악성웜의 4분의 1이 USB 장치를 경유해 확산된다

스페인의 보안기업 Panda Security의 리서치 부문 PandaLabs의 테크니컬 디렉터를 맡고 있는 Luis Corrons 씨는 26일에 낸 성명에서, "현재 만연하고 있는 웜의 대부분이 USB 장치를 경유하여 확산되는 구조로 되어 있다. 웜은 이러한 가젯에 자신을 복제할 뿐만 아니라 USB 드라이브가 컴퓨터에 접속되는 것과 동시에 자동적으로 시스템을 감염시킨다. 이러한 일련의 동작은 유저에게는 안보이는 곳에서 진행된다"라고 밝혔다.

2010년에 발견된 모든 웜의 4분의 1이 USB 장치를 PC 감염의 발판으로서 악용 하고 있었다고 한다. 또, 1만개 이상의 중소기업을 대상으로 한 Panda의 최신 조사에서는 2009년에 웜의 피해를 당한 기업의 27%가 플래시 드라이브를 시작으로 하는 USB 드라이브가 감염원이 되어 공격을 받았다고 보고했다.

"스마트 폰이나 카메라, 뮤직 player 등의 USB 경유로 PC에 접속하는 디바이스들도 같은 위협이다. 이러한 디바이스는 모두 메모리 카드나 내부 메모리를 이용한다. 예를 들면 자신의 휴대 전화가 모르는 사이에 바이러스를 운반하고 있을 수도 있다"(Corrons)

USB 장치를 사용하는 위협 중에서 2010년에 가장 눈에 띄고 있던 것이 Stuxnet 웜이다. 7월에는 대기업 제조 회사나 유틸리티 기업이 소유하고 있는 대규모 공업 제어 시스템 관리 소프트웨어가 가동하고 있는 PC가 Stuxnet 웜에 많이 공격 당했다. 이 공격은 Windows의 쇼트 컷 파일에 존재하는 미수정된 취약성을 노리는 것이였다.

Windows Explorer등의 파일 매니저로부터 웜에 감염된 내용을 열람하면 Stuxnet가 PC에 침입하고 USB 장치로 확산되는 구조로 되어 있었다고 한다.

Microsoft는 이러한 사태를 보고 받고 8월 2일에 해당 쇼트 컷의 보안 홀을 수정하는 긴급 업데이트를 배포했다.

USB를 감염 경로로 하는 수법은 이전부터 존재하고 있었다. 예를 들면  2년전에는 Conficker 라고 불리는 웜이 플래시 드라이브를 악용 하여 감염을 확산시킨 경우가 있다.

이번 주에는 미 국방부장관인 윌리엄 린(William Lynn) 씨가 미국 중앙군(CENTCOM)의 네트워크내에 있는 PC에 감염 USB가 접속되어 네트워크 전체에 영향을 미쳤다고 발표했다. CENTCOM은 이라크나 아프가니스탄을 포함한 중동을 관할하는 지역별 통합군의 하나다.

Conficker가 등장하고 나서 Microsoft는 Windows의 버그에 패치를 발표하고, 유저가 AutoRun 기능을 사용하지 않도록 했다. 해커등은 이 기능을 이용하여 USB 드라이브가 삽입되는 것과 동시에 자동적으로 PC를 감염시키고 있었던 것. 마이크로소프트는 Windows 7에서도 AutoRun의 동작으로 이러한 공격을 받는 것에 대한 방어책을 궁리 하고 있다.

Corrons씨는 26일, AutoRun을 완전히 무효화하는 유틸리티 USB Vaccine에 대한 발표도 함께했다. 해당 툴은 Panda의 Web 사이트로부터 다운로드할 수 있고 USB Vaccine의 사용은 무료지만 이용 희망자는 다운로드시에 이름, 전화 번호, 전자메일 주소를 등록해야 한다.