열세 번째 기사<감염시 PC 부팅 불가능한 MBR 악성코드 국내 유포!>

저도 드디어 취업을 하고 회사를 다니면서 적응기를 거치고 있습니다.

열심히 해서 제가 맡은 업무를 잘 소화해내고 그 이상의 개선점을 찾아낼 수 있기를 바라고 있습니다 :)

오랜만에 하나 올려보겠습니다.

오늘의 업로드 포멧도 동일합니다.

1. 기사는 링크를 건다.

2. 모르는 단어를 풀이한다.

3. 개인의 의견을 몇줄로 적는다.

---

*뉴스

[ 기사 링크 : http://www.boannews.com/media/view.asp?idx=49171&kind=1 ]

---

**모르는 단어

MBR(Master Boot Record)

마스터 부트 레코드 또는 파티션 섹터라고 명명하는데 이는 파티션된 기억장치(하드 디스크)의 첫 섹터인 512Byte의 시스템 기동용 영역입니다.

이 안에는 시스템 부팅에 쓰이는 부팅 코드와 디스크 고유의 서명 정보, 그리고 파티션에 대한 정보가 기록되어 있습니다.

MBR에 대한 위키 설명을 읽어보시면 개요부분을 빼고는 전 이해하기가 어렵습니다...

*MBR레코드를 가지고 예제와 함께 설명해준 블로그가 있어서 링크를 남깁니다. 조금 더 깊이 공부하시는 분은 이 블로그를 읽어보시면 좋겠네요.

(MBR 세부내용 : http://cappleblog.co.kr/590)

부트킷(Bootkit)

부트킷은 시스템에 설치된 OS로 제어권이 넘어오기 전에 디스크의 MBR 코드를 감염시켜 부트 제어 코드를 패치시키도록 하는 악성코드입니다.

PADOCON에서 발표한적이 있는 순천향대의 hakbaby분이 저 같이 초보자들도 쉽게 이해할 수 있도록 발표한 PPT가 있습니다.(잘 지내나ㅋㅋ) 그 내용을 차용해서 설명해보겠습니다.

두 종류가 있는데, 스미트닛 부트킷(Smitnyl Bootkit)과 파괴형 부트킷(Destroyer Bootkit)이 있습니다.

스미트닛 부트킷은 MBR을 패치하여 백신의 탐지를 벗어나고 드라이버를 생성하고 은닉하여 이를 통해 블랙 해커들이 원하는 악성코드를 로드할 수 있습니다.

현재는 각 백신회사에서 MBR을 보호하는 모듈을 제공하는 것으로 압니다.

(자세한 내용은 해당PPT를 찾아보시길 추천드립니다. 제가 설명드릴 정도의 수준은 아니네요ㅠ)

파괴형 부트킷은 MBR을 그냥 쓰레기값으로 덮어써버리는 부트킷입니다. 그러면 당연히 다음 부팅할땐 부팅이 되지 않습니다.

부팅코드, 서명, 파티션 정보를 읽을 수 없으니 당연 하드에 저장된 내용은 그대로지만 유저가 볼 수 있게 로딩이 불가능하게 됩니다.

파괴형 부트킷은  7.7DDoS 대란, 3.4DDoS사건, 3.20전산대란, 6.25 사건 등에서 쓰였습니다.

당시 은행이고 방송국이고 컴퓨터들이 마비가 되어서 온나라가 난리였던 기억이 납니다.

해당 부트킷은 감염된 이후 블랙 해커가 지정한 시간이 될때까지 기다렸다가 감염된PC의 OS버젼을 체크하고 MBR을 쓰레기값으로 덮어쓴다음 강제로 재부팅을 시킵니다.

감염사실을 일반 사용자가 알아채기도 어렵고 알아채더라도 이미 늦은상황이기 때문에 매우 무서운 악성코드라 할 수 있습니다.

예방 방법은 뭐 새로울 것도 없지만 잘 지켜지지 않는 '최신화'입니다.

백신의 최신화는 대부분의 사람들이 지키고 있지만,

윈도우 업데이트, 웹 브라우저 버젼, 애드온 애플리케이션 버젼(Adobe Flash 버젼, Java Runtime Environment, Acrobat Reader, Silverlight 등), 오피스 프로그램(한글, MS Office) 버젼의 최신화는 잘 안 하고 있습니다.

이들 회사는 항상 이런 바이러스에 민감하게 반응하여 즉각 패치버젼을 내놓습니다. 그렇기에 최신화는 항상 해두는 것이 중요합니다.

드라이브 바이 다운로드(Drive By Download)

흔히 해킹을 두려워하는 대부분의 유저들이 상상하는 방식이 아닐까 싶습니다. 웹사이트나 메일을 열어보는 것만으로도 바로 악성코드에 감염되는 공격 방법입니다.

그저 자주 들르는 커뮤니티, 웹사이트에 방문했을 뿐인데 백신도 잡아내지 못하고 감염되었다면 유저들은 상당한 불안에 떨뿐입니다.

요즘 이 단어가 뜨는 이유는 랜섬웨어 떄문으로 추측됩니다. SNS 등에서도 랜섬웨어에 대해 피해복구 방법에 대해 질문하는 글을 자주 접했습니다.

(물론 복구 방법은 없습니다... 블랙 해커에게 돈을 줘도 복구 안 해줄 확률이 99.99%... 다만 일부 랜섬웨어의 경우 복구할 수 있는 키를 블랙 해커를 검거해서 알아낸걸로 압니다

그러나 그건 일부분이니 내가 당한 랜섬웨어가 그 사람이 만들었길 바래야합니다. 사실상 복구방법은 없다고 봐야...)

이 공격 기법은 PC에 설치된 운영체제, 웹 브라우저, 애드온 애플리케이션(상기 부트킷 항목에서 언급한 프로그램들), 오피스 프로그램의 패치하지 않은 보안 취약점을 공략하여 PC에 침투합니다.

공격 효과는 다양합니다. 랜섬웨어도 그 중 하나이고 좀비PC가 되거나 공인인증서를 갈취하거나 파밍사이트로 유도하거나 게임 계정등을 탈취하는 스파이웨어가 설치될 수 있습니다.

예방방법도 역시 부트킷에서 말씀드린 내용과 마찬가지로

사용하는 프로그램들의 버젼 최신화입니다.

---

***박군의 의견

제가 자주보는 인터넷 방송의 구성원들은 저보다 하드웨어에 대해 잘 압니다. 그래서 가끔 그들에게(얼굴은 모르지만) 궁금한 정보를 물어보기도 합니다.

어느날은 어쩌다가 컴퓨터가 터져서(4년가까이 컴퓨터를 종료하지 않고 절전모드만 썼댑니다... 그렇게 쓸 수도 있다니...ㄷㄷ) 새 파워 구매를 도와주는 사례를 지켜본적이 있습니다.

그때 새로 부팅한 PC에는 백신은 있었지만 윈도우 업데이트 알림이 켜져 있었습니다.

그때 저는 당연히 "윈도우 업데이트를 해두는 편이 좋지 않을까?" 했는데 당시 돌아온 대답은 제 예상과는 판이했습니다.

"어짜피 부서지면 새로사면 되고 다시 설치하면 되니까 윈도우 업데이트는 불필요하다.

게다가 백신이 있고 업데이트 했으니 괜찮다" 이런식의 내용이었는데 충격적이었습니다.

제가 깊이 알지 못하고 한창 공부하는 입장이지만 그래도 백신이 아무리 잘 막아봤자 OS(윈도우, 맥, 우분투 등등)나 브라우저가 가지는 취약점이 있다면 백신이 그를 막아줄 수 없는걸로 압니다.

그렇기에 백신도 중요하지만 사용하는 프로그램 버젼의 최신화는 항상 중요한걸로 알고 있었고 당연한 상식이라 생각했습니다.

물론 사업체의 성격이라 버젼의 변경되면 여러가지 고려해야될 요소가 많기 때문이라면 어느정도 이해할 수는 있습니다.

(뭐 그래도 패치를 하는편이 다 박살나는 것보다 낫습니다. 다만 기업체의 경우 경영팀이나 여러팀과 협의하여 계획적인 버젼 최신화를 이루어야 하는거 같습니다.)

그러나 제가 봤던 사례는 그저 개인이었기 때문에 패치가 개인의 영향을 끼치는 경우는 거의 없을테니 그러한 답변은 컬쳐쇼크였습니다.

결론적으로 다시한번 말씀드리고 싶습니다.

최신버젼 패치는 백신만큼이나 중요합니다.