한 사이버 보안 전문가가 CPU 랜섬웨어의 개념 증명(PoC)을 만들었다.
Rapid7의 Chrstiaan Beek은 CPU를 공격할 수 있는 랜섬웨어의 개념 증명(Proof-of-Concept, PoC) 코드를 작성했으며, 금전적 요구가 충족될 때까지 사용자의 드라이브를 잠글 수 있는 미래의 위협에 대해 경고했다. 이러한 공격은 기존의 대부분 랜섬웨어 탐지 방식을 우회할 수 있다.
The Register와의 인터뷰에서 Rapid7 수석 위협 분석가인 Beek은 AMD Zen 칩의 취약점을 계기로, 고도의 숙련된 공격자가 이론적으로 "침입자에게 승인되지 않은 마이크로코드를 프로세서에 로드하도록 허용함으로써, 하드웨어 수준에서 암호화를 깨고 CPU 동작을 임의로 수정할 수 있게 할 수 있다"는 아이디어를 얻었다고 밝혔다.
구글 보안팀은 이전에 AMD Zen 1부터 Zen 4 CPU에서 사용자가 무서명(unsigned) 마이크로코드 패치를 로드할 수 있는 보안 취약점을 식별한 바 있다. 이후 AMD Zen 5 CPU 역시 이 취약점에 영향을 미치는 것으로 밝혀졌다. 다행히 이 문제는 이전 Raptor Lake 불안정성 문제와 마찬가지로 새로운 마이크로코드를 통해 해결 가능하다. 그러나 Beek은 여기서 기회를 포착했다. 그는 "펌웨어 보안 분야를 다루면서 '와우, CPU 랜섬웨어를 만들 수 있겠다'고 생각했고, 실제로 그렇게 구현했다"고 전했다.
Nitrogen 랜섬웨어의 버그: 피해자의 데이터를 영원히 봉쇄하다
Intel의 Heracles 칩: 데이터를 복호화하지 않고도 암호화된 상태로 계산하다
보고서에 따르면, Beek은 실제로 CPU 내부에 은닉할 수 있는 랜섬웨어의 PoC 코드를 작성한 것이 맞다. 다만 그는 이 코드를 공개하지 않을 것이라고 안심시켰다.
보고서에 따르면, Beek은 이러한 유형의 익스플로잇이 최악의 시나리오로 이어질 수 있다고 추정한다. "CPU 레벨의 랜섬웨어, 마이크로코드 변조, 그리고 만약 공격자가 CPU나 펌웨어에 접근한다면, 우리가 가진 모든 기존 방어 기술을 무력화할 수 있습니다."
Beek은 또한 2022년에 유출된 Conti 랜섬웨어 그룹의 언급들을 인용했다. 그는 RSAC에서 진행한 발표에서 이 그룹의 채팅 기록을 언급하며, "랜섬웨어가 UEFI 내부에 설치되는 PoC를 작업 중이라, 윈도우를 재설치해도 암호화가 유지된다"는 내용이나, 수정된 UEFI 펌웨어를 이용하면 "OS가 로드되기 전부터 암호화를 트리거할 수 있으며, 이는 아무 항바이러스(AV)도 탐지할 수 없다"는 내용 등을 강조했다.
그는 이와 관련하여 "만약 우리가 BIOS를 장악하고, 금전을 지불할 때까지 드라이브를 잠그는 우리만의 부트로더를 로드할 수 있다고 상상해 보라"고 가설을 제시했다.
Beek은 만약 악의적인 행위자들이 수년 전 이러한 익스플로잇에 접근했다면, "그들 중 일부는 언젠가 충분히 지능화되어 이런 종류의 위협을 생성하기 시작했을 것이라고 장담합니다"라며 경고했다.
인터뷰를 마무리하며, Beek은 "우리는 2025년에 랜섬웨어에 대해 이야기하고 있어서는 안 된다"며 깊은 좌절감을 표출했고, 관련된 모든 주체가 협력하여 하드웨어 보안의 근본적인 결함을 해결해야 한다고 촉구했다. 그는 또한 수많은 랜섬웨어 침해 사건들이 고위험 취약점, 취약한 비밀번호, 부실한 인증 메커니즘 등으로 인해 발생하는 현실을 개탄했다.
(후략)