티스토리 뷰

목차



    최근 Microsoft에서 패치된 Windows 제로데이 취약점이 북한 정부의 해커들에 의해 고도화된 루트킷 설치를 위해 악용되었다는 소식이 전해졌습니다. 이번 블로그 포스트에서는 이 사건의 전말과 그 의미에 대해 상세히 알아보겠습니다.

     

    1. 사건 개요

    (1) 어떤 취약점인가?

    이번에 악용된 취약점은 CVE-2024-38193으로, Microsoft의 월간 업데이트에서 패치된 6개의 제로데이 취약점 중 하나입니다. 이 취약점은 "use after free" 유형으로, Ancillary Function Driver (AFD.sys)에서 발견되었습니다. 이 취약점은 공격자가 시스템 전체 권한(system privileges)을 얻을 수 있게 해주어, 신뢰할 수 없는 코드를 실행하는 데 필수적인 권한을 획득할 수 있었습니다.

    (2) 북한 해커의 정체

    이번 공격을 수행한 주체는 북한 정부의 지원을 받는 해커 그룹인 '라자루스(Lazarus)'입니다. 라자루스는 이전에도 여러 차례 사이버 공격을 감행하며 유명세를 떨친 그룹으로, 이번 사건에서도 그들의 흔적이 명확히 드러났습니다. Gen의 보안 연구팀은 이 공격을 최초로 발견하고 Microsoft에 비공개 보고서를 제출한 바 있습니다.

    이번 공격은 주로 암호화폐 엔지니어링 및 항공 우주 분야에 종사하는 사람들을 주요 타겟으로 삼아 그들의 네트워크에 침투, 암호화폐를 탈취하여 공격 자금을 조달하는 것이 목적으로 보입니다.

     

    2. 고도화된 루트킷, FudModule

    (1) 루트킷의 정의와 위험성

    루트킷은 악성 프로그램의 일종으로, 기본적으로 시스템 깊숙한 곳에 숨겨져 자신의 존재를 숨기고 시스템을 장악하는 기능을 가집니다. 이를 통해 루트킷은 파일, 프로세스 등 다양한 데이터를 감추고 시스템 자체를 제어할 수 있습니다. 이러한 특성 때문에 루트킷은 탐지와 제거가 매우 어렵고, 피해자가 피해를 인식하기도 전에 심각한 문제를 일으킬 수 있습니다.

    (2) FudModule의 특징

    FudModule은 2022년 두 보안 업체 AhnLab과 ESET에 의해 처음 발견된 고도화된 루트킷입니다. FudModule은 Windows 시스템의 가장 깊은 곳에서 작동하며, 내부 및 외부 보안 방어 수단을 무력화하는 특성을 지니고 있습니다. 이 루트킷은 일반적으로 "BYOVD(Bring Your Own Vulnerable Driver)"라는 기법을 사용해 설치되었습니다. 이 기법은 기존에 알려진 취약점을 가진 정식 드라이버를 설치하여 커널 접근 권한을 얻는 방식입니다.

    최근 Avast 보안 연구팀은 새로운 FudModule 변종을 발견하였고, 이는 중요한 Windows 방어 메커니즘인 Endpoint Detection and Response 및 Protected Process Light를 우회할 수 있음을 확인했습니다. Microsoft는 Avast가 이 취약점을 사전에 보고한 지 6개월 후에야 이를 수정하였으며, 이 기간 동안 라자루스는 계속해서 취약점을 악용할 수 있었습니다.

     

    3. 사건의 영향과 대비책

    (1) 이번 사건의 영향

    이번 사건은 단순한 기술적 문제를 넘어 사이버 공간에서의 국제적 긴장을 더하는 요소로 작용할 가능성이 큽니다. 특히 이번 공격의 주요 타겟이 암호화폐 분야의 전문가들과 항공 우주 분야의 종사자들이라는 점에서, 북한의 전략적 목표와 관련된 중요한 정보를 캐내고 자금을 조달하려는 시도로 해석될 수 있습니다. 이는 글로벌 디지털 경제와 국가 안보에 심각한 위협이 될 수 있습니다.

    (2) 보안전문가의 조언

    이번 사건을 통해 우리 모두는 사이버 보안의 중요성을 재확인할 필요가 있습니다. 보안 전문가들은 다음과 같은 조언을 제시합니다:

    1. 정기적인 소프트웨어 업데이트: 운영체제 및 중요한 소프트웨어를 항상 최신 상태로 유지하여 알려진 취약점이 악용되는 것을 방지할 수 있습니다.
    2. 보안 솔루션의 활용: 신뢰할 수 있는 보안 소프트웨어를 사용하여 의심스러운 파일이나 활동을 감지하고 차단할 수 있습니다.
    3. 강력한 패스워드 관리: 패스워드를 정기적으로 변경하고, 이중 인증(Two-Factor Authentication)을 적극 활용하여 보안을 강화하세요.

    무엇보다 사이버 공격에 대한 경각심을 갖고, 조금이라도 의심스러운 이메일이나 파일에 대해 신중하게 대처하는 습관을 기르는 것이 중요합니다.

     

    마무리

    이번 블로그 포스트에서는 북한 해커들에 의해 악용된 Windows 0-day 취약점과 그로 인한 고도화된 루트킷 위협에 대해 알아보았습니다. 이를 통해 미래의 사이버 공격으로부터 안전을 지킬 수 있는 기반을 마련하는 데 도움이 되었기를 바랍니다. 더 많은 정보를 원하시면 계속해서 최신 사이버 보안 뉴스와 정보를 주목하시기 바랍니다.

    북한 해커