어렸을 적, 잠 못 이루고 공포에 떨게 했던 빨간 마스크, 귀신, 도시 괴담, 인신매매에 관련한 괴담 등 심기를 불편하게 만드는 이야기 하나쯤은 들어봤을 것이다. 괴이하고 무서운 이야기를 의미하는 괴담은 대다수 허구성이 짙은 이야기지만, 실제 사건을 기반을 둔 이야기도 많다. 그 이야기도 다양하며, 상당히 자극적이고, 현실적인 이야기가 대다수라 술자리에서 혹은 친구들끼리 재미있는 가십거리가 되곤 한다. 괴담은 보통 우리의 주변 일상에서 나타날 수 있다는 그런 느낌 때문에 더욱 무섭게 다가오는데, 이러한 괴담은 일상에서만 존재하는 것은 아니다. 2013년부터 컴퓨터, 보안 분야에서는 나오던 얘기는 아직도 그 이야기가 진짜인지, 거짓인지 알 길이 없는 괴담이 하나 존재다. 초강력 항생제를 써도 듣지 않는 슈퍼 스트레인 박테리아와 같은 컴퓨터계의 바이러스 바로 BadBIOS에 관한 이야기다.

BadBIOS는 Dragos Ruiu에 의해 처음 언급되었다.[1] 그에 말에 따르면 BadBIOS는 Windows, Macintosh, Linux 등 여러 운영체제 시스템에 영향을 줄 수 있는 BIOS 수준의 트로이목마로, 지속적으로 BIOS를 공격하는 악성코드다. 문제는 Ruiu 외에는 이러한 악성코드를 보지 못하였고, 누가 어떤 의도로 언제 어떻게 감염시켰는지도 모를 뿐만 아니라, 블루투스, 무선 카드 등을 물리적으로 제거하였음에도 불구하고 외부로 데이터가 나가는 것이 확인된 것이다. 더욱이, 악성코드 자신의 필요로 파일을 제거하거나 시스템을 수정하기도 했다.[2][3][4] 어떻게, 어떤 방법으로 그럴 수 있는 것일까. 한쪽에서는 Ruiu의 발견이 실제로 존재하고, 가능성이 있는 이야기인지 여전히 얘기가 제대로 이루어지지 않고 있다.[5]

2013년 10월, 보안 컨설턴트 Dragos Ruiu는 그의 연구실에서 상당히 특이한 것을 발견했다. 그는 맥북 에어에 OS X의 새로운 사본을 설치하면서, 부팅하는데 도움이 되는 펌웨어를 자발적으로 업데이트했다. Ruiu가 CD ROM을 통해 컴퓨터를 부팅하려고 하였을 때, 컴퓨터는 이를 거부했다. 그리고는 컴퓨터 스스로 데이터를 삭제하고, 사용자에게 메시지를 보여주지 않으면서 시스템 구성을 변경하는 모습을 보여주었다. 당시 그는 이게 무슨 일인지 알 수 없었지만, 다음 날 이상한 현상을 보며 그는 펌웨어의 업데이트에 흥미를 느끼기 시작했다. 그에 말에 따르면 마치 공상 과학 스릴러와 같은 순간이었다고 표현하기도 했다. 아무튼, 그에 말에 따르면 컴퓨터 보안 쪽으로 특화된 BSD 운영체제에서 사용자에게 설명이나 열리는 프롬프트도 없이 해당 데이터가 삭제되는 등 설정을 수정하기 시작했다. 또한, IPv6가 완전하게 비활성화되어 있음에도, IPv6 네트워킹 프로토콜과 관련된 데이터를 전송하는 것도 확인했다고 한다. 가장 이상한 점은 전원 코드와 이더넷 케이블을 뽑고 Wi-Fi 및 Bluetooth 카드를 제거한 때도 감염된 시스템이 소량의 네트워크 데이터를 다른 감염된 시스템과 함께 전송할 수 있다는 점이었다. 더욱이, Ruiu는 감염된 시스템을 모두 지우고 처음부터 다시 시작하더라도 다시 몇 시간, 몇 주만 지나면 이같이 이상한 증상을 보인다는 것이었다. 마치, 항생제로 죽일 수 없는 슈퍼 박테리아처럼 계속해서 살아났다.[6][7]

이 같은 증상을 보고 단박에 흥미를 느낀 Ruiu는 자신이 찾은 것과 이에 대해 트위터와 페이스북 등에 글을 올리기 시작했다.[8] 그가 발견한 약 14개의 특징은 그가 찾은 것이 단순히 거짓말이 아니라고 말하는 것과 같았다. 먼저, 그는 BadBIOS를 하드웨어에 감염되는 악성코드라고 밝혔다. 둘째로 그가 발견한 BadBIOS는 컴퓨터 일부에 설치된 Windows 외에도, BSD 시스템을 감염시킬 수 있으며, OS X 운영체제에서는 이에 대한 면역성이 없으므로 OS X라는 플랫폼에 맞춰진 독립적인 악성코드로 보고 있다. 또한, BIOS를 깨끗하게 재설치하더라도 악성코드는 다시 생성되어 감염되는 복원력이 있으며, BIOS를 합법적인 펌웨어로 플래싱을 하더라도 악성코드는 그대로 남아있다. 이렇게 때문에 이를 연구하는 연구원들은 테스트마다 새로운 기계를 사용해야 할 것이라는 말을 남기기도 했다. 네 번째로, BadBIOS는 네트워크가 연결되어 있지 않은 컴퓨터망에서도 SDR (Sotovial Defined Radio)을 통한 통신을 하며, 무선 및 Bluetooth 카드가 물리적으로 제거 된 경우에도 작동한다. 다섯 번째로 호스트 컴퓨터에서 다수 운영체제를 동시에 실행하기 위한 논리적 플랫폼인 하이퍼 바이저를 로드하기도 하며, 여섯 번째로 BIOS가 감염되면 설정과 관계없이 대부분 내부 디스크로 사용되며 외부 장치에서 부팅 할 수 없다. 일곱 번째는 외부에서 연결되는 드라이브인 CD나 USB 등 감염된 시스템에 연결된 드라이브는 모두 감염되며 드라이브 안에 있는 파일은 영향이 미치지 않고 오로지 펌웨어만 감염시킨다. 여덟 번째, 감염된 USB 메모리를 손상되지 않은 시스템에 연결하면 마운트를 할 필요도 없이 순식간에 감염시켜버린다. 즉, 볼륨을 탑재하지 않았음에도 감염된 꼴이다. 아홉 번째로 만약 안전하지 못한 상태에서 USB를 꺼내게 되면 USB는 사용할 수 없게 되지만 감염된 상태로 연결하면 USB는 다시 잘 작동한다고 한다. BadBIOS의 증상 중 또 다른 것은 감염된 Windows 시스템에서 일부 추가 .ttf 및 .fon 파일이 나타나며, 그 중 meiryo, meiryob, malgunnb 3개의 파일은 생각보다 크기가 크다라는 것이다. 그리고 만약 이렇게 생성된 파일을 추출하려고 하면, CD에서 사라진다는 것이다. 이는 파일을 추출할 수도 없단 이야기다. 열한 번째, 악성코드의 동작 범위인 리셋 플래시 컨트롤러 소프트웨어의 개발자는 러시아 사람이기 때문에 BadBIOS의 뒤에는 러시아가 있을 것으로 추측되며, 악성코드 역시 러시아 소프트웨어 사이트의 재구성을 차단한다고 한다. 그리고 BadBIOS의 사례는 이전에는 없었으며 Ruiu의 맥북에서 처음으로 발견되었고, 마지막으로 파일의 MD5 목록이 온라인에 올렸다고 한다.[9][10]

그렇다면 Ruiu는 어떤 방식으로 시스템이 BadBIOS에 감염되었다고 생각할까. Ruiu가 BadBIOS를 연구하는 3년 동안 감염 메커니즘은 수수께끼로 남아있었다. 하지만 그의 추측으로 가장 가능성이 높은 방법은 USB였다.[11] 그는 맥북 에어를 구입한 후, 1~2개월 지난 시점에서 하나의 USB를 시스템에 연결하자마자 거의 곧바로 감염되었을 것으로 보고 있다. 그는 그 USB를 통해 곧바로 컴퓨터가 감염되었을 것이고, 반대로 감염된 컴퓨터에 USB를 연결하면 USB도 감염될 것이라고 한다. 당시 그가 생각하기에는 그런 식으로 악성코드에 감염되어 시스템에서 BIOS가 드라이브를 읽는 방식에 약간의 오버플로우가 존재하여, BIOS를 오버플로우 시키고, BIOS 테이블에 섹션을 추가하는 플래시 컨트롤러를 재프로그래밍을 하는 것으로 추측했다. 물론, 이를 말하면서도 그는 확실하다고 표현하지 않았으며, BadBIOS가 Windows, Mac OS X, BSD 및 Linux 운영 체제를 감염시키는 다중 단계 페이로드의 초기 모듈일 뿐이라고 의심했다고 얘기했다.[12]

그가 말한 객관적인 BadBIOS에 대한 초기 발견과 감염 메커니즘 그리고 그에 대한 증상은 계속해서 BadBIOS가 허구가 아닌 실제 있는 악성코드라고 말해왔다. 하지만 앞서 얘기한 것처럼 BadBIOS에 대한 진실 여부는 밝혀지지 않았다. 이에 대해 많은 이들이 사실이다 아니다를 말하며 그가 하는 얘기에 관해 토론이 오가곤 했다. 과연 그의 말이 진짜일까. 그들은 무슨 의견으로 진실 여부를 논하는 것일까. Ruiu의 말에 대한 진실 공방은 2부에서 이어 이야기해보겠다.