페트야 악몽 떠오르게 하는 새 랜섬웨어, 하이브리드페트야
- UEFI보다 먼저 발동되는 랜섬웨어
- 파일 그 자체가 아니라 색인 테이블을 암호화
- 보안부팅(Secure Boot) 우회하는 네 번째 멀웨어
새로운 랜섬웨어 변종이 발견됐다. 보안 업체 이셋(ESET)은 이를 하이브리드페트야(HybridPetya)라고 부르고 있는데, UEFI 시스템의 보안부팅(Secure Boot)까지도 우회할 수 있다고 한다. 수년 전 악명을 떨쳤던 페트야(Petya) 랜섬웨어와 비슷한 면모를 가지고 있는 것으로 분석되기도 했다. 최초 샘플은 올해 2월 바이러스토탈에 업로드된 것으로 조사됐다.
고도의 위협, 하이브리드페트야
이 하이브리드페트야에 대한 이셋의 설명을 직역하면 다음과 같다. “하이브리드페트야는 NTFS로 포맷된 파티션에 존재하는 모든 파일들의 메타데이터를 암호화 합니다. 정확히는 그 메타데이터를 저장하고 있는 마스터 파일 테이블(Master File Table)을 암호화 하는 건데요, 악성 EFI 애플리케이션을 EFI 시스템 파티션에 설치함으로써 최신 UEFI 기반 시스템을 침해하는 겁니다.”
이 말을 제대로 이해하려면 여러 가지 용어들을 먼저 이해해야 한다.
1) 마스터 파일 테이블(MFT) : 하드디스크 내 파일 목록이라고 보면 간단하다. 도서관에서 특정 책을 찾을 때, 우리는 책 목록이나 색인을 보고 위치를 파악하는데, 바로 그 목록 및 색인에 해당한다. 이 색인을 암호화 한다는 건, 도서관에서 색인을 없애거나 구겨 버림으로써 책을 찾을 수 없게 하는 것과 비슷한 결과를 초래한다.
2) NTFS : 디스크 구성 방식 중 하나다. 주로 윈도 기반 컴퓨터의 하드디스크들이 NTFS 방식으로 구성된다.
3) UEFI : 컴퓨터의 전원 스위치를 눌러 켜는 순간, 컴퓨터 시스템이 가장 먼저 읽어들이는 정보다. 이 UEFI에 나와 있는 대로 컴퓨터는 OS를 시작한다. 컴퓨터에서 가장 먼저 발동되는 부분이라고 보면 된다. 예전에는 바이오스(BIOS)라 불리기도 했다.(바이오스는 UEFI의 전신이다.)
4) EFI 시스템 파티션 : 하드디스크 내에 마련된 작은 공간(파티션)이다. 여기에는 컴퓨터 시동 및 부팅과 관련된 정보들만 저장된다. 여기에 악성 애플리케이션이 설치되면 시스템 부팅에 악영향을 준다.
5) EFI 애플리케이션 : EFI 시스템 파티션 안에서 실행되는 프로그램들이다.
자, 이 용어들을 이해했다면 위의 문단을 다시 읽어보자. 이 하이브리드페트야는 EFI라는 부팅 관련 파티션에 악성 요소를 삽입함으로써 OS보다 더 먼저 악성코드가 발동되게 하고, 발동된 악성코드는 디스크 내 파일 그 자체가 아니라, 그 파일들을 찾을 수 있게 해 주는 색인을 망가트린다는 것을 알 수 있을 것이다. OS보다 먼저 시동 걸리는 랜섬웨어, 파일을 암호화 하지 않고도 파일을 암호화 한 것과 같은 효과를 얻는(그러므로 훨씬 짧은 시간 안에 공격을 완료하는) 랜섬웨어라는 의미다.
어떻게 구성돼 있고, 어떻게 침투하나
하이브리드페트야는 부트킷과 인스톨러로 구성돼 있다고 이셋은 밝힌다. 인스톨러가 부트킷을 유포하는 구조이며, 이 부트킷은 환경설정 파일을 직접 로딩하면서 발동된다. 이 때 설정 파일 내용에 따라 세 가지 중 하나의 행동을 취한다.
1) 암호화 준비 : 환경설정 파일에 기재된 키와 논스를 활용해 살사20(Salsa20) 알고리즘으로 암호화를 실시한다. 이 때 화면에는 체크디스크(CHKDSK) 유틸리티를 가짜로 띄워 사용자는 시스템이 디스크를 검사하고 있다고 믿게 된다.
2) 이미 암호화 되어 있음을 확인 : 이 경우 암호화를 다시 할 필요가 없으니 다음 단계인 ‘협박 편지 남기기’를 진행한다. 지갑 주소와 금액(주로 비트코인 1000달러어치)을 알려주며 특정 날짜까지 송금하라고 협박한다. 참고로 이셋은 해당 지갑이 현재 비어있는 것을 확인했다.
3) 피해자 입금 확인 : 피해자가 입금한 게 확인됐다면 부트킷은 복호화를 시도한다. 1)번과 정반대라고 할 수 있다. 이 때 복호화 키를 사용하는데, 화면에도 복호화 과정 진척도가 표시된다. 과정이 끝나면 “윈도를 재부팅하시오”라는 안내 문구가 화면에 나온다. 복호화가 거짓으로 진행된다는 증거는 아직 발견하지 못했다고 이셋은 강조한다.
하이브리드페트야는 어떻게 피해자 시스템에 접근하는 걸까? 이셋이 추적한 결과 CVE-2024-7344라는 취약점을 익스플로잇 하는 것으로 나타났다. “원격 코드 실행 취약점으로, 이 취약점 역시 보안부팅을 우회할 수 있게 해 줍니다. 공격자들이 보안부팅 기능을 크게 신경 썼다는 걸 알 수 있습니다.” 이 취약점은 2025년 1월에 패치됐는데, 하이브리드페트야의 공격이 이어진다는 건 아직까지도 이 패치가 다 적용되지 않았음을 시사한다.
UEFI 침해한 네 번째 사례
이셋은 하이브리드페트야가 컴퓨터에서 제일 먼저 켜지는 요소인 UEFI의 보안부팅을 침해하는 네 번째 멀웨어라고 설명한다. “물론 저희가 모르는 UEFI 보안부팅 침해 멀웨어가 있을 수도 있지만, 현재까지 업계 전반에 알려진 건 세 개입니다. 하나는 CVE-2022-21894를 익스플로잇 했던 블랙로터스(BlackLotus), 둘은 로고페일(LogoFail) 취약점을 익스플로잇 했던 붓키티(BootKitty), 셋은 CVE-2020-26200을 익스플로잇 했던 하이퍼브이(Hyper-V) 개념증명용 백도어였습니다.”
보안부팅 혹은 시큐어부트는 컴퓨터 부팅 시 악성코드가 개입하지 못하도록 막아주는 강력한 보안 기능이다. 하지만 여느 보안 대책이나 솔루션처럼 100% 안전한 건 아니다. 이미 지난 수년 동안 여러 차례 침해되기도 했었다. 위의 세 가지 사례 외에도 부트홀(BootHole) 취약점 등이 보안부팅 우회 공격을 가능하게 해 주는 것으로 알려져 있다.
그렇다고 보안부팅이 이제는 공략 당하기 시작한, 허술해진 옛 유물인 것도 아니다. 보안부팅 침해 사건은 주로 부트로더나 UEFI 애플리케이션에 있는 취약점을 통해 실행되지, 보안부팅 그 자체를 직접 뚫고 들어감으로써 발생하는 게 아니다. 그 외 서명 취소를 늦게 한다거나 오래된 취약점 바이너리를 다 제거하지 못한 것 때문에 뚫리기도 한다. 즉, 사용자의 보안 습관이 보안부팅을 진짜 단단한 기능으로 강화시킬 수 있다는 의미다.
보안 전문가들은 “대부분 사용자는 물론 심지어 보안 담당자들도 보안 장치와 솔루션의 잠재력을 다 끌어내지 못한다”고 예전부터 지적해 왔다. “매일 쓰는 기능, 익숙한 기능만 쓴다면, 제 아무리 비싼 솔루션도 제대로 된 힘을 발휘하지 못합니다. 마치 고가의 태블릿 컴퓨터를 사놓고, 사실은 유튜브 영상만 계속 보는 것과 비슷합니다. 새 걸 마련하는 것도 좋지만 이미 가지고 있는 보안 장비나 솔루션을 가장 잘 활용하는 방법을 알아두는 것도 보안 강화에 있어 중요한 일입니다.”
Related Materials
- Introducing HybridPetya: Petya/NotPetya copycat with UEFI Secure Boot Bypass - ESET Research: UEFI 기반 시스템 침투, NTFS MFT 암호화, CVE-2024-7344 취약점 무력화, PoC·실제 샘플 분석, 2025년
- New HybridPetya Ransomware Bypasses UEFI Secure Boot - The Hacker News: HybridPetya 주요 구성요소(부트킷·인스톨러), UEFI 취약점 익스플로잇, NTFS MFT 암호화·복호 프로세스 상세, 2025년
- New HybridPetya Ransomware Bypasses UEFI Secure Boot with CVE-2024-7344 Exploit - Netmanageit Blog: UEFI Secure Boot 우회 및 감염 메커니즘, 복호화 가능·$1000 BTC 요구 특징 설명, 2025년
- New HybridPetya Weaponizing UEFI Vulnerability to Encrypt Systems - Cybersecurity News: 샘플 유포·UEFI cloak.dat 파일 악용, 최신 부트킷 트렌드 및 대응법 안내, 2025년
문가용 기자
문가용 기자
