분실해도 강력한 보안 기능으로 내부 내용을 알 수 없는 것으로 알려진 보안USB저장장치에서 심각한 보안 취약점이 발견됐다.
18일 성균관대 ITRC 정보보호인증기술연구센터(센터장 원동호)는 국내에 시판 중인 미국 ATP의 보안USB저장장치에 사용되는 비밀번호가 쉽게 노출되는 취약점을 발견, USB저장장치를 잃어버릴 경우 안에 담긴 정보를 모두 유출할 위험이 크다고 밝혔다. 특히 이 제품은 국내 모 대기업에서 시장에 공급하고 있어 관련 기업의 발빠른 패치가 요구된다.
연구팀이 분석한 USB저장장치는 사용자가 분실해도 안에 저장된 내용을 볼 수 없는 보안 드라이브. 강력한 보안 기능으로 세계적으로 유명한 ATP의 이 제품은 ‘2006년 플래시 메모리 서밋’에서 가장 혁신적인 사용자 솔루션 상을 수상한 제품이다.
연구팀은 ATP의 USB저장장치를 PC와 연결하고 둘이 통신을 할 때, 입력한 비밀번호가 PC에서 확인되는 것은 물론 암호화되지 않고 평문으로 전송돼 해커의 스니핑 공격에 무방비로 노출된다고 지적했다.
특히 이 문제는 USB저장장치에 접근하는 것뿐만 아니라 암호화한 후 보관해 둔 데이터에도 똑같이 적용된다고 덧붙였다. 이 때문에 USB저장장치에 중요 자료를 암호화해 저장해도 해커는 비밀번호를 쉽게 알아낼 수 있기 때문에 복호화해 내용을 모두 볼 수 있다.
연구팀은 이 문제를 해결하기 위해 초기에 USB저장장치에 비밀번호를 설정할 때, 해쉬함수를 이용해 비밀번호 해쉬값을 저장해야 한다고 제안했다. 저장된 해쉬값은 스니핑 공격에 노출돼도 해쉬함수의 특성상 정확한 비밀번호를 유추하기는 계산적으로 불가능하다.
연구팀은 또 비밀번호의 비교는 PC에 설치된 보안 프로그램에서 구현되는 것보다 USB 플래시드라이브의 컨트롤러에서 이뤄져야 더욱 강력하게 보안 기능을 제공할 수 있다고 덧붙였다.
원동호 성균관대 교수는 “세계적으로 보안성이 높다고 알려진 USB저장장치에서 심각한 보안 취약점이 드러났다”며 “이 제품은 국내에도 시판되고 있어 이에 대한 보안 패치가 시급하다”고 말했다. 원 교수는 또 “최근 은행권을 중심으로 공인인증서를 안전하게 보관하도록 보안USB저장장치 도입을 서두르고 있다”며 “국내외에서 보안USB저장장치를 개발하는 기업들이 이런 문제를 인식하고 제품을 개발해야 한다”고 덧붙였다.
김인순기자@전자신문, insoon@