상단여백
HOME 뉴스·정책
썬더볼트로 감염되는 맥 악성코드




지난 2014년 맥북에 있는 썬더볼트 단자를 통해 부트킷이라는 악성코드에 감염되는 취약점이 발견된 바 있다. 이 취약점은 올해 1월 애플이 패치를 배포해 해소된 것으로 알려져 있다. 하지만 처음 이 취약점을 발견한 트라멜 허드슨(Trammell Hudson)은 아직도 위험성이 여전히 남아 있다는 점을 새로운 부트 킷인 썬더스트라이크2(Thunderstrike 2) 데모를 통해 밝히고 있다.

영상을 보면 스크린세이버를 내려 받으면 원격 코드를 실행, 루트 관리자 권한을 탈취해버린다. 이 과정을 통해 액세서리에 썬더스트라이크2를 감염시키는 것. 그런 다음 썬더스트라이크2에 감염된 액세서리를 끼운 상태에서 맥북을 재시작하면 썬더스트라이크2가 작동한다.

썬더스트라이크2에 감염되지 않은 맥북에도 썬더볼트 단자에 감염된 액세서리를 끼운 상태로 부팅을 하면 커널보다 먼저 옵션 ROM이 나온다. 이어 절전 모드로 들어가고 시스템은 메모리 외에 전원 공급을 멈춘다. 팬도 멈추고 CPU에도 전원 공급을 하지 않는다. 이어 시스템을 재부팅하면 부트 플래시는 썬더스트라이크2에 감염된다. 일단 부트 플래시에 감염되면 운영체제를 재설치하거나 심지어 하드디스크나 SSD를 바꿔도 제거가 불가능하다고 한다.



다시 말해 썬더스크라이트2는 악의적인 소프트웨어를 통해 맥북에 침입한다. 맥북 부트 플래시를 감염시키고 이후에는 썬더볼트 단자에 액세서리를 끼울 때마다 해당 액세서리의 옵션 ROM에 썬더스트라이크2를 감염시키며 확산된다. 액세서리를 멀쩡한 맥북에 끼우면 썬더볼트 단자를 통해 시스템 관리 모드 등을 추가 감염시키는 악순환이 반복되는 것이다.

트라멜 허드슨이 맥 취약점을 발견해 부팅 킷인 썬더스트라이크 데모를 실시한 건 지난 2014년 12월이다. EFI 펌웨어 취약점으로는 델이나 HP, 레노버, 삼성전자 등 6개 제조사 업체에서 취약점이 발견되고 있으며 이 가운데 5개는 맥에도 적용된 것이다. 애플은 이 취약점에 대한 패치를 배포했지만 완전히 막은 건 단 하나 뿐이라는 것. 다른 하나에 대해선 부분적 대응을, 나머지 3개 취약점에 대해선 해소된 게 없다는 설명이다.

그는 이런 남은 취약성이 악용될 수 있다는 점을 보여주기 위해 썬더스트라이크2 데모를 실시했다. 썬더스트라이크는 하드웨어에 직접 액세스해야 했지만 썬더스트라이크2는 영상에서 보듯 반드시 직접 액세스를 필요로 하지 않는다. 그만큼 위험성도 높아졌다고 할 수 있다.

부트킷은 백신 소프트웨어 등으로 탐지하거나 제거하기 어렵다. 감지하려면 펌웨어 분석이 필요하고 얼마간 지식도 필요하다. 관련 내용은 이곳에서 확인할 수 있다.

이상우 기자  oowoo73@techholic.co.kr

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>

이상우 기자의 다른기사 보기
인기기사
추천기사
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
여백
여백
재미있는 테크월드 세상
여백
여백
여백
여백
여백
여백
여백
Back to Top