USB 펌웨어 자체를 해킹하니 지독한 멀웨어 캐리어로 탈바꿈

펌웨어의 설계 자체를 바꾸지 않는 한 예방과 처리 모두 어려워

[보안뉴스 문가용] 이번 블랙햇 강연 중 많은 이목을 끌었던 것 중 하나는 카스텐 놀(Karsten Nohl)과 제이콥 렐(Jakob Lell)의 USB 리버스 엔지니어링에 대한 것이었다. USB 펌웨어를 지난 두 달 간 리버스 엔지니어링 한 후 패치를 하니 USB가 악성코드 전용기기가 된 것이다.

이번 강연이 많은 흥미를 끈 것은 USB라는 기기가 대중들 사이에서 널리 쓰이고 있기 때문이고, 무엇보다 키보드를 에뮬레이트해서 마치 로그인을 한 사용자처럼 커맨드를 전달하는 것이 가능해지기 때문이다. 이 상태까지 잠식하면 파일을 훔치는 것도 멀웨어를 설치하는 것도 전부 가능해진다.

또한 OS가 부팅되기 전에 작은 바이러스를 부팅시킬 수도 있고 네트워크 카드를 스푸핑해서 컴퓨터의 DNS 세팅을 바꿈으로써 트래픽을 우회시킬 수도 있다. 두 발표자는 블랙햇 강연 현장에서 여러 가지 공격들을 청중들에게 직접 보여주었는데, 그중 가장 인상 깊었던 건 구글 안드로이드 모바일 전화기를 컴퓨터에 꼽아 웹 트래픽을 전부 인터셉트하는 장면이었다.

놀에 따르면 아직 이에 대한 방어법이 따로 없다. 멀웨어 감지장비로서는 USB에 장착된 펌웨어에 접근할 수가 없으며 특정 종류의 기기의 접근을 차단하는 기능을 가진 USB 방화벽은 존재하지 않는다. 게다가 이런 행동 패턴 분석으로 ‘나쁜 USB’를 감지하는 것도 불가능에 가깝다. USB의 이상 행동 패턴이나 사용자가 다른 USB를 꼽은 것이나 동일해 보이기 때문이다.

더 골치 아픈 건 이 ‘나쁜 USB’가 지나간 자리를 청소하는 게 어지간히 힘든 일이 아니기 때문이다. OS를 다시 설치해도 해결되지 않는다. USB 썸드라이브나 웹캠 등 USB 포트에 꼽는 기기들까지 이미 감염되었을 수도 있기 때문이다. 게다가 나쁜 USB는 컴퓨터의 바이오스도 갈아치울 수 있으니 이는 OS 단계의 문제가 아니다.

나쁜 USB를 만드는 것보다 이를 해결하는 게 너무 어렵다. USB 기기를 화이트리스트 하는 것에도 한계가 있다. USB 기기에마다 고유의 인식번호가 있는 게 아니기 때문이다. 또한 OS들에도 USB용 화이트리스트 기능이 완벽하게 갖추어지지 않고 있는 상태다. “USB 플래시 드라이브를 활용한 공격들이 새롭게 등장한 위협거리라는 것은 아닙니다. 다만 ‘나쁜 USB’가 끼치는 악영향의 정도가 훨씬 심합니다. 해결책부터 방지책까지, 효과적인 방법이 하나도 없습니다.”

발표자들의 설명이 이어졌다. “기기 하드웨어에 설치된 컨트롤러 펌웨어를 바꾸는 것이지 기기에 저장된 데이터를 바꾸는 게 아닙니다. 이런 식으로 감염된 기기는 USB에 저장된 데이터에 상관없이 다른 기기를 감염시킵니다.”

나쁜 USB를 막으려면 컨트롤러 펌웨어 자체를 잠가서 허가를 받지 않은 사람이 함부로 펌웨어를 바꾸지 못하도록 해야 한다. “나쁜 USB를 방지하려면 USB 기기에 해커가 아예 접근을 할 수 없도록 해야 합니다. 그러려면 펌웨어에 디지털 서명을 부여해서 펌웨어에 변화가 발생할 경우 작동을 멈추게 해야 합니다. 그것이 아직까지 가장 효과적인 예방책입니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>