윈도우(Windows)와 리눅스(Linux) 사용자들이 직면한 긴급한 보안 위협이 다가오고 있다. 6월 24일부터 시스템 부팅 과정에서 펌웨어와 소프트웨어의 디지털 서명을 검증하는 마이크로소프트(Microsoft) 인증서 3개가 만료될 예정이다. 이들 인증서는 운영체제와 백신 프로그램이 시작되기 전에 시스템에 감염되는 UEFI 부트킷(bootkit) 공격으로부터 보호하는 '보안 부트(Secure Boot)' 메커니즘의 핵심이다.
보안 부트는 마이크로소프트가 개발한 신뢰 체인으로, 시스템 시작 시 로드되는 모든 펌웨어의 디지털 서명을 검사해 신뢰할 수 있는 제공자로부터 비롯되었는지 확인한다. UEFI 부트킷은 기존 BIOS의 후속인 통합 확장 펌웨어 인터페이스(UEFI)를 감염시켜 부팅 과정 초기에 로드되는 악성 소프트웨어로, 운영체제와 대부분의 보안 프로그램이 시작되기 전에 활동하기 때문에 탐지가 매우 어렵다는 특징을 갖고 있다. 이러한 부트킷은 시스템에 설치된 후 운영체제를 통해 자격증명 탈취, 시스템 백도어 설치, 기타 악성 행위를 수행하며, 심지어 운영체제를 재설치해도 시스템에 재감염될 수 있다.
UEFI 기반 부트킷 공격은 2018년 크렘린(Kremlin)과 연계된 해킹 그룹 세드닛(Sednit, 일명 팬시 베어(Fancy Bear), APT28)이 만든 로젝스(LoJax) 악성코드 발견으로 처음 현실화되었다. 2020년에는 모자이크 리그레서(MosaicRegressor)라 명명된 두 번째 실제 공격 사례가 발견되었고, 이후 이스펙터(ESpecter), 핀스파이(FinSpy), 문바운스(MoonBounce) 등 여러 UEFI 부트킷이 적발되었다. 특히 2023년 연구진이 발견한 로고페일(LogoFail) 취약점은 거의 모든 윈도우와 리눅스 시스템의 UEFI에 영향을 미치며, 부팅 중 하드웨어 제조사 로고를 표시하는 이미지 파싱 버그를 악용해 보안 부트를 우회하고 악성 펌웨어를 감염시킬 수 있다는 점에서 매우 심각한 위협으로 평가받고 있다.
전문가들은 6월 24일 인증서 만료 이전에 시스템 펌웨어 및 보안 업데이트를 적용할 것을 강력히 권고하고 있다. 마이크로소프트와 기기 제조사들은 이러한 위협에 대응하기 위해 보안 부트 표준을 개발했으며, 이는 암호화 서명을 통해 부팅 과정의 신뢰 체인을 구축하는 것을 목표로 하고 있다.
