리눅스 첫 UEFI 부트킷 발견…보안 위협 신호탄 될까?
현재 ‘개념 증명’ 단계 추정..향후 발전 가능성 우려
안티바이러스 제공업체 ESET 연구진이 리눅스 운영 체제를 겨냥한 최초의 UEFI(통합 확장 펌웨어 인터페이스) 부트킷을 발견했다고 최근 발표했다.
이번 발견은 그간 윈도우 시스템에서만 관찰되던 UEFI 기반 위협이 리눅스 환경으로 확산될 가능성을 시사하는 것이어서 주목된다.
UEFI 부트킷은 시스템 부팅 과정에서 악성 코드를 실행하도록 설계된 고급 위협 도구다. 이번에 발견된 부트킷은 "부트키티(Bootkity)"라는 이름으로 불리며 이달 초 VirusTotal에 업로드된 샘플을 통해 존재가 확인됐다.
‘개념 증명’ 단계로 보이는 부트킷
부트키티는 윈도우 기반 UEFI 부트킷과 비교해 아직 초기 개발 단계에 머물러 있는 것으로 보인다. 현재로서는 우분투(Ubuntu) 외의 주요 리눅스 배포판에 영향을 미칠 수 있는 기술력이 부족하며 핵심 기능에서도 결함이 발견됐다. ESET 연구진은 이를 토대로 부트킷이 실제 공격보다는 개념 증명(Proof-of-Concept, PoC) 버전일 가능성이 높다고 분석했다.
특히 ESET는 부트킷 부팅 시 사용하는 '보안 부팅(Secure Boot)'을 우회하지 못한다고 밝혔다. 보안 부팅은 시스템이 신뢰할 수 없는 소프트웨어를 로드하지 못하도록 설계된 기능으로, UEFI 위협의 주요 방어 체계로 작용한다. 부트킷은 이러한 방어 체계를 무력화하지 못했으며 오히려 악성 코드가 쉽게 탐지될 수 있는 흔적을 남기는 한계를 보였다.
리눅스 UEFI 위협, 향후 발전 가능성 우려
비록 부트킷이 아직 실질적인 위협 수준에 도달하지 않았지만, 이번 발견은 새로운 보안 위협의 시작을 예고할 가능성이 있다. ESET 연구진은 "부트킷은 최신 UEFI 부트킷이 윈도우에 국한되지 않는다는 점을 보여주는 중요한 진전"이라고 강조했다.
실제로 리눅스 환경은 보안에 있어 상대적으로 덜 타겟팅돼 왔으나 이번 사례는 위협 행위자들이 리눅스 기반 UEFI 부트킷 개발에 리소스를 집중하고 있음을 암시한다. 연구진은 "현재로선 부트킷이 대부분의 리눅스 시스템에 실질적인 위협을 가하지 않지만, 미래의 잠재적 공격에 대비할 필요가 있다"고 경고했다.
기술적 결함과 리스크
부트킷은 리눅스 커널을 수정하는 과정에서 구조적 결함을 드러냈다. 특정 커널 버전에 의존하는 하드코딩된 방식을 사용해 시스템에 충돌을 유발할 가능성이 크다. ESET 연구진은 "커널 버전 검증이 부족해 시스템 안정성을 저해하거나 예기치 않은 오류를 일으킬 수 있다"고 지적했다.
부트킷은 보안 부팅이 활성화된 시스템에서 성공적으로 작동하지 못하며 공격자의 접근 권한이 제한된 경우 감염 가능성이 낮다. 스텔스 기능이 부족한 점도 주요 약점으로 꼽힌다.
ESET는 이번 발견이 단순한 기술적 실험을 넘어선 경고 신호라고 평가한다. ESET는 "리눅스용 UEFI 부트킷 개발에 대한 관심이 증가함에 따라, 더 정교한 위협이 등장할 가능성을 배제할 수 없다"고 설명했다.
또한 "현재 손상된 부팅을 감지하거나 방어할 수 있는 도구가 제한적인 상황에서, 이와 같은 위협에 대응하는 기술 개발이 시급하다"고 덧붙였다.
곽경호 기자 kkh@e-focus.co.kr
Copyright © 이포커스. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지.