트렌드마이크로, MBR 삭제 악성코드 분석결과 발표
[보안뉴스 권 준] 최근 국내 주요 원전시설을 운영하는 한국수력원자력(이하 한수원)이 마스터 부트 레코드(이하 MBR)를 삭제하도록 설계된 악성코드에 감염되어 사회적 파장이 커지고 있다.

이와 관련해 글로벌 보안기업인 트렌드마이크로에서 해당 악성코드를 분석한 자료를 블로그를 통해 발표했다. 이번 악성코드는 한글 워드 프로세서(HWP) 취약점을 통해 감염됐으며, 한수원 임직원들이 악성 첨부파일을 실행하도록 하기 위한 다양한 사회공학적 공격 기법이 사용됐다. 아래 그림과 같이 공격은 임직원들에게 전송된 스피어피싱 이메일에서부터 시작됐으며 첨부파일 실행시 2가지 악성코드를 설치하는 방식으로 진행됐다.

▲ MBR 파괴 공격의 감염경로(출처: 트렌드마이크로 블로그)

이 악성코드의 진단명은 TROJ_WHAIM.A이며, 감염된 시스템의 MBR을 파괴한다. MBR 파괴 이외에도 감염된 시스템에서 특정 파일을 덮어쓰기 하는 기능과 감염된 시스템에서 악성코드를 서비스로 등록해 시스템이 재시작될 때마다 자동으로 실행되도록 하는 기능을 가지고 있다, 또한, 일반 윈도우 서비스에서 사용하는 파일명, 서비스명과 설명을 사용해 시스템의 서비스 목록을 봐도 특이사항을 쉽게 발견할 수 없도록 위장하고 있다.

▲ TROJ_WHAIM.A가 위장한 일반 서비스 목록    (출처: 트렌드마이크로 블로그)

MBR을 파괴하는 악성코드는 일반적이지는 않지만 이전에도 발견된 적이 있다. 과거에 발생한 유사한 공격으로는 2013년 3월 20일 국내 주요 방송·금융 6개사의 전산망 마비 사태가 발생한 3.20사이버테러 사건이 있으며, 이 공격에 사용된 악성코드는 PRINCPES, HASTATI, PR!NCPES 중 한 개의 문자를 사용하여 MBR을 덮어 썼다. 또한, 최근 발생한 소니픽처스 공격에서도 유사한 MBR 파괴 공격이 발생한 바 있다.

한수원 공격에 사용된 악성코드는 특정 문자열을 반복적으로 MBR에 덮어쓴다는 점에서 이전에 발견됐던 3가지 MBR 파괴 악성코드와 유사성을 가지고 있다. 한수원 공격에 사용된 악성코드는 ‘Who Am I?’ 그리고 소니픽처스 공격에 사용된 악성코드는 0XAAAAAAAA 패턴을 사용한 것으로 분석됐다.

이미 잘 알려졌듯이 소니픽처스에 대한 공격은 영화사가 제작한 영화 ‘인터뷰’로 인해 시작됐으며, 한수원에 대한 공격에도 원자력 발전소 운행을 중단하지 않으면 수많은 원전 관련 기밀문서를 공개하겠다는, 모든 원전 시설의 운영 중단을 요구하는 협박이 있었다. 현재 원자력 발전은 한국의 전체 전력 생산의 29%를 차지하고 있는 상황이다.

MBR 파괴 악성코드를 이용한 공격에는 많은 유사성이 있지만 관련 공격의 배후 역시 연관되어 있다고 단정하기는 어렵다는 게 트렌트마이크로 측의 설명이다. 명확한 증거가 없기 때문에 심증만 난무할 뿐 정확한 사실은 알 수 없지만, 여기에서 주목해야 할 점은 일부 공격자들 사이에서 MBR 파괴 공격이 새로운 무기가 되고 있다는 것이다. MBR 파괴 공격으로 인해 시스템 관리자들은 네트워크나 시스템 보안 외에도 공격으로 인한 피해를 최소화할 수 있는 다양한 기술에 대해서도 고민해야 한다고 트렌드마이크로 측은 밝혔다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>