운영체제 상호작용 불필요…BIOS/UEFI 레벨서 직접 구동
EDR·백신 솔루션 무력화...모든 하드웨어서 동일 작동
카즈키 마츠오 FFRI 시큐리티 연구원, Shade BIOS 시연 및 탐지 방법 공유 예정

[보안뉴스 여이레 기자] 8월 2일부터 7일(현지시간)까지 미국 라스베이거스에서 열리는 ‘블랙햇 2025’가 개막한 가운데 운영체제 없이 작동하는 악성코드 ‘Shade BIOS’가 새롭게 소개될 예정이다. 강연자는 일본 사이버 보안 전문 기업 FFRI 시큐리티의 보안 연구원 카즈키 마츠오로 지난해에 이어 올해 또 한번 블랙햇 연단에 오른다.


[자료: 블랙햇 2025]

Shade BIOS는 기존의 통합 확장 펌웨어 인터페이스(UEFI) 루트킷이나 부트킷과는 근본적으로 다른 접근 방식을 사용한다. 가장 큰 특징은 운영체제와의 상호작용이 전혀 필요하지 않다는 점이다.

전통적인 악성코드가 운영체제에 의존해 작동하는 것과 달리, Shade BIOS는 BIOS/UEFI 레벨에서 직접 구동된다. 이로 인해 운영체제 기반의 기존 보안 솔루션으로는 탐지가 거의 불가능한 것으로 분석된다.

Shade BIOS 기법은 OS가 부팅된 후에도 머신이 BIOS를 메모리에 유지하도록 하고, 그 이후에도 올바르게 작동하도록 한다. 이 기법은 시스템 부팅 과정에서부터 활성화되며 하드웨어 레벨에서 지속성을 확보해 일반적인 방법으로는 제거가 어렵다는 점에서 기존 위협과 차별화된다.

특히 UEFI는 산업 표준이므로 Shade BIOS 악성코드는 PC, 서버, 메인보드 등 어떤 하드웨어에서도 동일하게 작동할 수 있다. 결국 플랫폼을 넘을 뿐 아니라 하드웨어를 넘나들 수 있다.

Shade BIOS는 운영체제 기반 백신이나 엔드포인트 탐지 및 대응(EDR) 솔루션까지 무력화시킬 수 있다.

이번 행사에서 마츠오는 Shade BIOS를 찾을 수 있는 오픈 소스 도구 ‘Kraftdinner’ 사용법을 시연할 예정이다.

마츠오는 “UEFI 위협은 보통 국가 안보 차원을 벗어나서는 크게 유행하지 않는다”며 “일반 기업에서는 Shade BIOS와 같은 악성코드가 흔치 않다”고 전했다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>