해커는 인터넷과 연결되지 않은 PC에 악성코드를 감염시키는 경로로 이동식 저장장치를 악용한다. 최근 해외에서 발견된 트로이목마형 악성코드는 망 분리된 환경에 설치된 PC에 잠입, 정보를 훔치는 용도로 활동한다.
ESET가 발견한 USB 트로이목마(Win32/PSW.Stealer.NAI)는 다단계 악성코드로 구성됐다. 이 악성코드는 파이어폭스, 노트패드++, 트루크립트 같은 유명 애플리케이션(앱) 안에 몸을 숨겼다. 악성코드는 유명 앱이 열릴 때 뒤 단에서 실행된다. 휴대용 앱이나 관련 라이브러리(DLL) 플러그인으로 저장됐다. 자체 보호 기능이 있어서 분석도 어렵다. 이 악성코드는 AES128 암호 알고리즘으로 각각을 암호화했다. 파일 이름도 모두 암호화 요소에서 가져왔다.
이 악성코드는 USB 저장장치로만 전파되며, 피해 시스템에는 어떠한 활동 증거나 흔적도 남기지 않는다. 악성코드 제작자는 악성코드가 복제 또는 복사된 뒤에도 자체 보호하는 특별한 매커니즘을 쓴다. USB 이동식 장치에서만 실행돼 시스템에 활동 흔적을 남기지 않는다. PC에 어떤 침해 흔적도 남기지 않기 때문에 피해자는 데이터 유출을 인지하지 못한다.
수집된 정보는 USB에 저장돼 추후 외부 인터넷 접속이 가능한 조건에서 외부로 유출될 수 있다. 각종 산업제어시스템 등 망 분리 환경은 인터넷과 연결돼 있지 않아서 사이버 공격이 여의치 않지만 공격자는 USB 저장장치에 악성코드를 숨겨서 사회공학 방법을 이용, 내부로 들여보낸다. USB 저장장치가 망 분리된 PC에 꽂히면 자동실행 기능으로 제어망이 감염된다. 해당 악성코드는 인터넷에 연결되지 않았어도 주요 데이터를 빼내는 지능형지속위협(APT) 전형의 공격을 한다.
ESET는 이 악성코드가 매우 제한된 형태로 발견되는 것으로 미뤄 특정 표적을 노린 공격으로 분석했다.
USB 저장공간이 아닌 내부 펌웨어를 조작, 악성코드를 숨기는 방법도 알려졌다.
카르스텐 놀과 야코프 렐 독일 시큐리티연구소 연구원은 지난 2014년 미국에서 열린 블랙햇 2014에서 USB 저장 공간이 아닌 펌웨어를 조작, 악성코드를 숨길 수 있다고 밝혔다. USB 저장공간을 포맷해도 바이러스는 사라지지 않는다. UBS 인터페이스를 쓰는 키보드, 웹카메라, 외장하드 등이 모두 같은 취약점에 노출됐다.
USB 내부 펌웨어에 심어진 악성코드는 안티바이러스 솔루션으로 검사되지 않는다. 사용자는 악성코드 감염 여부도 모른 채 각종 개인 정보를 그대로 해커에게 노출될 수 있다. 악성 USB는 PC의 모든 정보를 가져간다. 이 때문에 USB 인터페이스로 작동하는 기기는 모두 신뢰할 수 없는 상황이다.
김인순 보안 전문기자 insoon@etnews.com