시스템의 커널모드에 설치돼 개인용 방화벽 등 보안 제품들을 무력화할 수 있는 강력한 슈퍼 봇이 등장했다.
네트워크 보안전문업체인 세인트시큐리티(대표 김기홍)는 11일 운영체제(OS)에서 가장 핵심적인 기능을 담당하는 '커널 모드'에 설치되는 '봇'이 등장, 빠른 속도로 확산되고 있다고 경고했다.
이번에 발견된 봇은 커널 드라이브(.sys) 파일을 이용해 커널 단에 설치되며, 애플리케이션 레벨에서 작동이 돠도록 설계됐다.
문제는 현재 국내외 시장에 출시된 대부분의 개인용 방화벽을 비롯한 각종 보안솔루션들이 OS구조에서 커널 레벨과 애플리케이션 사이에 배치된 TDI(Transport Driver Interface) 레벨에서 네트워크를 모니터링하기 때문에, TDI 하단에 설치된 봇을 탐지하기가 원천적으로 불가능하다는 게 세인트시큐리티측 설명이다.
특히 이 봇은 PC내부에서의 동작 뿐 아니라 외부 해커와의 통신 자체도 숨기는 것으로 전해졌다. 일반적으로 사용되는 윈도의 소켓 대신 자체적인 통신 매커니즘을 이용하기 때문. 기존 보안제품들이 대부분 윈도 소켓만을 모니터링하는 것으로 알려졌다.
세인트시큐리티의 김기홍 사장은 "가장 큰 문제는 현재 커널 모드에 설치되는 악성코드 제작기법이 국내, 외 해커커뮤니티에서 공유되고 있어, 이를 이용한 웜이나 바이러스 출현 가능성이 매우 높다"며 "이 경우, 앞으로 기존 보안솔루션을 우회할 수 있는 공격이 크게 대중화될 수 있다"고 경고했다.
특히 이같은 악성코드의 경우, 네트워크 레벨뿐 아니라 키보드, 모니터 등 각종 하드웨어 장치들의 드라이버까지 이용할 수 있는 공격을 시도할 수 있어, 지금까지 알려진 어떠한 악성 프로그램보다 위협적일 것이라고 경고했다. 가령 모니터에 연결되는 드라이버를 장악해 모니터상에서 나타나는 모든 정보까지도 가로챌 수 있다는 지적이다.
