신종 보안위협, 새로운 해킹 수단 BadUSB 예방법

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2015.06.19 09:53 / 카테고리 : 자료유출방지(DLP)


이제 더 이상 네트워크와 완전히 단절된 독립된 망이나 시스템이라고 해도 해킹의 위협에 안전하지 않습니다. 작년에 공개된 배드 USB(BADUSB)라는 신종 해킹 수법을 통해 스카다 같은 시스템도 무력화 시킬 수 있습니다. USB의 치명적인 취약점을 악용한 해킹수법으로 2014년도에 열린 개발자 컨퍼런스 블랙햇2014(BlackHat 2014) 기간 중 발표된 바 있습니다.




<BadUSB 해킹 시연 영상>

모든 USB단자를 이용하는 단말은 전용 칩과 펌웨어에 의해 인식되는데, 펌웨어의 설계 취약점을 악용해 펌웨어를 갱신할 수 있다는 사실을 발견하였습니다. 펌웨어를 바꾸게 되면 USB메모리에 악성코드를 몰래 보내거나 저장 데이터의 변조도 가능합니다. 이러한 취약점은 USB 설계상 문제로 근본적으로 해결이 어렵습니다. 모든 PC와 서버, 노트북에 USB단자가 있다는 점을 감안하면 치명적인 보안 위협이 될 수 있습니다.


BadUSB는 공격자가 특정한 USB 장치를 조작해서 해킹용 도구로 만들어서 공격하는 것입니다. USB 포트는 처음부터 유연한 확장성을 가지게 되었지만 각각 연결 가능한 장치에 관한 검증이나 보안에 관한 고려는 없었습니다.





사실 이 방법은 고도의 전문가가 아니면 매우 어렵지만, 이미 일부 해커를 지원하는 집단들에 의하여 저렴한 가격의 툴들이 공급되고 있습니다. 이런 툴을 구입한다면 초보해커도 충분히 사용 가능한 해킹 기술인 것입니다. 이런 위협을 경고해 온 여러 보안 연구가들은 취약성 입증을 위해 직접 펌웨어를 변조한 USB 저장 장치를 사용해서 실제로 해킹이 가능한 것을 대중에게 시연하였습니다.


변형된 USB 저장장치는 일정 잠복기가 지나면 마치 키보드처럼 작동해서 자동으로 명령어를 입력함으로써 변형된 USB 저장장치가 사용된 컴퓨터를 속입니다. 이 컴퓨터는 USB 포트를 통한 입력들이 사용자가 직접 손으로 타이핑해서 수행한 것인지, 아니면 조작된 USB 저장장치에서 보낸 것인지 구분할 수 없습니다. 컴퓨터 입장에서는 이 두 가지가 똑같이 키보드 입력으로 간주됩니다.

망분리 혹은 폐쇄망 상황에서 내부망의 서버 및 PC를 공격하는 가장 유효한 방법 중의 하나가 BadUSB 기술을 심은 USB장치를 사용하는 것입니다.




BadUSB 방식을 통한 공격이 발생했을 경우, 피해를 입은 컴퓨터는 어떠한 종류의 악성코드에도 감염될 수 있습니다. 안티바이러스(혹은 안티Malware) 솔루션은 이러한 감염을 탐지할 수도, 탐지하지 못할 수도 있습니다. 공격을 받은 컴퓨터가 무력화되기까지 몇 시간 혹은 며칠이 걸릴 수도 있지만 이렇게 진행이 되면 너무 늦게 됩니다. 


[해결 방안]

1. 신뢰 할 수 있고 잘 알려진 제조사에서 만들거나, 출처를 신뢰할 수 있는 USB 장치만 사용하십시오.

2. 안티바이러스 및 안티Malware 프로그램을 항상 최신 버전으로 유지합니다. 물론 조작된 펌웨어를 스캔 할 수는 없지만 BadUSB가 악성코드를 실행하려고 한다면 도움이 될 것입니다.

3. Endpoint Protector 4와 같은 매체제어 및 장치관리 솔루션(DLP)을 사용하여 서버 및 PC에 연결되는 장치들을 감시하고 통제합니다.





Endpoint Protector 4는 이런 종류의 BadUSB 공격에서 다음과 같이 네트워크의 서버 및 PC를 보호할 수 있는 매체제어 보안솔루션입니다. 개선된 장치제어 기능은 추가적인 USB 키보드 및 USB 모뎀을 식별하고 관리할 수 있게합니다. 따라서 승인되지 않은 추가 장치들은 자동으로 차단되고 BadUSB에 대한 보호가 구현됩니다. 

[EndPoint Protector로 BadUSB 해킹 예방하기]
1. Endpoint Protector 에이전트를 PC 및 서버에 설치하고 "Additional Keyboard" 및 "USB Modem"을 차단하도록 매체제어 기능을 사용합니다.
2. USB 장치에 대한 정책을 설정합니다. USB 포트는 "차단"을 기본으로 사용하고, "읽기 허용"으로 사용하지 않습니다. 업무에 필요한 USB 저장장치는 각각의 장치에서 읽기가 허용된 PC 혹은 서버를 지정하여 USB 포트가 "차단"으로 유지된 상태에서 선택적으로 허용합니다. 를 위해서는 USB 저장장치의 등록이 필요합니다.
3. 사용을 마친 USB 장치들을 포트에 연결하여 두지 않습니다. 또한 허용되지 않은 USB 장치가 연결되는 경우 "차단"과 동시에 즉시 확인합니다.

[입증된 성능과 안정성]
Endpoint Protector 4는 IT보안사무국에서 실시하는 국내 CC 인증 제도  "국가용 정보보호 제품 보안 요구사항" 중 매체제어 제품 및 자료유출방지 제품 규격 뿐 아니라 BadUSB에 대한 테스트 역시 모두 통과하였으며, 다양한 국제 세미나에서 수상경력이 있는 믿을 수 있는 보안 솔루션입니다.



Endpoint Protector 4는 강력한 호환성을 갖춘제품으로 다양한 환경에서 적용이 가능합니다. (Windows, Mac, Linux, Android, iOS)


강력한 DLP 솔루션인 엔드포인트 프로텍터4 제품 관련 문의는 아래의 아이마켓코리아 보안 제품 담당자에게 연락 주시면 

친절하게 상담해드립니다. (제품 문의/제품 사양/제품 견적 등 문의 가능)




Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

방문자 통계

  • 전체 : 378,458
  • 오늘 : 113
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.