취약한 드라이버 사이버공격 '경보'

[중소기업투데이 조민혁 기자] 취약점을 가진 드라이버를 이용해 기업이나 공공기관 등을 공격하는 사이버공격이 극성을 부리고 있는 것으로 드러났다. 특히 합법적인 인증(서명)으로 가장한 수법이 날로 늘어나고 있어 각별한 주의가 요망된다는 주문이다.

28일 안랩 ASEC 분석팀에 따르면 ‘Bring Your Own Vulnerable Driver(이하 BYOVD) 기법’이 대표적이다. ‘BYOVD’는 합법적인 서명을 포함하고 있어 윈도우 운영체제에서 정상적으로 구동되지만, 사실은 취약점이 있는 드라이버를 활용해 공격 대상의 시스템에 접근 권한을 얻는 방식의 공격 기법을 뜻한다. 이 경우 악용되는 드라이버는 하드웨어 장치와 운영체제가 통신을 할 수 있도록 하는 소프트웨어 구성 요소가 대부분이다. 특히 프린터 사용을 위한 ‘프린터 드라이버’를 예로 들 수 있다.

공격자는 먼저 특정 소프트웨어에 보안패치가 적용되고 있지 않을 경우, 이를 노려, 피해 시스템에 백도어 악성코드를 설치한다. 이는 이름 그대로 ‘뒷문’을 의미하며, 공격자가 차후 공격을 수행할 목적으로(뒷문처럼 마음대로 드나들 수 있도록) 시스템에 설치하는 악성코드다. 그후 백도어 악성코드를 이용해 공격자의 목적 달성을 위해 필요한 ‘루트킷(Rootkit)’을 피해 시스템에 다운로드한다. 루트킷은 전반적인 시스템에 접근할 수 있는 핵심인 루트(Root) 권한을 쉽게 얻는 데 필요한 프로그램을 모아둔 키트(kit)로서, 공격에 필요한 다양한 리소스가 포함돼 있다.

안랩은 “이번 사례에서 보듯, 공격자는 해당 루트킷 속에 취약점을 포함하고 있지만 합법적으로 서명돼 윈도우에서 정상적으로 구동 가능한 특정 수입산 제품의 취약한 드라이버를 노리고 있다”고 밝혔다. 특히 악용되고 있는 해당 드라이버에는 제대로 된 검증 절차 없이도 OS의 커널(Kernel)에 접근할 수 있다는 취약점이 있었다. 커널(Kernel)은 컴퓨터 운영체제의 핵심이 되는 구성 요소로, 응용 프로그램 수행 및 운영체제 작동의 핵심적인 서비스를 제공한다. 공격자는 이 드라이버를 이용해 원래 읽고 쓰기가 불가능한 커널 데이터에 접근권한을 얻곤 한다.

이후 공격자는 시스템 필수 드라이버 파일을 제외한 모든 모니터링 시스템을 종료함으로써 다양한 보안 솔루션이 악성코드 행위를 추적할 수 있는 기능을 차단했다. 그후 보안이 무력화된 환경에서 정보를 탈취하거나, 랜섬웨어 감염 등의 추가 악성 행위를 수행한다. 매우 교활한 수법이라고 할 수 있다.

안랩은 이에 “현재 V3 및 지능형 위협 대응 솔루션 ‘안랩 MDS’는 현재 파일 및 행위 기반 진단 기능을 활용해 공격을 초도 단계에서 차단하고 있다.”면서 주의를 당부했다. 이같은 취약한 드라이버를 악용한 공격을 예방하기 위해 기업체나 기관의 보안담당자가 지켜야 할 수칙도 공개했다.

우선 ▲일반 사용자 환경에서는 드라이버를 실행(로드)할 수 없도록 보안 정책을 설정해야 하고 ▲공격 초도 단계 방어를 위해 백신 등 보안 솔루션을 사용하거나 업데이트해야 한다. 또한 ▲SW 보안 패치를 즉시 업데이트하는 등 보안 수칙을 준수할 것도 당부했다.

안랩 측은 “이번 BYOVD 기법을 활용한 사례에서 사용된 것과 유사한 (정상적으로 서명됐으나 취약점을 포함하고 있는) 드라이버가 더 많이 존재할 수 있다”며 “보안담당자는 기본 보안 수칙을 준수하는 한편, TI 서비스 등을 이용해 공격 기법의 변화를 파악해야 하며, 이를 바탕으로 조직에 필요한 보안 정책을 설정하고 구성원 보안 교육 등 다각도로 힘써야 한다”고 말했다.