배드USB(BadUSB)는 PC 외부 인터페이스 단자로 부동의 자리를 차지하고 있는 USB의 치명적인 취약점을 악용한 해킹 수법으로 지난 8월 열린 개발자 회의인 블랙햇2014(Black Hat 2014) 기간 중 발표된 바 있다.
당시 배드USB를 공표한 엔지니어는 아직까지 대책이 없는 취약점의 위험성을 감안해 코드를 공개하지 않았다.
모든 USB 단자를 이용하는 단말은 전용 칩과 펌웨어에 의해 인식된다. 그런데 USB 펌웨어 설계 취약점을 악용해 펌웨어를 갱신할 수 있다는 사실을 발견한 것. 펌웨어를 바꾸면 예를 들어 USB 메모리에 악성코드를 몰래 보내거나 저장 데이터를 변조하고 USB 키보드를 무단 조작할 수도 있다.
배드USB 취약점은 USB 설계상 문제다. 이를 해결하는 건 불가능하다. 펌웨어를 중심으로 보안 대책을 강구한 새로운 USB 표준을 처음부터 다시 만들 필요가 있다는 것이다. 하지만 새로운 규격을 처음부터 만들려면 몇 년은 족히 걸린다. 더구나 USB 단자가 전 세계에 보급되어 있다는 점을 감안하면 미치는 영향이 너무 클 수 있다.
그런데 지난 9월 24일부터 열린 보안 행사인 더비콘(DerbyCon) 4.0 도중 배트USB의 취약점을 악용한 방법으로 사용자의 USB 키보드를 해킹하는 데모를 실시하면서 배드USB 코드가 공개됐다.
발표자는 배드USB 코드를 공개한 이유로 USB 하드웨어 제조사에 압력을 가하기 위함 것이라고 설명하고 있다. 배드USB가 공개되지 않은 상태에서 제조사는 이 문제 해결을 위해 노력하지 않을 것인 만큼 대책을 요구하려면 위험을 감수하더라도 공개하는 게 옳다는 것이다.
이들은 아직은 배트USB 해킹을 할 수 있는 곳이 NSA 같은 자금력과 조직을 갖춘 곳에 한정되어 있다면서 이번에 배드USB 코드를 공개해 누구나 사용할 수 있는 상태로 만드는 것만이 제조사에 취약점 수정 압력이 될 것이라고 주장했다. 관련 내용은 이곳에서 확인할 수 있다.
전자신문인터넷 테크홀릭팀
이원영IT칼럼니스트 techholic@etnews.com
