by ANDY GREENBURG, WIRED US

지난 두 달 동안, 트릭봇(TrickBot)으로 알려진 사이버 범죄 통제 봇넷은 사이버 보안 커뮤니티의 공공의 적 1위가 되었다. 그것은 보안 회사들의 슈퍼 그룹인 마이크로소프트와 심지어 미국 사이버 사령부의 분해 시도에도 불구하고 살아남았다. 이제 트릭봇 뒤에 있는 해커들은 감염된 기계들의 가장 깊은 곳을 감염시키기 위한 새로운 기술을 시도하고 있는 것으로 보인다. 그들의 운영 체제를 넘어 펌웨어에까지 도달하려고 한다.

보안 회사인 애드인텔(AdvIntel)과 에클립스움(Eclypsium)은 오늘 트릭봇 해커들이 기계를 감염시키기 위해 사용하는 트로이 목마(악성코드)의 새로운 구성요소를 발견했다고 발표했다. 이전에 발견되지 않은 모듈은 해커가 장치의 운영 체제를 부팅할 때 로딩하는 역할을 하는 통일 확장 펌웨어 인터페이스(Unified Extensible Firmware Interface)로 알려진 심층 코드에 불법적인 수단을 심을 수 있는 취약성을 공격 대상 컴퓨터에 검사한다. UEFI는 하드 드라이브 외부의 컴퓨터 마더보드의 칩 위에 위치하기 때문에 악성 코드를 심으면 트릭봇이 대부분의 바이러스 백신 탐지 및 소프트웨어 업데이트 또는 심지어 컴퓨터 운영 체제의 전체 삭제 및 재설치를 피할 수 있다. 마더보드를 교체해야 할 정도로 펌웨어를 손상시켜 대상 컴퓨터를 "브릭(작동이 안되는 상태)"하는 데 사용할 수도 있다.

연구원들이 "트릭 부트(TrickBoot)"라고 부르는 트릭봇 운영자들이 이 기술을 사용하는 것은 해커 그룹이 UEFI 대상 악성코드로 야생에서 실험을 한 적은 물론 국가 지원을 받지 않은 첫 번째 그룹이라고 애드인텔의 사이버 보안 연구원이자 이 회사의 CEO인 비탈리 크뢰메즈(Vitali Kremez)가 말한다. 그러나 트릭부트는 뻔뻔한 범죄자들이 가진 교활한 새로운 도구도 보여주는데, 이 새로운 도구들은 이미 조직 내부에 랜섬웨어를 심고 도난에 초점을 둔 북한 해커들과 제휴하는 데 사용되어 왔다. 크레메즈는 "이 그룹은 시스템에서 매우 진보된 지속성을 얻고, 소프트웨어 업데이트에서 살아남으며 펌웨어의 핵심에 들어갈 수 있는 새로운 방법을 찾고 있다. 피해자 기계의 펌웨어를 성공적으로 뚫을 수 있다면 파괴부터 기본적으로 완전한 시스템 인수까지 가능성은 무궁무진하다."고 말했다.

트릭부트가 취약한 UEFI를 확인하는 동안 연구원들은 UEFI를 손상시킬 실제 코드를 아직 관찰하지 못했다. 크레메즈는 해커들이 특정 취약한 컴퓨터에만 펌웨어 해킹 페이로드(payload)를 다운로드 할 가능성이 높다고 보고 있다. 그는 "우리는 그들이 고부가 가치의 관심 대상들을 직접 골랐다고 생각한다."고 말했다.
 
일반적으로 러시아에 기반을 둔 것으로 여겨지는 트릭봇의 배후 해커들은 인터넷에서 가장 위험한 사이버 범죄 해커들 중 몇 명으로 명성을 얻었다. 최고조에 달한 그들의 봇넷은 100만 대 이상의 노예 기계들을 포함시켰고 병원과 의학 연구 시설을 포함한 수많은 희생자들의 네트워크 안에 류크(Ryuk)나 콘티(Conti)와 같은 랜섬웨어를 심는데 사용되었다. 이 봇넷은 10월에 두 개의 뚜렷한 작전이 그것을 붕괴시키려 할 정도로 위협적인 것으로 여겨졌다. 마이크로소프트, ESET, 시만텍(Symantec), 루멘 테크놀로지스(Lumen technologies)등 기업 그룹이 수행한 한 회사는 법원 명령을 이용해 트릭봇이 미국 기반의 명령 및 제어 서버에 연결하지 못하도록 하려고 했다. 미국 사이버 사령부에 의한 또 다른 동시 작전은 본질적으로 봇넷을 해킹하여 트릭봇 운영자들로부터 그것들을 차단하기 위해 고안된 손상된 컴퓨터에 새로운 구성 파일을 보냈다. 보안업체 홀드 시큐리티(Hold Security)에 따르면, 해커들이 어느 정도까지 트릭봇을 재건했는지는 분명하지 않지만, 그 이후 그들은 새로운 컴퓨터를 손상시키거나 다른 해커들로부터 접근을 사들여 적어도 3만 명의 희생자를 수집에 추가했다.

에드인텔의 크레메즈는 두 번의 테이크다운 작업 시도 직후인 10월 말 악성코드의 샘플에서 모듈식 설계로 희생자의 컴퓨터에 새로운 구성요소를 즉시 다운로드할 수 있는 트릭봇의 새로운 펌웨어 중심적 기능에 주목하게 되었다. 그는 트릭봇의 운영자들이 그들의 악성코드가 보안 산업 전반에 걸쳐 악명이 높아졌음에도 불구하고 타겟 머신에서 살아남을 수 있는 발판을 마련하려는 시도의 일환일 수 있다고 믿는다. 크레메즈는 "전 세계가 지켜보고 있기 때문에 봇을 많이 잃었다. 그래서 그들의 악성코드는 은밀해야 하며, 우리는 그들이 이 모듈에 집중했다고 믿는다."라고 말했다.

크렘메즈는 새로운 코드가 펌웨어 간섭을 목적으로 하는 것이라고 판단한 후 펌웨어 및 마이크로아키텍처 보안 전문업체인 에클립시움과 모듈을 공유했다. 에클립시움의 분석가들은 크레메즈가 발견한 새로운 요소는 실제로 희생 PC의 펌웨어 자체를 바꾸는 것이 아니라 인텔 UEFI의 공통적인 취약성을 검사한다고 판단했다. 인텔의 UEFI 펌웨어를 구현하는 PC 제조업체들은 종종 그것이 조작되는 것을 막기 위해 고안된 코드에 특정 비트를 설정하지 않는다. 에클립시움은 구성 문제가 수천만 대 또는 수억 대의 PC에서 지속된다고 추정한다. 에클립시움 수석 연구원인 제시 마이클스(Jesse Michaels)는 "이들은 우리가 이 보다 더 침습적이거나 더 끈질긴 펌웨어 기반 공격을 할 수 있는 목표물을 찾고 식별할 수 있다. 그들의 구체적인 목표가 랜섬웨어, 브릭스 시스템일 수도 있는 이런 광범위한 캠페인에 가치 있는 것으로 보인다."라고 말했다.

에클립시움과 애드인텔은 트릭봇이 직접 관찰하지 않았음에도 불구하고 이미 일부 피해자들의 펌웨어를 변경했을 가능성이 높다고 주장한다. 마이클스는 컴퓨터의 UEFI를 저장하는 SPI 플래시 칩을 언급하면서 "플래시를 단순히 읽는 대신 플래시를 지우거나 플래시에 쓰는 것은 문자 그대로 1바이트 또는 1줄의 변화일 것"이라고 말한다.

잠재적인 트릭봇 희생자들에게, 그것의 펌웨어 해킹 기술을 퇴치하는 것은 종종 무시되는 취약한 컴퓨터 부품들에 새로운 주의를 필요로 할 것이다. 에클립시움과 애드인텔은 기업들이 PC의 펌웨어가 취약한지 여부를 확인하고, 공급업체가 새로운 코드를 사용할 수 있게 되면 펌웨어를 업데이트하고 가장 중요한 것은 탐지된 트릭봇 감염에 대한 대응의 일환으로 PC의 펌웨어에서 변조 여부를 점검할 것을 권고한다.

이전에는 CIA에서 러시아 팬시베어(Fancy Bear) 팀에 이르기까지 국영 해커들이 해커를 고용한 기업 해킹팀이 만든 펌웨어 스파이 도구를 재활용한 중국 그룹에 사용했던 펌웨어 해킹이 야생에 나타난 적이 있다. 그러나 에클립시움과 애드인텔은 트릭부트의 출현은 펌웨어 해킹이 표적형 국가 지원 공격에서 훨씬 덜 차별적이고 이익에 초점을 맞춘 범죄 해킹으로 이동하고 있다는 것을 의미한다고 주장한다. 그리고 이것은 엄청난 수의 잠재적인 피해자들이 PC의 펌웨어에 대해 경계하기 시작해야 한다는 것을 의미한다.

에클립시움 사이버보안 연구원인 스콧 스케퍼만(Scott Scheferman)은 "기업 환경에서는 이러한 모든 것을 가지고 있다. 향후 3개월 동안 트릭봇에 감염될 가능성이 매우 높다. 그러니 정말, 실제로 관심을 갖기 시작할 때이다."라고 말한다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 배효린 에디터)

<기사원문>
The internet's most notorious botnet has a new alarming trick