전 세계 USB 장치의 50%가 BadUSB에 취약

Table Of Contents

• 전 세계 USB 장치의 절반만이 BadUSB 결함을 가지고 있지만, 어떤 절반인지 아무도 모른다
• BadUSB란 무엇인가
• 왜 탐지가 불가능한가
• 테스트
• 문제
• 해결책

전 세계 USB 장치의 절반만이 BadUSB 결함을 가지고 있지만, 어떤 절반인지 아무도 모른다

BadUSB에 관한 우리의 기사를 읽었다면, USB 장치가 이 패치 불가능한 결함의 영향을 받을 수 있다는 것을 알고 있을 것입니다. 하지만 정확히 어떤 USB 장치가 영향을 받는지는 알지 못했습니다. 수요일 도쿄에서 열린 PacSec 보안 컨퍼런스에서 해커 카르스텐 노흘은 그가 BadUSB라고 명명한 USB 장치의 근본적인 불안전성에 대한 연구 업데이트를 발표했습니다.

노흘과 그의 동료 연구자 야콥 렐과 사샤 크리슬러는 업계의 8대 주요 공급업체가 판매하는 모든 USB 컨트롤러 칩을 분석하여 BadUSB 결함의 영향을 받는지 확인했습니다.

결과: 대략 절반의 칩이 공격에 면역이었습니다. 그러나 평균 소비자가 어떤 칩을 사용하는지 예측하는 것은 사실상 불가능합니다. 따라서 이제 시장에 나와 있는 모든 USB 장치 중 약 50%가 이 패치 불가능한 결함의 영향을 받는 것이 분명해졌습니다.

BadUSB란 무엇인가

BadUSB에 관한 기사를 읽었다면 이미 알고 있을 것입니다. 하지만 읽지 않았다면, BadUSB라는 이름의 악성 소프트웨어는 내장된 펌웨어를 재프로그래밍하여 USB 장치에 새로운, 은밀하고 가장 강력한 기능을 부여합니다. 라스베가스에서 열린 블랙햇 보안 컨퍼런스에서의 데모에서, USB 드라이브가 감염되어 연결된 컴퓨터에 악성 명령을 은밀하게 입력하는 키보드로 작동하는 능력을 보여주었습니다.

또 다른 USB는 네트워크 카드로 재프로그래밍되어 연결된 컴퓨터가 구글, 페이스북 또는 다른 신뢰할 수 있는 목적지를 가장한 악성 사이트에 연결되도록 했습니다. 이 데모는 유사한 해킹이 목표 컴퓨터에 연결된 안드로이드 폰에서도 작동할 수 있음을 보여주었습니다. 이 악성 소프트웨어는 웹캠, 키보드, 스마트폰 등 거의 모든 USB 연결 장치에서 작동할 수 있을 만큼 방대합니다.

결함을 역설계한 또 다른 연구자들은 이 결함에 대한 PoC를 GitHub에 올려 다른 보안 연구자와 화이트 해커들이 이 결함을 패치할 방법을 찾을 수 있도록 했습니다.

왜 탐지가 불가능한가

전 세계에서 USB 장치가 제조되는 규모를 감안할 때, BadUSB의 영향을 받는 모든 USB 장치를 탐지하는 것은 비현실적입니다.

“[USB 드라이브]를 컴퓨터에 연결하면 이건 Cypress 칩이고, 이건 Phison 칩이라고 알려주는 것이 아닙니다.”라고 노흘은 USB 칩 제조업체 중 두 곳의 이름을 언급하며 말했습니다. “장치를 열고 스스로 분석하지 않는 한 다른 방법으로는 확인할 수 없습니다… 더 무서운 이야기는 안전한 장치 목록을 제공할 수 없다는 것입니다.”

테스트

노흘은 그의 연구팀이 업계의 주요 공급업체인 Phison, Alcor, Renesas, ASmedia, Genesys Logic, FTDI, Cypress 및 Microchip이 판매하는 USB 컨트롤러 칩에 대한 대규모 테스트를 수행했다고 말했습니다. 그들은 각 칩의 공개된 사양을 확인하고 해당 칩을 사용하는 장치를 컴퓨터에 연결하여 칩의 펌웨어를 재작성하려고 시도했습니다.

결과는 노흘과 그의 동료들이 결론적인 보고서를 작성하기에는 매우 예측할 수 없었습니다. 테스트 중에 노흘과 그의 연구팀은 대만 회사 Phison의 모든 USB 저장 컨트롤러가 재프로그래밍에 취약한 반면, ASmedia에서 제조한 칩은 BadUSB의 영향을 받지 않았음을 발견했습니다.

또 다른 주요 대만 제조업체인 Genesys의 컨트롤러 칩은 훨씬 더 복잡했습니다. Genesys에서 제조한 USB 2.0 표준 칩은 공격에 면역이었지만, USB 3.0 표준을 사용하는 새로운 칩은 취약했습니다.

USB 허브, 키보드, 웹캠 및 마우스와 같은 다른 장치 카테고리에서는 “취약,” “안전,” 및 “결론 불명”의 엑셀 스프레드시트가 더욱 복잡하게 생성되었습니다.

노흘은 이러한 발견이 그의 연구가 Phison 제조 USB 장치에 집중되도록 만들었다고 말했습니다. 왜냐하면 Phison이 가장 큰 시장 점유율을 가지고 있었기 때문입니다.

취약한 장치에 대한 노흘과 그의 동료들이 만든 전체 Wiki Stub를 여기에서 읽을 수 있습니다.

문제

브랜딩이 필요하다고 여겨지는 컴퓨터와 달리 PC 제조업체는 구성에 제조업체 이름을 표시합니다. USB 제조업체는 그렇지 않습니다. 그들은 일반적으로 가장 낮은 시장 가격 공급업체의 칩셋을 사용합니다. 이로 인해 동일한 카테고리 내에서도 브랜드 혼합이 발생합니다. 예를 들어, 서로 다른 Kingston USB 장치는 언제든지 서로 다른 제조업체의 서로 다른 칩을 사용할 수 있습니다.

해결책

노흘의 결과는 한 가지를 분명히 했습니다. BadUSB는 Phison 제조 장치에만 영향을 미치는 것이 아니라 시장에 나와 있는 거의 모든 장치 브랜드에 영향을 미칩니다.

한편, 또 다른 주요 USB 제조업체인 Imation은 BadUSB에 대한 몇 가지 예방 조치를 취하고 있습니다. 이제부터 Imation 소속 USB 제조업체 Ironkey는 새로운 업데이트가 악성 재프로그래밍을 방지하는 위조할 수 없는 암호화 서명으로 서명되도록 요구합니다. 노흘은 다른 USB 제조업체들이 이 모델을 따를 수 있다면 취약성이 시간이 지남에 따라 사라질 수 있다고 말했습니다.