이미지 확대보기
악성코드를 처음 발견한 러시아 바이러스 백신업체 카스퍼스키랩에 따르면 모자익리그레서(MosaicRegressor)라는 이름의 이 악성코드는 시스템이 부팅될 때마다 스파이웨어를 떨어뜨려 데이터를 훔칠 수 있으며 UEFI 펌웨어에 상주한다. 악성코드는 중국 해커들에 의해 개발된 것이 거의 확실시된다.
OS 포맷 및 재설치는 하드 드라이브에만 영향을 미친다. UEFI는 마더보드의 인터페이스 플래시 메모리에 있으므로 하드 드라이브를 포맷하거나 교체하는 것조차 작동하지 않는다. 따라서 악성 프로그램이 UEFI를 감염시킬 경우 운영 체제를 다시 깔아도 생존할 수 있으며 바이러스 백신 도구에 의해 탐지되지 않을 수 있다.
카스퍼스키랩은 아프리카, 아시아, 유럽의 외교관, NGO 직원들에 대한 일련의 사이버 공격에서 이 악성코드를 처음 발견했다고 밝혔다. 랩 연구원은 모두 북한 관련 이슈를 다뤄본 경험이 있다. 카스퍼스키랩의 마크 레히티크, 이고르 쿠즈넷소프 등도 북한과 관련된 문서가 첨부된 피싱 e-메일로 피해자들이 표적이 된 사실을 몇 가지 사례로 파악했다.
레히티크는 “모자익리그레서는 우리가 아는 한 첩보 활동을 목적으로 하는 모듈형 프레임워크다. 대상 기관들은 외교 및 NGO의 계열에 있는 것으로 보였는데, 모두 대북 활동에서 어느 정도 유대를 보여주고 있다”고 밝혔다.
모자익리그레서는 시스템을 감염시키고 UEFI에 숨으면 다른 디바이스로의 전달을 위해 추가 다운로드 프로그램을 내려받는다. 페이로드들은 대부분 ‘최근 문서’의 파일을 훔쳐 C&C 서버에 업로드하는 스파이웨어다. 연구 과정에서 악성코드에는 중국 국영 해커그룹 윈티(Winnti)에서 이전에 발견된 C&C 서버 주소가 있다는 사실도 밝혀냈다. 중국 해커가 개발에 관여했다는 의미다. 일부 암호는 중국어로 되어 있었다.
레히티크 카스퍼스키랩 수석 보안연구원은 "모자익리그레서는 공공연하게 알려진 첫 사례로 해커는 외부에서 만들어진 악성 UEFI 펌웨어를 사용했다"고 말했다.
조민성 글로벌이코노믹 기자 mscho@g-enews.com
![[현장] AI컴퓨팅 전력소비 줄이기에 '사활'](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=184&h=118&m=1&simg=2024041917582903842edf69f862c1182354136.jpg)
![[유럽 증시] 이스라엘 이란 타격에 유럽 3개국 지수 '동반 하락'](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=80&h=60&m=1&simg=2024041720184501291a6e8311f6421814790164.jpg)
