[디지털데일리 이종현기자] 북한의 대표적인 해커 조직 중 하나인 라자루스의 공격 방식에 대한 분석 보고서가 나왔다. 조사에 따르면 라자루스는 하드웨어를 정상 작동하는 역할을 하는 컴퓨터 드라이버(Driver)의 취약점을 노리는 중이다.

28일 안랩 ASEC 분석팀은 취약점을 가진 드라이버를 이용해 기업 및 기관을 공격한 사례를 분석한 ‘라자루스 공격 그룹의 루트킷 악성코드 분석 보고서’를 발표했다고 밝혔다.

안랩 ASEC 분석팀은 해당 보고서는 Bring Your Own Vulnerable Driver(이하 BYOVD) 기법을 이용한 최신 사례를 분석했다. BYOVD는 합법적인 서명을 포함하고 있어 윈도 운영체제(OS)에서 정상적으로 구동되지만 사실은 취약점이 있는 드라이버를 활용해 공격 대상의 시스템에 접근 권한을 얻는 방식의 공격 기법을 뜻한다는 것이 안랩의 설명이다.

공격자는 특정 소프트웨어(SW)의 보안패치가 미적용된 환경을 노려 피해 시스템에 백도어 악성코드를 설치하는 것으로 공격의 사전 준비를 한다. 이후 백도어 악성코드를 이용해 공격자의 목적 달성을 위해 필요한 루트킷(Rootkit)을 피해 시스템에 설치했다. 루트킷은 전반적인 시스템에 접근할 수 있는 루트(Root) 권한을 쉽게 얻는 데 필요한 프로그램을 모아둔 키트(kit)다.

이번 사례에서 공격자는 해당 루트킷 속에 취약점을 포함하고 있지만 합법적으로 서명돼 윈도에서 정상적으로 구동 가능한 특정 외산 제품의 취약한 드라이버를 포함했다. 해당 드라이버에는 제대로 된 검증 절차 없이도 OS의 커널에 접근할 수 있다는 취약점이 있었다. 공격자는 이 드라이버를 이용해 원래 읽고 쓰기가 불가능한 커널 데이터에 접근권한을 얻었다.

이후 공격자는 시스템 필수 드라이버 파일을 제외한 모든 모니터링 시스템을 종료함으로써 여러 보안 솔루션이 악성코드 행위를 추적할 수 있는 기능을 차단했다. 이후 보안이 무력화된 환경에서 정보탈취, 랜섬웨어 감염 등 추가 악성행위를 수행할 수 있게 된다..

안랩은 취약한 드라이버를 악용한 공격을 예방하기 위해서는 조직 보안담당자가 ▲일반 사용자 환경에서는 드라이버를 실행(로드) 할 수 없도록 보안 정책 설정 ▲공격 초도 단계 방어를 위해 백신 등 보안 솔루션 사용 및 업데이트 ▲SW 보안 패치 즉시 업데이트 실행 등 보안수칙을 준수해야 한다고 조언했다.

안랩 분석팀 한명욱 주임은 “이번 BYOVD 기법을 활용한 사례에서 사용된 것과 유사한(정상적으로 서명됐으나 취약점을 포함하고 있는) 드라이버가 더 많이 존재할 수 있다”며 “조직 보안담당자는 기본 보안수칙을 준수하는 한편, 위협 인텔리전스(TI) 서비스 등을 이용해 공격 기법의 변화를 파악해야 한다. 또 이를 바탕으로 조직에 필요한 보안정책을 설정하고 구성원 보안 교육 등 다각도로 힘써야 할 것”이라고 말했다.