본문 바로가기

새소식/Mac

맥 펌웨어 공격하고 자가 복제하는 '썬더스트라이크 2' 부트킷 등장

맥에 탑재된 썬더볼트 포트의 취약점을 이용한 새로운 '부트킷(BootKit)'이 등장해 애플 소식을 다루는 언론 매체들이 촉각을 곤두세우고 있습니다.

썬더볼트 주변기기를 연결하는 것만으로 부팅 영역에 악성코드를 주입할 수 있고, 이를 이용해 시스템을 장악할 수 있는 ‘썬더스트라이크(Thunderstrike) 2’라는 펌웨어 부트킷이 발견된 것입니다. 올초에도 일명 '썬더스트라이크'라는 제로데이 익스플로잇이 대중에 공개되면서 애플이 부랴부랴 패치를 내놓은 적이 있는데, 더욱 정교한 취약점을 이용한다는 점에서 한 단계 발전한 형태의 공격으로 여겨지고 있습니다.

다행히 이 부트킷은 해커가 만든 게 아니라 리버스 엔지니어링을 연구하는 보안 전문가 '트라멜 허드슨(Trammel Hudson)'이 제작한 것입니다. 썬더스트라이커 1 취약점을 구현한 인물이자, 캐논 DSLR 카메라를 위한 오픈소스 프로그램 '매직랜턴' 개발자로도 유명한데요. 한번의 패치가 있었음에도 OS X에 여전히 있는 남아있는 썬더볼트 취약점을 다시 한번 경고하기 위해 부트킷을 제작하고 이를 외부에 공개하게 됐다고 발표했습니다.

썬더스트라이크가 다른 보안 취약점에 비해 특히 위험한 점은 한번 설치되면 탐지하거나 삭제하기가 매우 어렵다는 것입니다.

안티 바이러스 같은 응용 프로그램이나 운영체제 보다도 상위 레이어에 있는 부트롬 영역을 조작하는 탓인데, 이 때문에 실제로 공격이 행해지더라도 사용자는 자신의 기기가 감염되었다는 사실조차 알치 못한 채 앉아서 당할 수밖에 없습니다. 더불어 아래와 같은 일련의 흐름을 거쳐 다른 맥으로 확산될 수 있는 능력까지 지니고 있습니다.

1. 첫 번째 맥에서 악성 코드가 심어져 있는 응용 프로그램 다운로드
2. 해당 앱을 실행하면 OS X 10.10.4 요세미티의 루트 권한 상승 취약점을 통해 부트롬 펌웨어의 쓰기 잠금을 해제
3. 첫 번째 맥의 부트롬 펌웨어에 악성코드 주입
4. 첫 번째 맥에 연결된 썬더볼트 장비의 Option ROM에 악성코드 주입
5. 악성코드에 감염된 썬더볼트 장비를 두 번째 맥에 연결
6. 맥이 S3(잠자기) 절전모드에서 복귀할 때 부트롬 펌웨어의 쓰기 잠금이 해제되는 취약점을 이용해 두 번째 맥에 악성코드 주입
7. 5~6번째 단계가 반복되면서 감염 확산

하드디스크가 부트롬 펌웨어로 바뀌었을 뿐 부트킷이 확산하는 과정이 바이러스와 다를 바 없습니다. 

한편, 애플도 이같은 취약점에 대해 인지하고 있는 것으로 알려졌습니다. 그러나 외신들은 가장 최근에 공개된 OS X 요세미티와 엘 캐피탠 베타 버전에도 부트킷 구동에 필요한 다수의 취약점이 존재하는 것으로 보아 완벽한 대응이 이뤄지기까지 다소의 시일이 걸릴 것으로 전망했습니다. 정확하게는 부트킷 구동에 필요한 5가지의 취약점 중에서 1개의 취약점만 완벽히 해결된 상태이고, 나머지 취약점은 아무런 대응이 이뤄지지 않았거나 부분적인 솔루션만 나온 상태라고 합니다.

부트킷 구현 방식이 외부에 공개된 만큼 이를 이용한 실제 공격이 등장할 것이라는 지적도 나오고 있는데요. 맥 플랫폼의 보안을 송두리째 위협할 수 있는 심각한 사안인 만큼, 애플이 조속히 대응책을 내놓길 기대합니다. 앞으로 썬더스트라이크 2와 관련된 소식이 있으면 블로그를 통해 또 전해드리겠습니다.



참조
Wired - Researchers Create First Firmware Worm That Attacks Macs /via MacRumors

관련 글
• 애플, OS X 요세미티 10.10.2 버전에서 '썬더스트라이크' 보안 취약점 수정