Offcanvas

라이프 / 보안 / 소비자IT / 애플리케이션 / 오픈소스 / 웨어러블

악성코드 담긴 USB 놓아두니··· 10시간만에 절반 이상 감염

2016.08.05 Tim Greene  |  Network World
공공장소에 악성코드가 담긴 열쇠형 USB를 뿌려 놓고 잠시 기다리면 어떤 일이 벌어질까? 절반 가까이 누군가의 컴퓨터에 침투하는 데 성공할 것이다.


출처 : Elie Burstzein

열쇠형 USB는 이란 핵 개발 시설이 스턱스넷(Stuxnet) 공격을 받았을 때 이용된 것으로 유명하다. 블랙 햇의 2016년 실험에 따르면, USB 공격은 높은 성공률을 보였다.

이 실험을 진행했던 구글 연구원 엘리 버스트제인이 미국 일리노이 어바나 샴페인 대학 캠퍼스에 USB 297개를 놓아둔 결과 45%인 133개는 컴퓨터에 침투해 악성코드를 담은 링크 파일을 클릭하도록 유도하는 데 성공했다.

그는 USB를 놓아둔 장소나 USB 생김새와 관계없이 이 수치는 비슷하게 나타났다고 밝혔다. USB는 주차장, 휴게실, 복도, 강의실, 잔디밭 등에 놓였다. 인식표가 없는 것과 '시험 정답 기밀'이라는 인식표가 붙은 것으로 구성됐다. 또 고리만 달린 금속 USB와 주소 및 전화번호가 적힌 카드를 단 USB로 나눴다.

캠퍼스에 방치한 USB 중 절반 이상이 처음 10시간 안에 사용됐다. USB를 사용한 사람 중 21%는 잘 알지 못하는 USB를 사용한 이유를 밝혔다. 68%는 USB를 돌려주고 싶어서, 18%는 호기심에, 나머지 14%는 여러 가지 이유가 있었다고 답했다.

그들은 USB 안에 담긴 이미지, 이력서, 문서 등에 호기심을 보였다. 이미지의 경우 관심도가 USB를 줍게 된 경위에 따라 33~45% 사이를 오갔다. 이력서에 대한 관심도는 이미지와 비슷한 편으로, 인식표가 붙지 않은 USB의 경우 최대 53%까지 나타났다. 그 외 문서는 이미지나 이력서만큼 수치가 높지 않았다.

엘리 버스트제인은 실험용 USB 제작 과정이 까다로웠다고 밝혔다. 그의 연구진은 USB에 몰래 내장할 수 있을 만큼 작은 실험용 부품을 제작하고, USB 케이스 몰드를 만들고, 레진을 붓고, 몰드를 벗겨내고 깔끔하게 다듬는, 그 모든 과정을 고민했다. 이 과정을 완벽하게 준비하는 데만 수 주가 걸렸다. USB 1개 제작비는 40달러(약 4만 4,000원) 수준이었다.

해당 연구진은 상당 시간을 할애해 USB에 담을 코드를 작성했다. 이 코드는 침투한 기기에서 어떤 OS를 구동하는지 알아내기 위한 것으로, 그중에는 키보드의 스크롤 락 키를 잠가버리는 쉘 스크립트가 있다. 쉘 스크립트가 작동해 스크롤 락 키가 잠기면, 윈도우 기기인 것을 알아낼 수 있다.

그러나 명령어 실행 타이밍을 잡기란 쉽지 않다. 명령을 내렸더라도 잘 실행됐는지 확인하기가 만만치 않다. 이런 경우 키보드의 캡스록 키를 판단 지표로 활용한다. 명령이 성공하면, 캡스룩 키를 꺼서 피드백을 전달하는 방식이다.

해당 코드는 리버스 쉘을 사용해 방화벽에 침투하고, 언어를 스크립팅하고, 안티바이러스를 피하기 위해 혼란을 유도한다. 이 코드는 키보드 키가 초당 최대 62.5회까지 입력되도록 설정돼 있으며, 메타스플로잇을 활용해 서버를 명령·통제하기도 한다.

USB 공격을 예방하기란 쉽지 않다. 가장 좋은 방법은 수상한 USB를 사용하지 않도록 사용자를 교육하고, 활용하지 못 하게 하는 것이다. 그는 USB 제작법코드를 일반에 공개했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.