UEFI 공격이란 무엇이며 UEFI 펌웨어 보호 방법
2018년 UEFI에 대한 최초의 공격이 세계에 알려진 것을 알고 있나요? 그것이 기업에 어떤 의미인지 자세히 알아봅시다.
모든 사람들은 공격자가 이메일, 윈도우, 노트북에서 실행되는 다른 소프트웨어를 통해서 악의적인 공격을 한다는 사실을 잘 알고 있습니다. 그러나 어떻게 기기 자체가 공격 대상이 될 수 있을까요?
예를 들어, 노트북의 전원을 켜면 펌웨어로 알려진 시작 및 하드웨어 옵션을 제공하는 화면이 나타납니다. 이는 기기에 내장되어 있으며 하드웨어 구성이 가능하고, 하드웨어와 운영체제 간 인터페이스를 제공합니다. 이전에는 BIOS라고 알려져 있지만 UEFI라고 하는 새로운 표준이 이 인터페이스를 제공합니다.
UEFI가 감염되는 것은 완전한 제어권을 공격자가 가지고, 잠재적으로 네트워크의 다른 기기를 손상시킬 수 있다는 걸 의미합니다. 2018년 9월 “LoJax”로 알려진 UEFI에 대한 첫 번째 공격은 악명 높은 해킹 그룹 Sednit를 통해 시작되었고, 피해자의 기기에 접근할 수 있었습니다.
그렇다면 감염으로부터 보호할 수 있는 방법은 무엇일까요? 우선 기기에 시큐어 부트 (Secure Boot)가 활성화되어 있는지 확인하는 것이 중요합니다, 또한 UEFI/BIOS 펌웨어를 업데이트하는 것도 기업을 안전하게 유지하는 데 도움이 됩니다. 마직막으로 아마도 가장 간단하게 UEFI 스캐너를 포함하는 악성코드 방지 솔루션을 사용해 위협을 탐지하고 제거할 수 있습니다.
UEFI (Unified Extensible Firmware Interface) 스캐너는 컴퓨터의 UEFI 펌웨어를 보호하는 호스트 기반 침입 방지 시스템 (HIP)의 일부입니다. UEFI 펌웨어는 부팅 프로세스 시작 시 메모리에 로드됩니다. 코드는 메인보드에 부착된 플래시 메모리 칩에 있는데 공격자는 이를 감염시킴으로써 시스템 재설치 및 재부팅으로부터 살아남는 악성코드를 배치할 수 있습니다. 대부분의 안티멀웨어 솔루션은 해당 계층을 검사하지 않기에 악성코드를 놓칠 수 있습니다.
UEFI 스캐닝은 ESET 제품의 최신 버전에서 사용할 수 있습니다. UEFI 스캐너가 포함된 ESET 제품은 다음과 같습니다.
개인용
기업용
- ESET 엔드포인트 시큐리티 / 안티바이러스
- ESET 파일 시큐리티 Azure
- ESET 메일 시큐리티 IBM Domino
- ESET 시큐리티 Microsoft SharePoint Server
- ESET 파일 시큐리티 Microsoft Windows Server
- ESET 메일 시큐리티 Microsoft Exchange Server
UEFI 스캐너가 자동으로 활성화됩니다. 컴퓨터 스캔 > 고급 스캔 > 사용자 정의 스캔을 누르고 부팅 섹터/UEFI 대상을 선택하여 메인 프로그램 창에서 수동으로 컴퓨터 스캔을 시작할 수도 있습니다.