USB드라이브, 걸어다니는 악성코드 폭탄

일반입력 :2014/08/01 10:34    수정: 2014/08/01 11:34

손경호 기자

우리가 아무 곳에나 방치하고 있는 USB드라이브는 실제로 기업 시스템 전체를 마비시킬 수 있는 악성코드 폭탄으로 악용될 수 있다.

2010년 이란 핵 발전시설을 마비시켰던 '스턱스넷' 악성코드가 유포된 1차 경로가 내부용으로만 사용되는 PC에 USB드라이브를 꼽았기 때문이라는 사실을 알면 왜 위험성이 높은지 실감하게 된다.

지난달 31일(현지시간) 미국 지디넷에 따르면 라스베이거스에서 개최되는 유명 해킹 컨퍼런스인 '블랙햇2014'에서 발표를 맡은 SR랩스 보안연구원 카스텐 놀, 제이콥 렐은 작은 USB드라이브가 자동화된 해킹툴로 악용될 수 있다는 사실을 공개했다.

두 연구원에 따르면 USB드라이브는 지난 20여년 간 전 세계를 정복한 인터페이스 표준이다. 어떤 PC에도 USB드라이브용 포트가 있다는 사실을 보면 그렇다. 더구나 스마트폰을 충전하거나 파일을 PC로 전송하기 위해서도 USB 포트는 필수다.

이들 연구원은 USB드라이브에 사용되는 USB 컨트롤러 칩의 펌웨어가 임의로 수정될 수 있는 보안 취약점이 있다는 사실을 발견했다. 이들은 실제로 구현 여부를 증명(POC)하기 위해 일명 '배드USB'를 활용해 여러가지 악성 기능을 수행했다.

기기는 감염된 PC내에 키보드를 마음대로 조작하고, 로그인한 사용자를 대신해 명령어를 입력했다. 예를 들어 파일을 추출하거나 악성코드를 설치하라는 명령을 내릴 수 있다는 설명이다. 또한 PC의 DNS설정을 바꿔 일반 사이트를 방문했을 때 다른 악성사이트로 접속하도록 할 수 있다. 더구나 해당 PC의 운영체제(OS)에 작은 용량의 악성코드를 심어 부팅 전 구동되는 백신 등 보안솔루션들을 우회하기도 한다.

문제는 USB드라이브가 악성인지 여부를 탐지하는게 생각보다 어렵다는 점이다. 이들은 악성코드 스캐너는 USB드라이브 내에서 구동하는 펌웨어에까지 접속할 수는 없다며 이러한 수준의 보호기능을 갖춘 솔루션을 찾기는 어렵다고 주장했다.

관련기사

한번 감염된 PC에서 운영체제(OS)를 재설치하는 경우에도 악성코드는 부팅 전 루트영역에 상주해 지속적으로 문제를 초래할 수 있다. 배드USB는 심지어 PC 내 BIOS 영역을 건드려 키보드를 조작하거나 숨김파일을 훔쳐보는 일도 가능해 진다.

이러한 문제를 막기 위해서는 USB드라이브 제조사들은 펌웨어에 대한 보안을 강화해 쉽게 수정하지 못하도록 해야하며, 보안 회사들은 승인받지 않은 펌웨어 변경을 확인할 수 있는 프로그램을 추가해야 할 것이라고 이들 연구원은 당부했다.