국내 보안 업체 (주)하우리(Hauri)에서 MBR 영역의 변조를 사전에 차단할 수 있는 "바이로봇(ViRobot) MBR Protect Ver 1.0" 버전을 공개하였습니다.
2013년 3월 20일 오후 2시, 3시를 기점으로 방송사(KBS, MBC, YTN)와 금융사(신한은행, 농협, 제주은행 등)를 대상으로 한 사이버 공격을 통해 감염된 PC의 MBR(Master Boot Record) 변조와 논리 드라이버(파티션) 파괴를 목적으로 VBR(Volume Boot Record)를 파괴하는 악의적 동작을 수행하여 PC 부팅 불능 및 내부 데이터 손상을 유발하였습니다.
이에 (주)하우리(Hauri)에서는 "바이로봇(ViRobot) MBR Protect" 프로그램을 개발하여 누구나 무료로 사용자 PC의 MBR 영역을 보호할 수 있도록 지원을 시작하였습니다.
다운로드한 설치 파일(ViRobot MBR Protect Setup.exe)을 실행하면 자동으로 설치되어 시스템 트레이 알림 아이콘에 풍선창을 통해 MBR 보호가 시작되었다는 메시지를 표시합니다.
설치된 "바이로봇(ViRobot) MBR Protect" 프로그램의 메뉴는 실시간 차단 기능을 가진 "MBR 보호 ON/OFF" 메뉴를 제공하고 있으며, 시스템 시작시 자동으로 실행되어 MBR 보호를 수행합니다.
실제 악성 파일에 의해 MBR 변조가 이루어진 Windows 7 운영 체제 환경에서 시스템 부팅시에는 "Operating System not found"와 같은 오류 메시지를 통해 운영 체제를 부팅할 수 없도록 할 수 있습니다.
하지만 "바이로봇(ViRobot) MBR Protect" 프로그램을 통해 MBR 보호 기능이 이루어지고 있는 환경에서는 자동으로 차단하여 MBR 변조가 이루어지지 않는 것으로 확인되고 있습니다.(※ 테스트에서는 악성 파일에 의한 변조시 알림(경고)창이 생성되지 않는 것으로 보입니다.)
시각적으로 확인하기 위하여 임의로 MBR 변조를 위해 0번 섹터를 특정 문자로 덮어쓰기 방식으로 변조 후 저장을 시도할 경우 디스크에 액세스를 할 수 없다는 메시지를 통해 정상적으로 MBR 보호가 이루어지고 있는 모습을 확인할 수 있었습니다.
현재 2011년, 2013년 사이버 공격 및 일부 악성 파일에서도 심심찮게 발견되는 MBR 변조 악성코드로부터 시스템을 보호하기 위해서는 "바이로봇(ViRobot) MBR Protect" 프로그램을 추가로 설치하여 이용하시면 더욱 안전할 것으로 판단됩니다.
마지막으로 "바이로봇(ViRobot) MBR Protect" 프로그램을 사용하던 중 MBR 변조와 같은 시도가 확인된 경우에는 반드시 ViRobot Internet Security 2011 제품과 같은 국내외 유명 보안 제품을 이용하여 정밀 검사를 통해 악성코드를 찾아 제거하시기 바랍니다.