이제 더 이상 네트워크와 완전히 단절된 독립된 망이나 시스템이라고 해도 해킹의 위협에 안전하지 않습니다. 작년에 공개된 배드 USB(BADUSB)라는 신종 해킹 수법을 통해 스카다 같은 시스템도 무력화 시킬 수 있습니다. USB의 치명적인 취약점을 악용한 해킹수법으로 2014년도에 열린 개발자 컨퍼런스 블랙햇2014(BlackHat 2014) 기간 중 발표된 바 있습니다.
모든 USB단자를 이용하는 단말은 전용 칩과 펌웨어에 의해 인식되는데, 펌웨어의 설계 취약점을 악용해 펌웨어를 갱신할 수 있다는 사실을 발견하였습니다. 펌웨어를 바꾸게 되면 USB메모리에 악성코드를 몰래 보내거나 저장 데이터의 변조도 가능합니다. 이러한 취약점은 USB 설계상 문제로 근본적으로 해결이 어렵습니다. 모든 PC와 서버, 노트북에 USB단자가 있다는 점을 감안하면 치명적인 보안 위협이 될 수 있습니다.
BadUSB는 공격자가 특정한 USB 장치를 조작해서 해킹용 도구로 만들어서 공격하는 것입니다. USB 포트는 처음부터 유연한 확장성을 가지게 되었지만 각각 연결 가능한 장치에 관한 검증이나 보안에 관한 고려는 없었습니다.
사실 이 방법은 고도의 전문가가 아니면 매우 어렵지만, 이미 일부 해커를 지원하는 집단들에 의하여 저렴한 가격의 툴들이 공급되고 있습니다. 이런 툴을 구입한다면 초보해커도 충분히 사용 가능한 해킹 기술인 것입니다. 이런 위협을 경고해 온 여러 보안 연구가들은 취약성 입증을 위해 직접 펌웨어를 변조한 USB 저장 장치를 사용해서 실제로 해킹이 가능한 것을 대중에게 시연하였습니다.
변형된 USB 저장장치는 일정 잠복기가 지나면 마치 키보드처럼 작동해서 자동으로 명령어를 입력함으로써 변형된 USB 저장장치가 사용된 컴퓨터를 속입니다. 이 컴퓨터는 USB 포트를 통한 입력들이 사용자가 직접 손으로 타이핑해서 수행한 것인지, 아니면 조작된 USB 저장장치에서 보낸 것인지 구분할 수 없습니다. 컴퓨터 입장에서는 이 두 가지가 똑같이 키보드 입력으로 간주됩니다.
망분리 혹은 폐쇄망 상황에서 내부망의 서버 및 PC를 공격하는 가장 유효한 방법 중의 하나가 BadUSB 기술을 심은 USB장치를 사용하는 것입니다.
BadUSB 방식을 통한 공격이 발생했을 경우, 피해를 입은 컴퓨터는 어떠한 종류의 악성코드에도 감염될 수 있습니다. 안티바이러스(혹은 안티Malware) 솔루션은 이러한 감염을 탐지할 수도, 탐지하지 못할 수도 있습니다. 공격을 받은 컴퓨터가 무력화되기까지 몇 시간 혹은 며칠이 걸릴 수도 있지만 이렇게 진행이 되면 너무 늦게 됩니다.
[해결 방안]
1. 신뢰 할 수 있고 잘 알려진 제조사에서 만들거나, 출처를 신뢰할 수 있는 USB 장치만 사용하십시오.
2. 안티바이러스 및 안티Malware 프로그램을 항상 최신 버전으로 유지합니다. 물론 조작된 펌웨어를 스캔 할 수는 없지만 BadUSB가 악성코드를 실행하려고 한다면 도움이 될 것입니다.
3. Endpoint Protector 4와 같은 매체제어 및 장치관리 솔루션(DLP)을 사용하여 서버 및 PC에 연결되는 장치들을 감시하고 통제합니다.
강력한 DLP 솔루션인 엔드포인트 프로텍터4 제품 관련 문의는 아래의 아이마켓코리아 보안 제품 담당자에게 연락 주시면
친절하게 상담해드립니다. (제품 문의/제품 사양/제품 견적 등 문의 가능)
