[뉴스토마토 류석기자] "USB 저장장치는 PC보안의 구멍입니다. 실제로 PC에 USB를 꽂는 구멍이 뚫려 있기도 하고요"

 

독일 보안 업체 시큐리티리서치랩의 암호보안 전문가 카르스텐 놀(Karsten Nohl)은 6일 서울 양재동 더케이 호텔에서 개최된 국제해킹컨퍼런스 'POC 2014'에서 "USB 저장장치의 보안 취약성이 심각한 상황"이라고 설명하면서 이같이 말했다.

 

카르스텐 놀의 설명에 따르면, USB 저장장치는 USB 컨트롤러 부분과 컨트롤러 펌웨어, 플래시 스토리지로 구분된다. 컨트롤러 펌웨어의 설계 취약점을 이용해 펌웨어를 변조하면, USB 저장장치에 원격으로 악성코드를 담을 수 있다. 문제는 이렇게 변조된 USB 저장장치가 저장 기능 이외의 용도로도 쓰일 수 있다는 것이다.

 

 

예를 들어 변조된 펌웨어가 USB 저장장치에 키보드 기능을 수행하도록 명령을 내릴 수 있다. USB를 PC에 꽂는 동시에 사전에 등록된 문자나 명령어들이 PC에 작성되게 하는 방식이다. 이를 통해 PC내 저장된 데이터를 열어 볼 수 있는 등 불법적인 행위를 할 수 있다는 설명이다.

 

또 놀 연구원은 이날 USB 저장장치를 이더넷 어댑터로 인식하게 해 USB를 꽂자마자 특정 웹사이트의 IP주소가 전혀 다른 주소로 바뀌게 하는 해킹 시연도 선보였다. USB 펌웨어 조작을 통해 정상적인 사이트에 접속을 시도하더라도 악성 웹사이트에 접속할 수 시킬 수도 있다는 것이다.

 

카르스텐 놀은 "이러한 USB를 통한 공격은 아직까지 PC 등의 디바이스들이 대응할 수 있는 방식이 없다"라면서 "애플이 만든 디바이스는 프로그램 설치 권한이 까다롭기 때문에 USB를 통한 위협이 거의 없지만, 삼성이 만든 디바이스들은 이러한 위협에 대응을 하지 못한다"라고 설명했다.

 

이어 그는 "이러한 USB 저장장치의 문제점들을 해결하기 위해서는 USB 저장장치가 스스로 새로운 업데이트를 받아들이지 않도록 해야 한다"라고 말했다.

 

 

현재 새로운 업데이트 등을 제어하는 기능을 갖고 있는 USB 저장장치 내부 컨트롤러 칩이 존재하지만 아직 값이 비싸 상용 USB 저장장치에는 사용되지 못하고 있는 상황이다.

 

USB 저장장치를 통한 보안 공격은 오래 전부터 많은 피해를 일으켜 왔다. 2010년 이란에서 있었던 '스턱스넷'이 대표적인 공격 사례다. 악성코드가 담긴 USB를 핵정유 시설 시스템과 연결된 PC에 꽂아 시스템을 마비시킨 것이다.

 

카르스텐 놀은 "향후 USB 저장장치 외에도 웹캠이나 SD카드 등 펌웨어 업데이트를 통해 원격으로 PC의 조작이 가능한지에 대해서 계속 연구해 볼 예정"이라고 밝혔다.