무심코 눈에 띈 USB, 악성코드 심은 ‘트로이 목마’
사이버공격자들, 기업․조직 구성원들 모이는 장소에 USB 버려둬 최근 사이버 공격에 USB 드라이버 악용 사례 증가 ‘해고자 명단’ 등 라벨에 열어본 순간 ‘악마의 판도라 상자’ 열려
[애플경제 이윤순 기자] 만약 사무실이나 화장실, 휴게실 탁자 등에서 정체모를 USB를 발견하면 어떻게 할까.
사람에 따라 다르겠지만, 호기심에서 이를 컴퓨터에 삽입, 그 내용을 열어보는 경우도 적지 않을 것이다.
최근엔 해커들이 이런 극히 ‘아날로그’적인 수법을 구사하는 것으로 알려져 우려를 낳고 있다. 이들은 악성 코드가 저장된 USB 드라이브를 특정 기업의 근무 공간이나, 직원들이 많이 모이는 장소 등에 일부러 떨어뜨려놓는다. 사자가 물가에 모여드는 동물들을 사냥하기위해 일부러 미끼를 떨어뜨려놓는 것에 비유할 수도 있다.
미끼로 떨어뜨려놓은 USB, ‘워터링 홀’ 수법
글로벌 보안업체인 체크 포인트(Check Point)는 이런 수법을 소개하며, 또 하나의 ‘워터링 호울(Watering Holes)’로 표현하고 있다.
이 업체는 “악의적인 해커들은 일부러 플래시 드라이브를 떨어뜨려놓고 악성 코드를 확산시키는 수법들을 최근 즐겨 쓰고 있다”면서 주의를 당부했다.
아직 국내에선 이런 수법이 발견되었다는 보고가 없지만, 미국과 유럽 등지에선 이미 상당수 확산되고 있는 것으로 알려졌다. 고도의 ICT기술이 아닌, 극히 고전적인 방식이란 점에서 이는 새삼 눈길을 끈다.
‘체크 포인트’사는 최근 자사 홈페이지와 블로그를 통해 공개한 ‘2023년 중기 사이버 보안 보고서’에서 “올해 들어선 AI를 새롭게 이용하고, 극히 구식의 공격 수법인 USB 드라이브를 동원하는 수법이 다수 발견되고 있다”고 밝혔다.
특히 “사이버 범죄자와 국가 안보를 위협하는 범죄자들은 이처럼 USB를 이용해, 보안이 철저한 네트워크를 감염시키곤 한다”고 했다. 각종 보안 솔루션으로 무장된 네트워크이지만, 전혀 예상하지 못한 USB 공격에 무방비로 당하는 셈이다. 그야말로 ‘허를 찌른’ 수법이다.
‘autorun.inf’ 파일, LNK 파일 악용
해당 보고서는 주로 USB드라이브는 ‘autorun.inf’ 파일이나, 클릭 가능한 LNK 파일을 각종 악성 코드 변종을 퍼뜨린다고 했다. 심지어 “이들 범죄자들은 USB 드라이브를 통해 이미 십수 년 전에 등장했던 안드로메다 멀웨어를 감염시키기도 한다”고 했다.
안드로메다는 이미 2010년 초에 널리 전염되었던 멀웨어다. 당시에도 이는 감염된 USB 키를 통해 확산되었다. 보안업체 ‘맨디언트 매니지드 디펜스’에 따르면 여러 산업 분야에 걸쳐 안드로메다 멀웨어가 기승을 떨기도 했다.
특히 지난해부터는 러시아 관련 사이버 공격 그룹이 안드로메다 멀웨어를 이용해 우크라이나 조직에 침투한 흔적이 발견되기도 했다.
‘체크 포인트’는 또 중국 관련 사이버 공격 그룹인 카마로 드래곤(Camaro Dragon)은 USB 드라이브를 벡터로 사용하여 전 세계에 악성 코드를 퍼뜨렸다. 러시아와 제휴한 사이버 공격 그룹 ‘Gamaredon’ 역시 USB 드라이브를 통해 악성 코드 ‘Shuckworm’을 퍼뜨렸다. 특히 이는 우크라이나군과 관련 주요 인사들을 겨냥한 것으로 알려졌다.
러시아․중국 해킹 그룹 많이 사용
이에 전문가들은 “역설적으로 USB 드라이버가 사이버 공격의 주요 수단이 되는 시대가 올 것”이라고 전망하기도 한다. 특히 USB의 특성상, 이는 개인이나 조직을 막론, 강한 호기심을 자극하기 십상이다.
특정한 기업이나 조직을 겨냥한 ‘워터링 홀’ 공격에 USB 드라이브야말로 아주 적격이란 얘기다. 회사 사무공간 뿐 아니라, 직원들이 즐겨 모이는 휴게실이나 화장실에 USB 두어 개를 떨어뜨리는 식이다. 더욱이 “3분기 정리 해고자 명단” 따위의 라벨이 붙은 경우 사람들은 이를 열어보지 않을 수 었다.
특히 ‘코로나19’가 이런 빈틈을 만들고 있다는 지적이다. ‘코로나’ 이전엔 회사 소유 노트북에 함부로 정체 모를 USB를 꽂는 경우가 드물었다. 모든 회사 소유 노트북에 대한 철저한 검사와 관리가 이뤄지기 때문이다.
그러나 ‘코로나19’ 이후 원격 또는 재택 근무과 활성화되면서 상대적으로 이같은 검사와 관리가 상대적으로 느슨해졌다. 그래서 그 내용이 궁금한 USB를 개인이 별 거리낌없이 노트북이나 PC에 삽입하는 경우가 늘어난 것이다. 이에 ‘체크 포인트’는 “아무리 궁금하고 호기심이 일어도, 무심코 발견한 USB는 절대 열어봐선 안 된다”면서 “이를 열어보는 순간, 회사 네트워크를 망가뜨릴 멀웨어나 악성코드에게 문을 활짝 열어주는 꼴”이라고 주의를 당부했다.