/사진=머니투데이DB
안랩 ASEC분석팀은 최근 '라자루스 공격 그룹의 루트킷 악성코드 분석 보고서'라는 제목의 보고서를 통해 'Bring Your Own Vulnerable Driver'(이하 BYOVD) 기법을 이용한 최신 사례를 분석했다. BYOVD는 합법적 서명을 포함하고 있어 윈도우 운영체제에서 정상 구동되지만, 사실은 취약점이 있는 드라이버를 통해 공격 대상 시스템 접근 권한을 얻는 공격 기법이다.
이번 사례에서 공격자는 해당 루트킷 속에 취약점을 포함하고 있지만 합법적으로 서명되어 윈도우에서 정상적으로 구동 가능한 특정 외산 제품의 취약한 드라이버를 포함했다. 공격자는 이 드라이버를 이용해 원래 읽고 쓰기가 불가능한 커널 데이터 접근권한을 얻었다.
안랩은 이 같은 공격을 예방하기 위해 조직 보안담당자가 △일반 사용자 환경에서는 드라이버를 실행(로드) 할 수 없도록 보안 정책 설정 △공격 초도 단계 방어를 위해 백신 등 보안 솔루션 사용 및 업데이트 △SW 보안 패치 즉시 업데이트 실행 등 보안수칙을 준수해야 한다.
한명욱 안랩 분석팀 주임은 "이번 BYOVD 기법 사례에서 사용된 것과 유사한 드라이버가 더 많이 존재할 수 있다"며 "조직 보안담당자는 TI(위협정보) 서비스 등을 이용해 공격 기법의 변화를 파악하고, 필요한 보안정책 설정과 구성원 보안 교육 등 다각도로 힘써야 한다"고 말했다.