![중국 해커들이 표적을 감시할 때 탐지되지 않고 데이터를 도용할 수 있는 최악의 악성코드를 개발했다. 사진=글로벌이코노믹 DB](https://nimage.g-enews.com/phpwas/restmb_allidxmake.php?idx=5&simg=202010080936240824263362589711751231456.jpg)
악성코드를 처음 발견한 러시아 바이러스 백신업체 카스퍼스키랩에 따르면 모자익리그레서(MosaicRegressor)라는 이름의 이 악성코드는 시스템이 부팅될 때마다 스파이웨어를 떨어뜨려 데이터를 훔칠 수 있으며 UEFI 펌웨어에 상주한다. 악성코드는 중국 해커들에 의해 개발된 것이 거의 확실시된다.
OS 포맷 및 재설치는 하드 드라이브에만 영향을 미친다. UEFI는 마더보드의 인터페이스 플래시 메모리에 있으므로 하드 드라이브를 포맷하거나 교체하는 것조차 작동하지 않는다. 따라서 악성 프로그램이 UEFI를 감염시킬 경우 운영 체제를 다시 깔아도 생존할 수 있으며 바이러스 백신 도구에 의해 탐지되지 않을 수 있다.
레히티크는 “모자익리그레서는 우리가 아는 한 첩보 활동을 목적으로 하는 모듈형 프레임워크다. 대상 기관들은 외교 및 NGO의 계열에 있는 것으로 보였는데, 모두 대북 활동에서 어느 정도 유대를 보여주고 있다”고 밝혔다.
모자익리그레서는 시스템을 감염시키고 UEFI에 숨으면 다른 디바이스로의 전달을 위해 추가 다운로드 프로그램을 내려받는다. 페이로드들은 대부분 ‘최근 문서’의 파일을 훔쳐 C&C 서버에 업로드하는 스파이웨어다. 연구 과정에서 악성코드에는 중국 국영 해커그룹 윈티(Winnti)에서 이전에 발견된 C&C 서버 주소가 있다는 사실도 밝혀냈다. 중국 해커가 개발에 관여했다는 의미다. 일부 암호는 중국어로 되어 있었다.
레히티크 카스퍼스키랩 수석 보안연구원은 "모자익리그레서는 공공연하게 알려진 첫 사례로 해커는 외부에서 만들어진 악성 UEFI 펌웨어를 사용했다"고 말했다.
조민성 글로벌이코노믹 기자 mscho@g-enews.com