 12월 발견된 보안 취약점 CVE-2022-21894를 악용해 UEFI 보안 부팅 프로세스를 우회하고 대상 PC에 대한 지속성을 확립한다. 마이크로소프트는 2022년 1월 이 취약점에 대한 수정 패치를 발표했지만 ESET에 따르면 영향을 받는 바이너리가 UEFI 해지 목록에 추가되지 않았기 때문에 해커는 여전히 이 취약점을 악용할 수 있다고 밝히고 있다.
블랙로터스에 감염되면 운영체제 보안 보호 기능(BitLocker, HVCI, Microsoft Defender)이 무효화되어 버리는 것으로 알려져 있다. 블랙로터스 주요 목적은 컴퓨터에 자체 커널 드라이버를 배포하고 잘못된 부트 키트를 제거하려는 보안 보호 기능으로부터 커널을 보호하는 것이다. 또 블랙로터스는 특정 사용자 모드와 커널 모드를 로딩할 수 있는 HTTP 다운로더를 배포한다.
ESET에 따르면 블랙로터스는 해커에 의해 2022년 10월경부터 5,000달러에 판매되고 있으며 정부에 대한 해킹이나 스파이 활동에 사용될 가능성이 지적되고 있다. 보도에 따르면 블랙로터스는 확실히 위험하지만 일반 해커는 이미 일반 사용자에 대한 악성코드를 보유하고 있다고 지적하기도 한다.
ESET는 블랙로터스를 비롯한 위협으로부터 운영체제와 PC를 보호하기 위해 시스템과 보안 소프트웨어를 최신 상태로 유지할 것을 권장하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
