예전부터 USB 메모리를 통한 바이러스 전파문제가 있었습니다. 하지만 최근에 더 치명적인 약점이 발견되었다는 소식입니다. 새로운 하드웨어가 나오지 않는 한 해결되지 않는다고 합니다. 먼저 Nohl과 Lell이 발견하여 BadUSB라고 이름을 붙였습니다. 하지만 상세한 내용은 공개하지는 않았었는데요, 다른 엔지니어가 말웨어 코드를 GitHub에 공개하였습니다. Adam Caudill와 Brandon Wilson가 공개한 이유는 감추어 봐야 소용이 없고 오히려 널리 알려서 대응책을 마련해야 한다는 의견입니다.
이번에 발견된 USB 설계의 치명적인 취약성을 활용한 해킹 공격수법인 "BadUSB"가 8월에 열린 개발자 회의 'Black Hat 2014 USA'에서 발표되었습니다. 먼저 공개한 기술자는 현재 대응책이 없다는 이유로 위험성 있는 코드를 공개하지 않았습니다. 하지만 DerbyCon 4.0의 강연에서 유사한 코드가 다른 발표자에 의해 공개었습니다.
보안 전문가 Nohl과 Lell의 강연은 아래 유튜브 영상에서 볼 수 있습니다. USB 펌웨어에 검출되지 않으면서 말웨어를 보낼 수 있다고 합니다. 그리고 이를 악용하는 해킹기법을 "BadUSB"라고 이름 붙였습니다.
USB단자를 이용하는 모든 단말기에는 전용 칩 펌웨어가 있어 디바이스를 인식할 수 있습니다. Nohl과 Lell은 펌웨어 설계의 취약성을 악용하여 고쳐 쓸 수 있음을 발견했습니다. 펌웨어를 수정하면 USB단자로 이루어진 메모리에 악성코드를 몰래 보내거나, 데이터를 조작하거나, 키보드를 조작할 수도 있습니다.
BadUSB의 취약성은 설계의 문제이기에 수정하는 것은 불가능하다고 합니다. 펌웨어에서 보안 대책안을 세울 수 있도록 새로운 USB규격이 필요하다는 의견입니다. 새로운 규격을 만드는 것은 몇년이 걸릴 것으로 예상되고 있습니다. 이것은 현재 우리가 사용하는 횟수를 감안하면 엄청난 피해를 줄 수 있다는 의미입니다. 그래서 Nohl과 Lell은 악영향이 너무 크기에 코드를 공개하지 않았습니다.
그러나 9월에 개최된 보안회의 Derbycon에서 Adam Caudill와 Brandon Wilson은 BadUSB를 리버스 엔지니어링 했다고 발표하였습니다. 또한 코드를 GitHub에 공개하였습니다. 실제로 취약성을 이용한 공격으로 USB키보드를 해킹하고 마음대로 글자를 입력하는 것을 보여주었다고 합니다. 이들의 강연도 아래 영상에서 볼 수 있습니다.
이들은 하드웨어 업체를 압박하기 위해 공개하였다고 합니다. 공개되지 않으면 관련 업계는 문제 해결에 열심을 다하지 않을 거라는 의견입니다. 그냥 숨기는 것보다 공개하여 대응책을 만들라고 압박을 해야 한다는 의견을 가진 겁니다. 그러나 반드시 이런 거창한 목적으로 공개했는지는 의문입니다. 명성 때문에 너무 위험한 발표를 한 것은 아닌가 생각되네요. 단지 몇개월만에 새로운 하드웨어가 나오기는 힘들죠. 당분간 관련 제품 사용에 대해 조심하시기 바랍니다.
참고: http://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/
