애플의 EFI(Unified Extensible Firmware Interface)에 썬더볼트 포트를 통해 부팅 키트를 감염시키는 취약점이 발견됐다. 애플의 EFI 취약점을 발견한 엔지니어인 트라멜 허드슨(Trammell Hudson)은 오는 12월 27일부터 열릴 예정인 컨퍼런스 31C3에서 EPF로 부팅하는 맥북을 이용해 해당 취약점을 입증하는 데모를 할 예정이다.
그에 따르면 EFI 취약점 탓에 썬더볼트로 연결한 스토리지 같은 장치에서 부팅키트가 감염될 우려가 있다는 것. 한 번 PC에 설치된 부트키트는 보안 소프트웨어 감지나 삭제를 막을 수 있으며 하드디스크를 바꾸고나 운영체제를 재설치해도 PC에 남을 수 있다고 한다. 공격자는 바이러스에 감염된 맥북의 SPI 플래시롬에 코드를 만들 수 있고 맥북 시스템에 새로운 펌웨어 부팅키트를 만든다. 악성코드가 롬에 기록된 뒤에는 시스템을 우선적으로 제어할 수 있게 된다.
그는 부트키트가 롬에 위치한 애플의 RSA 공개 암호화 키를 무단 대체해 다른 소프트웨어를 통한 제거를 막고 있는지 여부를 확인하고 있다고 한다. 이 취약점은 펌웨어 해치를 통해 처리할 수 있지만 아직까지 패치는 공개되지 않은 상태다. 감염된 펌웨어를 복원하는 유일한 방법은 ISP(In-System Programming) 장치를 이용하는 것이라고.
전자신문인터넷 테크홀릭팀
이원영IT칼럼니스트 techholic@etnews.com
