원신 안티치트 드라이버 악용한 랜섬웨어가 퍼지고 있다

원신에 매크로, 핵 등 불법 프로그램을 막기 위해 마련된 안티치트 드라이버가 랜섬웨어 배포에 악용되고 있다는 보안업체의 보고서가 발표됐다.

글로벌 보안솔루션 개발사인 트렌드마이크로는 지난 24일, 자사 공식 홈페이지를 통해 원신 안티치트 드라이버를 악용해 랜섬웨어가 대량 배포된 사례가 포착됐다고 밝혔다. 원신은 ‘mhyprot2.sys’라는 커널 레벨의 안티치트 드라이버를 사용하고 있으며, 이 드라이버에서 루트 접근권한을 획득해 안티바이러스 프로세스를 종료시킨 후 랜섬웨어를 배포하는 방식이다.

트렌드마이크로 측은 지난 7월부터 이러한 방식을 통한 랜섬웨어 감염이 발생했고, 안티치트 드라이버만 있어도 되기에 게임을 설치하지 않아도 발생할 수 있다고 경고했다. 트렌드마이크로는 "이 모듈(원신 안티치트 드라이버)은 쉽게 접근할 수 있고, 삭제되기 전까지 모두가 이용할 수 있어 접근권한을 우회하는 유틸리티로 오래 남아있을 수 있다”라며 “인증서 해지 및 바이러스 감지는 남용을 막는데 도움이 될 수 있으나, 이 모듈은 합법적이라 현재로서는 해결책이 없다”라고 설명했다.

커널 드라이버 방식 안티치트는 원신 외에도 발로란트, 둠 이터널, 콜 오브 듀티: 워존 등 여러 게임에 활용되고 있다. 원신의 경우 악성 이용자가 게임을 분석하거나 해킹하는 것을 막기 위해 이러한 안티치트를 마련했다고 설명한 바 있다.

불법 프로그램을 차단하겠다는 게임사 행동은 정당하며, 커널 수준의 안티치트 기술은 핵 차단에 효과적이라 평가된 바 있다. 다만, 앞서 언급한대로 이를 악용하는 사례가 발생할 경우 대처하기 어렵고, 광범위한 접근권한을 요하는 커널 드라이버 안티치트 프로그램이 증가하는 흐름이 PC 보안 측면에서 적합하냐에 대해서는 의견이 분분하다.

한편, 원신을 개발 및 서비스 중인 호요버스는 해외 게임매체 PC 게이머(PC Gamer)를 통해 “호요버스는 정보보안을 매우 중요하게 생각한다. 이 사건에 대해 작업 중이며, 플레이어 보안을 지키고, 안티치트 기능의 잠재적인 악용을 막기 위해 가능한 빨리 해결책을 찾아낼 것이다. 추가적으로 진행된다면 지속적으로 알려드리겠다”라고 밝혔다.